La révision de la loi sur la protection des données introduit de nouvelles exigences pour les entreprises.
Les principales exigences sont les suivantes :
- La définition de « données sensibles » est étendue aux données génétiques et biométriques. Cette définition se distingue de celle utilisée par la RGPD
- La révision exige expressément de détruire ou anonymiser les données qui ne sont plus nécessaires.
- Les principes de protection des donneés dès la conception (« by design ») et par défaut (« by default ») sont ancreś dans la révision.
- Le devoir d’informer lors de la collecte des données. Cela comprend de se munir d’une politique de confidentialité et d’indiquer, au minimum : l’identité et les coordonnées du responsable du traitement, de la finalité du traitement, des destinataires ou catégories de destinataires et les états vers lesquels les données sont transmises et les garanties de protections applicables.
- La possibilité et non l’obligation de nommer un conseiller à la protection des données (Data Protection Officer (DPO)) dont le rôle est de former, conseiller et s’assurer de l’application des règles de protections des données.
- L’ajout de registrer des activités de traitement qui est obligatoire obligatoire dans le cas où l’entreprise présente des activités de traitement à risque ou si elle a plus que 250 employés.
- L’ajout d’une analyse d’impact obligatoire en cas de risque élevé
- L’ajout de l’obligation de notifier les violations de la sécurité des données en cas de risque élevé
- Le rehaussement des sanctions pénales avec des amendes allant jusqu’à 250’000 francs pour les individus (et 50’000 francs pour les entreprises).
Les éléments suivants sont quant à eux retirés :
- La protection des données des personnes morales. La nLPD concerne uniquement les personnes physiques.
- L’obligation de déclaration des fichiers au Préposé fédéral à la protection des données (PFPDT)
