La détermination de la conformité à la Loi Fédérale sur la Protection des Données (LPD) suisse ou au Règlement Général sur la Protection des Données (RGPD) de l'Union européenne dépend de plusieurs facteurs liés à l'activité de votre entreprise. Voici quelques lignes directrices pour vous aider à déterminer à quelles réglementations votre entreprise doit se conformer :

Si votre entreprise est basée en Suisse :

• LPD : Toutes les entreprises basées en Suisse doivent se conformer à la LPD lorsqu'elles traitent des données personnelles. La LPD est la législation principale en matière de protection des données en Suisse. Elle vise à protéger la vie privée des individus en régulant la manière dont les données personnelles sont traitées par les entités privées et les autorités fédérales.

Si votre entreprise opère au sein de l'UE ou offre des services à des résidents de l'UE :

• RGPD : Le RGPD s'applique à toutes les entreprises qui traitent des données personnelles de résidents de l'Union européenne, indépendamment du lieu où l'entreprise est basée. Cela inclut les entreprises suisses qui offrent des biens ou services aux personnes dans l'UE ou qui surveillent leur comportement (par exemple, le suivi en ligne de leurs activités au sein de l'UE).

Points clés pour déterminer la conformité :

1. Localisation de votre entreprise : Si votre entreprise est basée en Suisse et ne traite pas de données de résidents de l'UE, vous devrez principalement vous conformer à la LPD. 2. Public cible : Si votre entreprise cible ou fournit des services à des résidents de l'UE, vous devez vous conformer au RGPD, en plus de la LPD. 3. Traitement de données à caractère personnel : Évaluez la nature du traitement des données effectué par votre entreprise. Si le traitement inclut des données de résidents de l'UE, le RGPD s'applique. 4. Présence dans l'UE : Avoir une présence physique ou des représentants légaux dans l'UE pour traiter des données personnelles implique également la conformité au RGPD.

La nécessité de se conformer à la LPD ou au RGPD n'est pas mutuellement exclusive. Dans de nombreux cas, les entreprises suisses qui interagissent avec des résidents de l'UE doivent s'assurer qu'elles respectent à la fois la LPD et le RGPD. Une compréhension claire de votre modèle d'affaires et des opérations de traitement des données est essentielle pour déterminer les obligations réglementaires spécifiques.

Différences entre la LPD et la RGPD :

Bien que leurs objectifs soient similaires, il existe plusieurs différences clés entre les deux réglementations :

1. Consentement : - RGPD : exige un consentement explicite et clair de la part des individus pour le traitement de leurs données personnelles pour une ou plusieurs fins spécifiques. - LPD : le consentement n’est nécessaire que lorsqu’il sert à justifier un traitement de données portant atteinte à la personnalité. Par exemple si des données sensibles sont communiquées à des tiers, ou si les données sont réutilisées dans le cadre de campagnes par exemple. Le consentement ne doit pas être confondu avec le devoir d’informer, s’appliquant préalablement au consentement. Le devoir d’informer s’applique même lorsque les données personnelles ne sont pas directement collectées auprès de la personne concernée, mais par le biais de tiers (art. 19, al. 1, LPD).

2. Droits des individus : - RGPD : offre des droits étendus aux individus, y compris le droit à l'oubli, le droit à la portabilité des données, et le droit d'accès et de rectification. - LPD : prévoit des droits similaires, mais il peut y avoir des nuances dans la manière dont ces droits peuvent être exercés. Par exemple, le responsable du traitement peut désormais refuser, restreindre ou différer la communication de renseignements quand la demande d’accès est manifestement infondée ou procédurière. (art. 26, al. 1, let. c, LPD).

3. Violations de données : - RGPD : les entreprises doivent notifier les violations de données aux autorités de contrôle dans les 72 heures suivant leur découverte, et, dans certains cas, aux individus affectés. - LPD : la notification des violations de données est également requise, dans les plus brefs délais, sans précision particulière. - 4. Sanctions : - RGPD : les sanctions pour non-conformité peuvent atteindre jusqu'à 4% du chiffre d'affaires annuel mondial de l'entreprise ou 20 millions d'euros, selon le montant le plus élevé. - LPD : les sanctions sous la LPD sont généralement moins sévères que sous le RGPD, bien qu'elles puissent inclure des amendes et des peines pour les responsables de traitements.

5. Responsable de la protection des données (DPO) : - RGPD : les organisations doivent parfois désigner un DPO pour superviser la conformité avec le RGPD. - LPD : la nécessité d'un DPO n’est pas obligatoire, mais fortement conseillée pour les grandes entreprises.

6. Transfert international de données : - RGPD : le transfert de données en dehors de l'UE est strictement réglementé et ne peut se faire que vers des pays reconnus comme offrant un niveau de protection adéquat, ou à travers des mécanismes spécifiques de protection des données. - LPD : les exigences pour le transfert international de données peuvent être moins strictes, mais les transferts doivent toujours garantir un niveau de protection adéquat. Il est important de consulter la liste des États et des organismes internationaux offrant un niveau de protection adéquat, définit par le Conseil fédéral.

En réalité, pour nombre de petites et moyennes entreprises, nommer un DPO en interne n'est pas toujours judicieux. En effet, selon la densité des traitements, les actions à entreprendre sont limitées et ne justifient pas un poste dédié sur le long terme.

Les entreprises peuvent cependant bénéficier de l'accompagnement de consultants spécialisés dans les démarches de conformité aux exigences légales. Faire appel à des experts externes pour assumer le rôle de DPO offre un accès à une expertise précise lors de besoins spécifiques.