Dans le cadre de la protection des données personnelles des citoyens suisses, la Suisse a rédigé une version enrichie de la loi sur la protection des données (LPD) dont la date d’entrée en vigueur est le 1er septembre 2023.

Cette loi définit en premier lieu les engagements des acteurs détenteurs des données et les mesures de sécurité :

• Les engagements portent sur l’obligation à la transparence et au consentement du stockage des informations, au droit à la mise à jour, au droit à la suppression des données.
• Les mesures de sécurité doivent permettre de protéger les données selon les meilleures pratiques en vigueur, comprenant de manière non exhaustive les processus d’authentification, le stockage sécurisé, les sauvegardes, le chiffrement, …
• Les responsables des traitements sont 100% responsables des traitements, ils sont donc responsables également des traitements effectués par d’éventuels sous-traitants ou partenaires technologiques.

Les sociétés traitant des données (hors obligation légales) doivent publier un registre de ces traitements. Ce registre doit présenter la nature des informations, la finalité du traitement, la localisation du stockage.

En cas de fuite de données ou de traitements illicites, la loi précise les règles, les informations et les échéances à respecter. Les éventuelles pénalités sont mesurées en fonction de la gravité de l’impact sur les personnes, l’analyse du niveau de la sécurité mise en place, la source volontaire ou non du traitement illicite et le niveau de respect des obligations précisées dans la loi.

La LPD s’applique à toutes les sociétés, suisses ou non suisses, quelle que soit la localisation du traitement, en Suisse, dans le reste de l’Europe ou dans un autre pays hors d’Europe.

Pour les sociétés non spécialisées dans la sécurisation des données, il est conseillé de s’appuyer sur des partenaires spécialisés et de faire appel au service d’un Data Protection Officer (DPO) et ainsi assurer la mise en œuvre de mesures nécessaires.