contact@simple-task.com

Nouvelle loi sur la protection des données en Suisse

À partir du 1er septembre 2023, la Suisse introduira la « nLPD » (signifiant « Nouvelle loi sur la protection des données » ou « Nouvelle loi fédérale sur la protection des données« ), une nouvelle réglementation sur la confidentialité des données. Cette loi mise à jour apporte plusieurs changements qui peuvent avoir un impact significatif sur les processus commerciaux. Bien que nous ne soyons pas des consultants juridiques, nous recommandons de demander l’avis d’un avocat pour garantir la conformité aux nouvelles exigences légales. Néanmoins, nous souhaitons fournir des informations précieuses sur les mesures et les exigences que les entreprises devraient envisager de mettre en œuvre à la lumière de cette nouvelle réglementation.

Points clés de la Nouvelle loi fédérale sur la protection des données

  • La portée de la politique est limitée aux personnes physiques ; elle ne s’applique pas aux entités juridiques.
  • La définition des « données extrêmement sensibles » inclut désormais les données biométriques ou de profilage.
  • La collecte, le stockage et l’utilisation transparents des données doivent être appliqués. Les informations doivent être facilement récupérables à partir du système pour répondre aux demandes ou aux requêtes des individus. Les entreprises doivent établir un processus d’information interne, permettant aux clients d’accéder aux détails concernant l’utilisation de leurs données et de soumettre des demandes de rapports, de mises à jour ou de suppressions. Toutes les demandes doivent être documentées dans un fichier dédié.
  • Contrairement à la loi sur la protection de l’UE, la politique de confidentialité doit spécifier clairement l’emplacement (pays) de tous les lieux de stockage des données, y compris les outils tiers tels que Google Analytics.
  • Les outils tiers, tels que Fusedeck (Tracking), doivent être explicitement mentionnés dans la politique de confidentialité.
  • Toute violation de la « Nouvelle loi fédérale sur la protection des données » doit être signalée rapidement aux autorités par le « Datenschutzverantwortliche » désigné.
  • Les processus commerciaux doivent respecter les exigences de la protection de la vie privée. Les entreprises doivent veiller à ce que le développement ou la mise en œuvre de nouveaux outils ou processus n’entraîne aucune violation de données.
  • Les sanctions en cas d’infraction visent les personnes physiques plutôt que les entités juridiques. Les infractions peuvent entraîner une responsabilité allant jusqu’à 250 000 CHF pour les personnes physiques. La responsabilité s’étend à tous ceux qui « participent » à la violation des droits de la personnalité, avec des sanctions plus strictes que la loi sur la protection de l’UE.
  • Si applicable, créez un répertoire de toutes les opérations de traitement des données, indiquant le responsable du traitement des données de l’entreprise, les finalités du traitement des données, les catégories de données personnelles collectées, etc. Cette exigence est exonérée pour les entreprises comptant moins de 250 employés ou ne traitant pas de « données extrêmement sensibles » (« besonders Schützenswerte Daten »).

Impact de la Nouvelle loi fédérale sur la protection des données sur la gestion des consentements

Conformément à la Nouvelle loi fédérale sur la protection des données :

  • Pour les campagnes d’abonnement par e-mail telles que « Recevez notre newsletter », une seule validation est suffisante. Lorsque les abonnés potentiels remplissent le formulaire d’abonnement et cochent une case de consentement standard, il est acceptable de leur envoyer les campagnes par e-mail. La case de consentement peut même être précochée, à condition qu’il y ait une action de confirmation (bouton d’acceptation) conforme aux lois suisses.
  • En ce qui concerne les visiteurs du site Web, le consentement général est présumé. Les sites Web doivent simplement informer les visiteurs de toute activité de suivi ou de stockage de données, généralement via une bannière avec un lien vers la politique de confidentialité. Les utilisateurs peuvent simplement fermer la bannière pour la faire disparaître.
  • Le processus classique de double opt-in pour la gestion des consentements est légalement requis uniquement lorsqu’il s’agit de stockage et d’utilisation de données sensibles (par exemple, religion, politique, etc.).

Le cas des grandes entreprises, y compris les grands acteurs du commerce électronique :

  • Optez pour une stratégie de double opt-in en ce qui concerne les campagnes d’abonnement par e-mail. Cela garantit non seulement un consentement complet, mais aide également à vérifier l’authenticité des abonnés en utilisant de véritables comptes de messagerie. Assurer la qualité des données est essentiel.
  • Mettez en place deux niveaux de données sur leur site Web, notamment si leurs clients se trouvent en Suisse (CH) ou dans l’Union européenne (UE).
    — Pour la conformité aux lois suisses, une information claire sur l’utilisation des cookies sur le site Web est suffisante, ainsi qu’un lien vers la politique de confidentialité. Aucune action de confirmation n’est requise.
    — Pour la conformité aux lois de l’UE, une confirmation claire des visiteurs du site Web est nécessaire, et la possibilité de refuser doit être aussi accessible que le bouton d’acceptation. Évitez d’utiliser des mises en évidence de couleur, car cela pourrait être considéré comme une incitation et non conforme à la loi. De plus, fournissez aux visiteurs la possibilité d’ajuster les cookies et rendez la politique de confidentialité facilement accessible.

