La nouvelle loi et l’ordonnance qui s’y rapporte s’appliquent aussi bien aux particuliers, aux entreprises et aux associations qu’aux organes fédéraux traitant des données personnelles. Mais qu’entend-on par là?
Les données personnelles sont des informations se rapportant à une personne physique identifiée ou identifiable. Voici quelques exemples: nom, adresse courriel ou date de naissance. Le terme de «traitement» est pris au sens très large et recouvre la collecte, l’enregistrement, l’utilisation, la modification et la communication. Cette énumération n’est pas exhaustive. Si la nouvelle loi ne s’applique plus aux données de personnes morales, elle concerne celles du personnel d’une entreprise.
En tant que responsable d’un site Internet, vous devez, dans une déclaration de protection des données, au moins informer les utilisatrices et utilisateurs du fait que les données collectées, p. ex. au moyen du formulaire de contact, de la fonction de commentaire ou de chat, seront traitées. La finalité du traitement ainsi que l’identité de l’organe ou de la personne responsable et les éventuels destinataires à qui les données personnelles seront communiquées doivent être divulgués. Si les données sont transférées à l’étranger, il convient également d’indiquer dans quel pays.
Conformément à la loi révisée sur la protection des données, toute personne a le droit de savoir quelles données la concernant sont enregistrées. Cela vaut non seulement pour les données collectées par un site Internet, mais aussi pour les informations stockées dans des systèmes tels que CRM et ERP ou les notes manuelles. Il est possible de demander à ce que les données soient effacées ou adaptées. Une adresse de contact doit par conséquent figurer dans la déclaration de protection des données afin que l’on sache à qui s’adresser le cas échéant. Important: ces demandes doivent être effectuées dans un délai de 30 jours et sans frais pour les personnes concernées.
En cas de non-respect par une personne responsable de ses obligations d’informer, de renseigner et de collaborer, une amende personnelle allant jusqu'à CHF 250'000 peut être prononcée. Par personnes responsables, on entend soit des membres de la direction ou d’autres personnes habilitées à prendre des décisions au sein de l’entreprise, soit des personnes ayant manqué à leurs obligations, par exemple en violant la confidentialité. Le préposé fédéral à la protection des données et à la transparence (PFPDT) peut dans ces cas dénoncer une infraction auprès de l’autorité de poursuite pénale compétente.