Qui est concerné par les modifications de la loi ?
Les entreprises privées, les organes fédéraux, mais aussi les associations et les exploitants privés de blogs ou de newsletters. En d'autres termes, tous ceux qui collectent/traitent des données personnelles (par ex. via un formulaire de contact, une fonction de commentaire, un chat, des listes de commande).
 
Voici ce qui change concrètement dans la LPD révisée
1. obligation de tenir un registre des activités de traitement des données : Un registre de toutes les activités de traitement des données doit être tenu et mis à jour. Des exceptions sont possibles pour les PME comptant jusqu'à 250 collaborateurs.

2. déclaration de protection des données obligatoire pour plus de transparence : les responsables de sites web/blogs, etc. doivent établir une déclaration de protection des données pour chaque collecte de données personnelles (personnes physiques uniquement). Ces infos sont obligatoires : finalité du traitement ; identité et coordonnées du service ou de la personne responsable ; éventuels tiers destinataires des données personnelles ainsi que les éventuels pays si les données sont exportées à l'étranger.

3. le contrat de traitement des commandes est obligatoire : le mandant peut confier le traitement des données à des tiers (outsourcing), mais il doit conclure un contrat et reste responsable de la sécurité des données. Si le sous-traitant fait appel à une autre partie, cela n'est autorisé qu'avec l'accord préalable du donneur d'ordre.
 
4. notification de violation de données : si une violation de la sécurité des données apparaît, ce qui entraîne un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées, cela doit être notifié au PFPDT.

5. Droits concrétisés : toute personne a le droit de savoir quelles données la concernant sont enregistrées. Elle peut les faire corriger ou supprimer.
 
6. Des amendes plus élevées : Quiconque enfreint l'obligation de renseigner, d'informer ou de collaborer peut être puni d'une amende pouvant aller jusqu'à 250 000 CHF.
 
Que dois-je faire maintenant ?
Toutes les entreprises suisses doivent adapter leurs directives et déclarations de protection des données existantes d'ici au 1er septembre 2023.