L'historique des lois de protection de données personnelles (Privacy) en Europe montre pourquoi cette évolution était prévisible et d'une certaine façon nécessaire.
Schéma 1 : LPD suisse existe depuis 1992.
La Loi sur la Protection des Données personnelles (LPD), représentée par un ovale rouge, a couvert, et couvre encore durant les premiers mois de 2023
dans sa version "2019", la protection des données personnelles de toutes personnes, physique ou morale, en Suisse, vis-à-vis des traitements effectués par une personne, morale ou physique, elle aussi en Suisse. Il s'agit d'états de la loi assez anciens, résultats d'évolutions depuis la 1ère promulgation en 1992, qui ne prennent pas encore très bien en compte :
* l'omniprésence d'internet, du web et des traitements de données via un réseau informatique à distance, par exemple sur un cloud public ou privé,
* les traitements de données transfrontaliers,
* l'émergence des traitements de données par intelligence artificielle.
Schéma 2 : LPD incorpore cybersécurité en version 2014
Ces versions précédentes de la LPD incluent déjà l'exigence d'assurer la sécurité des données personnelles traitées.
La sécurité informatique de ces données, cybersécurité, représentée par un ovale marqué en pointillés, n'est pas égale à la conformité à la loi LPD : par exemple, une société de courtage en assurance pourrait tout à fait sécuriser parfaitement les données personnelles de ses clients, tout en ne respectant pas la loi LPD, par exemple en transmettant des données de santé de ses assurés-mandataires à des compagnies d'assurance, alors que ceci ne serait ni autorisé par ces clients, ni requis par la LAMal.
Schéma 3 : RGPD entre en vigueur en 2018
Au moment où le Règlement (terme équivalent à Loi) Général pour la Protection des Données (RGPD) de l'Union Européenne (UE) est entrée en vigueur en 2018, il a créé une base réglementaire sans équivalent au niveau mondial. Comme ce texte GDPR (acronyme équivalent de RGPD en langue anglaise) posait aussi des exigences fortes sur les traitements de données concernant des personnes résidentes de l'UE depuis d'autres juridictions que celles de pays-membres de l'UE, la Suisse s'est trouvé nécessairement fortement impactée, comme pays voisin avec de forts échanges de données avec des pays membres de l'UE.
À noter que le RGPD pose aussi la cybersécurité des données personnelles comme une exigence, de façon plus forte que la LPD suisse encore.
Schéma 4 : nLPD 2023 assure une meilleure cohérence avec RGPD.
La nouvelle loi LPD suisse, abrégée en nLPD et représentée par l'ovale en couleur violette, représente une évolution vers davantage de cohérence avec le règlement RGPD de l'UE. Des exigences portées par les anciennes versions de la LPD ont été abandonnées, en rouge à gauche, beaucoup d'autres en alignement avec le RGPD ont été ajoutées.
Le but du Parlement était de se rapprocher du RGPD de l'UE, assurer ainsi la compatibilité des lois entre Suisse et UE et la continuité de l'équivalence des niveaux de protection des données, et finalement pouvoir continuer ainsi un échange de données personnelles très simplifié entre Suisse et UE.
L'atelier-formation proposé par Academy Agile accompagne les étudiants représentant chacun leur personne légale (société privée, association, ...) à bien analyser les risques de ce qui se passe dans leur cas pour le reste d'ovale rouge (exigences anciennes de la LPD), les parties d'ovale violet (nLPD) qui sont nouvelles cf. l'ovale rouge, la cybersécurité implicite (ovale en pointillés), et les parties d'ovale bleu (RGPD) qui pourraient concerner leur cas de figure.
Chaque situation individuelle à suivre lors de l'atelier-formation ... ;)