Module 231

Questionnaire No 1

1. Que signifie l’abréviation RévLPD ?

Révision générale de la loi sur la protection des données.

2. Que signifie l’abréviation OLPD et à quoi cela va-t-il servir ?

Ordonnance de la Loi sur la Protection des Données.
L’ordonnance est le document qui précise de quelle manière pratique doit être appliqué une loi.

3. Quelle différence y a-t-il entre une « personne physique » et une « personne morale » ?
Personne physique == être humain, personne morale == entreprise.

4. Lister les données personnelles qualifiées de sensibles dans la nouvelle RévLPD

- Les données sur les opinions ou les activités religieuses, philosophiques, politiques ou syndicales,
- Les données sur la santé, la sphère intime ou l’origine raciale ou ethnique,
- Les données génétiques,
- Les données biométriques identifiant une personne physique de manière univoque,
- Les données sur des poursuites ou sanctions pénales et administratives,
- Les données sur des mesures d’aide sociale.

5. Expliquer ce que signifie « profilage à risque élevé »

Si des données à caractère personnel sont traitées automatiquement et qu'une combinaison de
données permet d'évaluer les "aspects essentiels de la personnalité", on sera en présence de
profilage à risque élevé. La définition juridique est très ouverte et une différenciation du profilage
"ordinaire" ne sera pas facile en pratique. Il est à espérer que l’OLPD apportera des précisions à ce
sujet.

6. Que doit-on obligatoirement obtenir de l’utilisateur si l’on envisage de procéder à un « profilage » ?

Il faudra s'assurer que tous les principes généraux du traitement soient respectés ou qu'il existe une
autre justification (en particulier le consentement de la personne concernée).
7. A quoi va servir « le répertoire des activités de traitement des données » ?
Le registre du responsable du traitement doit documenter les indications suivantes:
 L’identité du responsable du traitement;
 La finalité du traitement;
 Une description des catégories de personnes concernées et des catégories de données
personnelles traitées;
 Les catégories de destinataires;
 Dans la mesure du possible, le délai de conservation des données personnelles ou les
critères pour déterminer la durée de conservation;
 Dans la mesure du possible, une description générale des mesures visant à garantir la
sécurité des données selon l’art. 8;
 En cas de communication de données personnelles à l’étranger, le nom de l’État
concerné et les garanties prévues à l’art. 16, al. 2.

8. Comment régler la relation entre un « mandant » et un « sous-traitant » lors de la sous-traitance

des données ?
Selon la RévLPD, une relation de sous-traitance des données peut être établie par contrat ou par
les dispositions prévues par la loi.

Version : 1.0 © EPSIC – Tony Favre-Bulle

Edition : 14.09.2021 Lausanne
1/2
 Module 231
Questionnaire No 1

9. Que signifie les termes suivants : « Privacy-by-Design » et « Privacy-by-Default » ?

Dès la phase de planification, le responsable doit concevoir le traitement des données sur le plan
technique et organisationnel de manière que les règles de protection des données, en particulier les
principes de traitement, soient respectés (Privacy-by-Design).
En outre, il doit concevoir les paramètres par défaut, par exemple pour les applications ou les sites
web, de manière que le traitement des données à caractère personnel soit limité au minimum
nécessaire pour la finalité prévue (Privacy-by-Default).
10. Dans la RévLPD quelles sont les « exigences en matière d’information » qui devront être fournie à la
personne propriétaire des données personnelles ?
Les informations minimales suivantes doivent désormais être fournies à la personne concernée :
 L’identité et les coordonnées de la personne responsable du traitement
 L’objet du traitement des données
 Le cas échéant, les destinataires ou les catégories de destinataires auxquels les données à
caractère personnel sont communiquées.

11. Qu’entend-on par « extension des obligations d’information » ?

L'obligation de fournir des informations n'est plus limitée aux informations minimales définies de
manière exhaustive (qui comprennent désormais également des informations sur la durée de la
conservation, les transferts internationaux et les décisions individuelles automatisées), mais
comprend également toutes les informations qui seraient nécessaires à la personne concernée pour
faire valoir ses droits en vertu de la RévLPD.
12. Qu’est-ce-que le « droit de portabilité » des données personnelles ?
Ce droit permet à la personne concernée d’exiger du responsable du traitement, généralement
gratuitement, la communication de ses données personnelles dans un format électronique commun
ou leur transfert à un autre responsable du traitement.

13. Quelle seront les nouvelles règles à observer lors d’un constat de « violation de la protection des
données » ?
Les responsables du traitement sont tenus d'informer le Préposé fédéral à la protection des données
et à la transparence (« PFPDT ») dans les plus brefs délais en cas de violation de la protection des
données, s'il existe un risque grave pour la personnalité ou pour les droits fondamentaux des
personnes concernées.
14. Quelles sont les sanctions prévues dans la RévLPD ?
Les personnes physiques peuvent désormais être condamnées à une amende allant jusqu'à CHF
250'000 (contre CHF 10’000 auparavant), notamment en cas de violation intentionnelle des
obligations d'information ou de diligence. À l'avenir, le non-respect de la protection des données
n'entraînera donc pas seulement des risques de réputation pour les entreprises, mais pourrait
également avoir des conséquences pénales de grande envergure pour les employés considérés
responsables.

Version : 1.0 © EPSIC – Tony Favre-Bulle

Edition : 14.09.2021 Lausanne
2/2