Lors de sa séance du 31 août 2022, le Conseil fédéral a confirmé l’entrée en vigueur de la nouvelle loi sur la protection des données (LPD) au 1er septembre 2023. Le Conseil fédéral a également publié la nouvelle ordonnance sur la protection des données (OPD) qui est entrée en vigueur en même temps que la LPD. La révision de la LPD doit surtout être considérée dans le contexte du règlement européen (UE) 2016/679 du 27 avril 2016, à savoir le règlement général sur la protection des données (RGPD). Pour la Suisse, il est essentiel de continuer d’être reconnue par l’UE comme État-tiers avec une protection des données adéquate afin que la transmission internationale des données sans obstacles reste également possible à l’avenir. Dans cette optique, les dispositions du droit suisse de la protection des données ont été adaptées au RGPD, mais elles divergent toutefois encore sur plusieurs points des principes du RGPD.
Les nouvelles directives sont plus complètes, plus efficaces et parfois même plus sévères que les précédentes. La nouvelle LPD donne encore davantage d’importance à la protection des données. Il est donc d’autant plus crucial de mettre en place une protection des données conforme à la loi et d’appliquer les directives avec soin.
Dans le domaine de la prévoyance professionnelle, il convient de noter que les dispositions spécifiables de la LPP et de la LFLP relatives à la protection des données peuvent parfois prévaloir sur les dispositions de la LPD. Les institutions de prévoyance qui mettent en œuvre la prévoyance professionnelle obligatoire sont soumises aux dispositions du droit de la prévoyance relatives à la protection des données. Les prescriptions de la LPD, en particulier les principes concernant le traitement des données, s'appliquent à titre complémentaire. Selon la LPD, les institutions de prévoyance sont considérées comme des organes fédéraux et doivent à ce titre disposer d’une base légale pour le traitement et la communication des données personnelles, celle-ci est fournie aux art. 85a ss LPP. Dans le domaine de la prévoyance professionnelle surobligatoire et extra-obligatoire plus étendue, les institutions de prévoyance sont considérées comme des personnes privées et seules les directives de la LPD (avec exceptions) sont applicables. En tant que personnes privées, elles ont le droit de traiter les données personnelles également sans bases légales dès lors qu’aucune atteinte illicite n’est portée à la personnalité des personnes concernées dans ce cadre. La LPD entièrement révisée ne change rien à ce principe.
La nouvelle LPD s’applique toujours au traitement des données personnelles des personnes physiques, c'est-à-dire aux informations qui se rapportent à une personne physique identifiée ou identifiable. Des règles particulières s’appliquent notamment aux données personnelles sensibles, telles que les données relatives à la santé. Les données des personnes morales ne sont en revanche plus prises en compte par la nouvelle LPD.
Les principes du traitement des données restent pour l’essentiel inchangés, notamment celui selon lequel le traitement des données doit être effectué de manière licite et proportionné. Les données ne peuvent être collectées et traitées que conformément à leur finalité. Elles doivent être détruites dès qu’elles ne sont plus nécessaires aux fins du traitement.
Valitas assume ses responsabilités vis-à-vis de la fondation collective qui lui a été confiée pour la gestion et la gestion de la caisse de pension, des entreprises affiliées et des assurés qu’elle prend ainsi en charge. En attendant l’entrée en vigueur de la loi, les processus existants ont été repensés et révisés puis réimplémentés. En outre, de nouveaux processus ont également été mis en place lorsque cela s’avérait nécessaire. En particulier, un registre des activités de traitement a été établi, des informations ont été fournies sur la collecte de données personnelles, un processus d’analyse d’impact sur la protection des données et de notification des violations de la sécurité des données a été mis en place. De même, le processus de communication des informations a été adapté et un nouveau processus a été mis en place pour la divulgation ou le transfert de données sur demande.
Dans le cadre de la mise en œuvre de la LPD, nous avons inscrit l’ensemble des fondations qui nous ont été confiées ainsi que Valitas AG comme responsables communs au registre des activités de traitement – PFPDT (Préposé fédéral à la protection des données et à la transparence). En ce qui concerne l’exécution de la nouvelle LPD, il convient de noter que le PFPDT a reçu des compétences d’enquête et d’action plus étendues et peut prendre des mesures administratives. De plus, le champ d’application des sanctions a été élargi et les amendes ont été augmentées et peuvent désormais aller jusqu’à CHF 250 000.–. Cela nous a amené à introduire d’autres mesures, telles que, lorsque cela s’est avéré nécessaire, un échange d’e-mails protégé et des dossiers anonymisés pour nos partenaires comme les courtiers, les intermédiaires et les experts en prévoyance professionnelle. En outre, nous avons informé et instruit nos collaborateurs sur tout le territoire au sujet de la nouvelle loi sur la protection des données. Les nouveaux collaborateurs seront systématiquement formés à nos directives LPD lors du processus d’intégration. Sur notre page d’accueil, tous les clients, les assurés, les partenaires et les personnes intéressées trouveront les informations et les explications requises dans notre déclaration de protection des données https://www.valitas.ch/fr/protection-des-donnees/. En cas de besoin, vous pouvez nous contacter à propos de la protection des données à la nouvelle adresse e-mail datenschutz@valitas.ch. Votre demande sera directement transmise à notre coordinateur de la protection des données. Ce dernier est autorisé à éclaircir les faits avec notre conseiller en protection des données et à déterminer des mesures correspondantes.
La protection des données doit évidemment être comprise comme un processus continu, qui s’adapte et s’améliore sans cesse. Nous nous attachons en permanence à contrôler nos processus et à les ajuster au besoin. Malheureusement, cela a aussi pour conséquence désagréable de partiellement alourdir voire empêcher l’échange de données personnelles avec nos partenaires. Les fondements de l’échange de données personnelles reposent constamment sur les bases légales. Cela signifie que nous sommes de plus en plus tributaires d’une procuration individuelle des assurés, notamment chez les conseillers.
L’entrée en vigueur de la nouvelle LPD étant récente, l’ensemble de la branche doit encore se repérer en matière de gestion des données personnelles. L’un ou l’autre processus devra certainement être modifié sur la base de l’interprétation légale plus précise ou des expériences faites.
Nous vous remercions de votre compréhension pour la mise en œuvre des nouvelles directives légales, notamment en ce qui concerne la gestion des données personnelles sensibles.