Photo © Indigita

Par Elena Liotto, Head of Marketing & Communications at Indigita SA

Le 1er septembre 2023, la législation suisse sur la protection des données a connu une mise à jour majeure avec l’entrée en vigueur de la nouvelle loi fédérale sur la protection des données (nLPD). La nouvelle loi suisse sur la protection des données n’est pas la seule réglementation affectant le traitement des données par les institutions financières en Suisse.

On trouve des références à la protection des données dans le Code suisse des Obligations (CO), la loi sur le blanchiment d’argent (LBA), la loi fédérale contre la concurrence déloyale (LCD), les lois cantonales, le droit du travail, les circulaires et les directives de la FINMA et, peut-être plus connue encore, la loi sur les banques (LB).

En outre, les principes et les orientations introduits par le Règlement général sur la protection des données (RGPD) de l’Union européenne en 2018 sont applicables à travers les industries et les marchés géographiques, affectant les institutions suisses qui opèrent avec des clients basés dans l’UE. nLPD est étroitement alignée sur les normes établies par la RGPD. Toutefois, il subsiste certaines différences entre les deux, que les institutions financières doivent connaître.

Droits des personnes concernées dans le secteur financier

La RGPD et la nLPD accordent aux personnes concernées divers droits, notamment l’accès aux données personnelles, leur rectification, leur suppression et leur portabilité. Toutefois, il existe certaines limitations et conditions qui découlent, par exemple, des réglementations anti-blanchiment d’argent en Suisse. Dans ce cas, le délai de conservation et de fourniture des documents bancaires contenant des données personnelles est de dix ans.

Approche de la protection des données fondée sur des principes ou sur des règles

La protection des données étant de plus en plus étroitement liée à la gestion des risques, les institutions financières doivent évaluer les risques pour les personnes concernées d’une manière objective et structurée. Contrairement à l’approche fondée sur des principes que l’on trouve dans la RGPD, la législation suisse préconise une approche fondée sur des règles. Elle impose des exigences explicites aux responsables du traitement et aux sous-traitants et énumère en détail les mesures techniques et organisationnelles requises dans la nouvelle ordonnance sur la protection des données (nOLPD).

La nLPD introduit l’obligation de tenir un registre des activités de traitement

Par analogie avec l’article 30 de la RGPD, les institutions financières suisses sont désormais tenues par la nLPD de tenir un registre des activités de traitement (RoPA, pour Record of Processing Activities). Ce registre est un élément fondamental de la documentation exigée par les autorités et sert d’outil organisationnel pour l’ensemble du système de gestion de la protection des données. Entre autres, le registre des activités de traitement d’une banque ou d’un gestionnaire de fortune doit inclure la finalité du traitement, les catégories de données traitées, ainsi que la période de conservation, ou les critères permettant de déterminer la durée de cette période, s’ils découlent d’autres lois.

Les exemptions pour les PME ne s’appliquent pas aux petites institutions financières

Les données traitées par les institutions financières sont considérées comme les plus sensibles, quelle que soit la taille de l’organisation. Alors que la nLPD prévoit des exemptions pour les PME de moins de 250 employés « dont le traitement des données présente un risque limité d’atteinte à la personnalité des personnes concernées », les petites banques et les gestionnaires d’actifs sont toujours tenus de conserver un registre des activités de traitement en raison de la nature sensible des données privées qu’ils traitent.

Le transfert transfrontalier de données est soumis à des conditions strictes

La RGPD et la nLPD imposent toutes deux des conditions strictes au transfert de données entre juridictions. Le transfert de données peut être autorisé lorsqu’un niveau adéquat de protection des données est garanti par des décisions d’adéquation, des clauses contractuelles types (CCT), des règles d’entreprise contraignantes (BCR), des mécanismes de certification et des codes de conduite. Conformément à la nLPD, le Conseil fédéral suisse publie une liste révisée périodiquement des pays qui garantissent un niveau adéquat de protection des données. Dans l’UE, le caractère adéquat est déterminé par la Commission européenne. Lorsque des données sont transférées à l’étranger, une liste des pays concernés doit figurer dans l’avis de confidentialité.

Les amendes et les sanctions deviennent personnelles dans le cadre de la nLPD

Les amendes sont un domaine dans lequel la RGPD et la nLPD diffèrent considérablement. Alors que la RGPD ne prévoit que des amendes et des sanctions pour les organisations, la nLPD tient l’individu, qui a le pouvoir de décision et de supervision ultime, personnellement responsable et prévoit des amendes pouvant aller jusqu’à 250 000 francs suisses. En ce qui concerne les dispositions pénales, toute personne qui viole intentionnellement les exigences minimales en matière de sécurité des données est passible d’une amende pouvant aller jusqu’à 250 000 francs suisses. Avec la nLPD, l’organisation elle-même ne peut être condamnée à une amende allant jusqu’à 50 000 francs suisses que si l’identification d’une personne physique responsable au sein de l’organisation nécessiterait un effort disproportionné.

Différences dans la notification des violations de données

La RGPD et la nLPD imposent toutes deux la notification des violations de données. Alors que la RGPD fixe un délai de 72 heures pour la notification aux autorités de contrôle, la nLPD demande que le Préposé fédéral à la protection des données et à la transparence (PFPDT) soit informé « dès que possible ». La RGPD exige que toutes les violations soient notifiées à moins que la violation en question ne soit pas susceptible de créer un risque pour les droits et libertés des personnes concernées. La nLPD, quant à elle, exige une notification dans les cas où il existe un risque élevé pour la personnalité ou pour les droits fondamentaux de la personne concernée.

La nLPD ne demande pas explicitement la désignation d’un délégué à la protection des données

La RGPD impose la désignation d’un délégué à la protection des données (DPD ou DPO, pour Data Protection Officer) pour certaines organisations afin de faciliter la conformité à la RGPD et la communication avec les autorités chargées de la protection des données. La nLPD ne demande pas explicitement la désignation d’un DPD mais permet aux institutions financières suisses de désigner volontairement un conseiller à la protection des données (DPA, pour Data Protection Advisor), bien que cela soit fortement recommandé.

En résumé, la RGPD et la nLPD visent toutes deux à protéger la vie privée et les données personnelles des individus. Dans la plupart des cas, les deux législations sont alignées, mais il existe des différences concernant la juridiction applicable, la documentation et les dispositions légales spécifiques, les transferts transfrontaliers de données, les mandats de DPD et les sanctions. Il est important de rappeler que les banques et les gestionnaires de fortune suisses qui traitent des données privées de résidents de l’UE sont également soumis à la RGPD. Assurer la conformité avec les deux législations reste une tâche complexe pour les banques et les gestionnaires de fortune. Pour préserver les infrastructures critiques, les systèmes financiers, ainsi que les activités de marketing et de communication d’un point de vue de la cybersécurité et de la protection des données personnelles, une formation adéquate et continue des employés est nécessaire pour les sensibiliser aux risques et leur expliquer les comportements appropriés. En se conformant à la RGPD et à la nLPD, les institutions financières préserveront la confidentialité des données de leurs clients ainsi que leur propre réputation et atténueront les risques juridiques tant au niveau de l’entreprise qu’au niveau personnel.

Retrouvez l’ensemble de nos articles Décryptage