Mesures recommandées pour les entreprises opérant en Suisse

  • Passez à la double opt-in pour les abonnements par e-mail, quel que soit l’emplacement de vos clients, pour atténuer les risques liés à la validation unique :
    — Une documentation plus facile de l’acquisition du consentement conformément à la loi sur la transparence.
    — Réduction du risque de mauvaises données, garantissant l’authenticité des abonnés grâce à une action de confirmation.
    — Taux de désabonnement plus bas par rapport à la validation unique.
    — Moindre probabilité d’être signalé comme un expéditeur non fiable et de se retrouver dans les dossiers de spam.
  • Organisez et rationalisez la gestion des consentements, en particulier sur le site Web, en ajoutant des bannières, des liens et des cases à cocher pertinents. Par exemple, mettez en place deux bannières de cookies : une pour les clients suisses et une autre pour les clients non-suisses, afin de respecter les différentes exigences légales.
  • Mettons à jour et rendons tous les documents disponibles au public, y compris les sites Web, les bannières de cookies, les pieds de page d’e-mails et la politique de confidentialité.
  • Développez et communiquez les processus internes de gestion des données aux parties prenantes concernées (par exemple, le service client et les ventes).
  • Revoyez et collaborez avec les fournisseurs externes pour prévenir toute violation potentielle systématique de la « Nouvelle loi fédérale sur la protection des données ».
  • Évaluez l’impact de la nouvelle réglementation sur les ensembles de données et les groupes cibles existants.
  • Informez les parties prenantes internes de leur responsabilité en tant que personnes physiques en cas de violation, en envisageant d’éventuelles modifications des contrats de travail pour transférer la responsabilité à la direction supérieure.
  • Assurez-vous que les systèmes informatiques et les applications logicielles répondent aux exigences de sécurité de la nouvelle loi.
  • Effectuez une campagne de communication multicanal simple (strictement informative) pour informer les (potentiels) clients sur la « Nouvelle loi fédérale sur la protection des données ».
  • Mettons à jour les accords de non-divulgation (NDA) et les contrats des employés pour se conformer aux nouvelles exigences légales.
  • Désignez un « Datenschutzverantwortlicher » interne, si ce n’est pas déjà fait, pour superviser les responsabilités de protection des données.
  • Consultez un conseiller juridique pour explorer de manière exhaustive les options de conformité et atténuer d’éventuels problèmes juridiques futurs.

Aspects éthiques et acceptation des utilisateurs

En intégrant les aspects éthiques suivants dans vos pratiques de gestion et de communication des données, vous pouvez non seulement respecter les exigences légales, mais également construire une base solide de confiance avec vos clients. L’acceptation des utilisateurs est plus probable lorsque les clients perçoivent que votre entreprise accorde de l’importance à leur vie privée, communique de manière transparente et respecte leurs choix et préférences concernant leurs données personnelles. Les pratiques éthiques en matière de données contribuent à une image de marque positive et peuvent entraîner une fidélité et une satisfaction accrues de la clientèle.

  • Minimisation des données : Assurez-vous de ne collecter que les données réellement nécessaires à vos processus commerciaux. Évitez de recueillir des informations excessives ou non pertinentes auprès des utilisateurs. La minimisation des données est conforme aux principes éthiques et contribue à renforcer la confiance en respectant la vie privée des utilisateurs.
  • Transparence et communication : Informez proactivement vos clients sur vos pratiques de gestion des données. Indiquez clairement comment vous collectez, stockez et utilisez leurs données, ainsi que le but qui en découle. Une communication transparente instaure la confiance et favorise une relation positive entre les clients et votre entreprise.
  • Prise de décision éthique : Lors de la prise de décisions internes, tenez compte des principes éthiques en matière de gestion des données clients. Donnez la priorité à la protection de la vie privée des utilisateurs et des données dans vos processus pour démontrer votre engagement envers des pratiques éthiques.
  • Empathie envers le public cible : Mettez-vous à la place de vos clients et réfléchissez à leur ressenti concernant l’utilisation de leurs données ou la communication qu’ils reçoivent de votre marque. Faire preuve d’empathie envers votre public cible vous aide à aligner vos pratiques sur leurs attentes et préférences, ce qui renforce l’acceptation positive des utilisateurs.
  • Options de désinscription faciles : Respectez les choix et les préférences en matière de confidentialité des utilisateurs en rendant l’option de désinscription facilement accessible. Évitez de masquer le lien de désinscription sous trop de clics ou de procédures compliquées. Simplifier la procédure de désinscription démontre le respect des décisions des utilisateurs et favorise une expérience utilisateur positive.

Le cas du Liechtenstein

Si votre entreprise basée en Suisse dessert des clients du Liechtenstein, en plus du marché suisse, il est crucial de veiller à se conformer aux réglementations du RGPD (Règlement général sur la protection des données) plutôt qu’aux lois suisses. Le Liechtenstein impose des attentes plus élevées, exigeant souvent des processus de double opt-in systématiques, qui sont plus stricts que ceux de la « Nouvelle loi fédérale sur la protection des données ». Dans ce cas, il est conseillé de mettre en œuvre des mesures conformes au RGPD pour garantir la conformité aux exigences plus strictes, même si la « Nouvelle loi fédérale sur la protection des données » est généralement moins restrictive en comparaison.

Perspectives

À l’approche de la date d’entrée en vigueur du 1er septembre 2023, il est crucial de veiller à ce que les mesures et sanctions soient opérationnellement solides. Les entreprises traitant des données sensibles ou de grands volumes de données peuvent rencontrer une compréhension limitée de la part des autorités, rendant ainsi une expertise juridique essentielle. Cependant, si vous exploitez un site Web classique avec un traitement minimal des données, la mise en œuvre de mesures standard pertinentes et l’observation des résultats pourraient être une option. Néanmoins, nous vous recommandons vivement de solliciter des conseils auprès d’experts juridiques qui pourront vous fournir des conseils adaptés à votre cas spécifique. Pour vous aider à vous préparer aux changements à venir, notre équipe peut créer des campagnes de courriers électroniques « informatives » attrayantes à envoyer avant le 1er septembre, garantissant que votre communication se démarque au milieu du flot de messages similaires d’autres marques.