Recevez des informations exclusives sur les lois relatives à la confidentialité, les stratégies de conformité et les mises à jour de produits directement dans votre boîte de réception
La Suisse dispose d'une loi actualisée sur la protection des données qui entrera en vigueur en 2022 ou au début de 2023. Découvrez ici les nouvelles exigences de la loi fédérale suisse sur la protection des données (LPD).
La Suisse dispose d'une loi actualisée sur la protection des données qui entrera en vigueur en 2022 ou au début de 2023. Sa loi sur la protection des données (LPD) actuelle présente de nombreuses similitudes avec le RGPD, ce qui a amené la Commission européenne à prendre une décision d'adéquation pour la Suisse. Cependant, elle nécessitait encore quelques améliorations pour garantir que la loi offre une plus grande protection aux données personnelles des citoyens suisses.
La nouvelle loi suisse sur la protection de la vie privée introduit de nouvelles dispositions sur le consentement, les enregistrements de traitement, les violations de données, l'évaluation de l'impact sur la protection des données, entre autres.
La loi a été adoptée le 25 septembre 2020 par le Parlement suisse. Pour entrer en vigueur, les organes législatifs suisses doivent modifier des ordonnances pour la mise en œuvre de la loi. Les ordonnances contiendront des directives plus détaillées sur la mise en œuvre des dispositions et fixeront la date exacte de l'entrée en vigueur de la loi. D'ici là, les entreprises doivent se préparer aux nouvelles exigences de la Loi fédérale sur la protection des données (LPD).
Le FADP suisse s'applique à toutes les entreprises qui :
Outre les entreprises, la loi suisse sur la protection des données s'applique également aux personnes qui traitent des données personnelles, pour autant qu'elles soient suisses ou qu'elles traitent des données de personnes en Suisse.
Le FADP diffère de la loi existante sur la protection des données car il ne protège pas les données des personnes morales. Il s'en tient à la protection des données personnelles des individus, ce qui est conforme au RGPD.
Les données des personnes morales peuvent être protégées par le Code civil suisse, mais pas par le nouveau FADP.
Le nouveau FADP comporte de nouvelles exigences. Les plus importantes d'entre elles sont les suivantes :
Les exigences de la loi suisse en matière de consentement aux cookies ont été moins strictes que celles prescrites par le RGPD. Alors que le RGPD exige un consentement spécifique pour chaque finalité de traitement spécifique, la LPD permet au responsable du traitement des données de regrouper toutes les finalités de traitement en une seule demande de consentement, mais cela a changé. Les responsables du traitement des données devront obtenir un consentement spécifique pour une ou plusieurs finalités de traitement spécifiques. Dans le cas contraire, le traitement ne serait pas valide.
Le nouveau RGPD élargit la liste des catégories de données personnelles sensibles précédemment prescrites par le précédent RGPD. La nouvelle loi met à jour la liste avec les données personnelles génétiques et biométriques.
Si le responsable du traitement prend une décision automatisée concernant une personne en traitant ses données personnelles, cette personne peut s'opposer à ce traitement et demander une vérification manuelle.
Les personnes ont ce droit en vertu du RGPD. Cette mise à jour accorde le même droit aux citoyens suisses ainsi qu'à toutes les autres personnes dont les données sont traitées de cette manière par des entreprises suisses.
Les responsables du traitement des données comptant plus de 250 employés doivent tenir des registres de leurs activités de traitement. Les responsables du traitement des données sont tenus de rendre des comptes en vertu de la loi et doivent être en mesure de prouver à tout moment qu'ils traitent les données conformément à la loi.
Les enregistrements du traitement des données sont essentiels pour la responsabilisation. Toutefois, les petites et moyennes entreprises sont exemptées de cette obligation.
Les transferts internationaux de données sont autorisés vers les pays offrant un niveau de protection adéquat. Le FDPIC (Federal Data Protection and Information Commissionner) a publié la liste des pays adéquats.
Le responsable du traitement peut transférer des données vers ces pays sans obtenir l'approbation de quiconque ou sans demander de consentement supplémentaire à l'utilisateur.
Lorsqu'il s'agit de transferts vers des pays tiers, le responsable du traitement des données doit recourir à des outils juridiques supplémentaires, tels que le consentement de l'utilisateur, les clauses contractuelles types, etc.
À l'instar du RGPD, le nouveau FADP prévoit une obligation de notification des violations de données. Il exige que les responsables du traitement des données informent les autorités et éventuellement les personnes concernées si la violation présente un risque pour les droits fondamentaux des personnes concernées.
Cette exigence est clairement conforme à l'exigence du RGPD concernant le signalement des violations de données. La plupart des violations doivent être signalées à l'autorité de protection des données et les personnes doivent également être informées si elles courent des risques.
Les entreprises qui traitent des données personnelles doivent estimer si le traitement comporte un risque pour les droits fondamentaux de la personne dont les données sont sur le point d'être traitées. Si de tels risques existent, l'entreprise doit procéder à une analyse d'impact sur la protection des données (AIPD).
Il n'y a pas de formulaire prescrit pour l'évaluation des risques et des opportunités. Pour autant qu'il y ait une évaluation correcte des risques et des résultats indésirables possibles, ainsi que des mesures de prévention et de correction de ces résultats.
Les entreprises n'ont aucune obligation de nommer un DPD pour répondre aux exigences du nouveau FADP. Contrairement au RGPD et au LGPD, qui obligent les entreprises dépassant certains seuils à désigner un DPD, le nouveau FADP ne l'exige pas.
Les entreprises sont encouragées à avoir un conseiller en protection des données, mais elles n'y sont pas obligées.
Le nouveau RGPD prescrit des sanctions pénales pour les violations de la loi. Contrairement au GDPR et à presque toutes les autres lois sur la protection des données en Europe, le nouveau RGPD ne prévoit pas de sanctions administratives.
Le PFPDT enquête sur d'éventuelles violations et s'il constate qu'un responsable du traitement des données a enfreint la loi, il peut émettre des injonctions contraignantes à l'encontre du contrevenant lui demandant de faire ou de cesser de faire quelque chose. Si le responsable du traitement des données remédie à la violation, il peut renoncer aux sanctions.
Dans certains cas, le PFPDT peut choisir de transmettre le dossier aux autorités de poursuite pénale, ce qui peut entraîner des sanctions supplémentaires.
Les sanctions prévues peuvent aller jusqu'à 250 000 francs suisses pour l'individu qui a causé l'infraction. La personne est pénalement responsable même si elle a violé la loi dans le cadre de son travail pour son entreprise. Si l'enquête ne permet pas de déterminer qui est responsable de la violation, l'entreprise peut se voir infliger une amende pécuniaire allant jusqu'à 50 000 CHF.
Bien que le nouveau FADP et le GDPR présentent de nombreuses similitudes, il existe également quelques différences. Les plus notables d'entre elles sont :
Pour vous conformer au nouveau FADP, veillez à :
Si vous exercez vos activités en Europe et que vous devez vous conformer au nouveau PPAC, nous avons une solution pour la mise en conformité. Commencez votre essai gratuit ici.
Se mettre en conformité avec le RGPD et les directives de la CNIL sur les cookies
Qu'est-ce qu'une bannière de Cookies, comment en obtenir une et pourquoi vous en avez besoin?
Explore more privacy compliance insights and best practices
