À partir du 1er septembre 2023, date d’entrée en vigueur de la nouvelle mouture de la loi sur la protection des données suisse, toute personne qui viole la règlementation sera sujette à des conséquences financières importantes, pouvant atteindre CHF 250’000. Les entreprises seront particulièrement sanctionnées si elles ne remplissent pas leurs obligations d’information et de documentation, ou si elles compromettent la sécurité des données. Les cadres de ces entreprises sont les plus exposés aux sanctions, mais pour des infractions mineures (<50k CHF), l’autorité pourrait choisir de ne pas identifier les personnes responsables et de condamner l’entreprise (plutôt que la personne responsable) à payer l’amende.
La liste des sanctions est la suivante:
- Violation des obligations d’informer, de renseigner et de collaborer: les personnes privées peuvent être amendées jusqu’à 250 000 CHF si elles fournissant intentionnellement des renseignements inexacts ou incomplets et/ou omettent intentionnellement d’informer la personne concernée et/ou de lui fournir les informations prévues. L’amende sera la même si ils fournissent au PFPDT (Préposé fédéral à la protection des données et à la transparence) des renseignements inexacts.
- Violation des devoirs de diligence: les personnes peuvent être amendées jusqu’à 250 000 CHF si elles communiquent des données personnelles à l’étranger, confient le traitement de données personnelles à un sous-traitant sans que les conditions légales soient respectées ou ne respectent pas les exigences minimales en matière de sécurité des données édictées par le Conseil fédéral
- Violation du devoir de discrétion: quiconque révèle intentionnellement des données personnelles secrètes (qu’il aurait obtenues par l’excercice de sa profession) sera condamné à une amende de 250 000 francs au plus.
- Insoumission à une décision: Si une personne ne se conforme pas à une décision du Préposé à la Protection des données ou d’une autre autorité, elle peut s’attendre à une amende atteignant 250 000 CHF
Les sanctions encourues par la LPD sont certes bien moins sévères que celles de la RGPD (Règlement Général sur la Protection des données, de l’Union Européenne), mais elles peuvent tout de même mettre certaines entreprises dans une situation de fragilité. Il est donc primordial de respecter cette règlementation et de se faire conseiller afin d’assurer sa mise en conformité.