Loi fédérale suisse sur la protection des données

La Suisse dispose d'une loi actualisée sur la protection des données qui entrera en vigueur en 2022 ou au début de 2023. Sa loi sur la protection des données (LPD) actuelle présente de nombreuses similitudes avec le RGPD, ce qui a amené la Commission européenne à prendre une décision d'adéquation pour la Suisse. Cependant, elle nécessitait encore quelques améliorations pour garantir que la loi offre une plus grande protection aux données personnelles des citoyens suisses.

La nouvelle loi suisse sur la protection de la vie privée introduit de nouvelles dispositions sur le consentement, les enregistrements de traitement, les violations de données, l'évaluation de l'impact sur la protection des données, entre autres.

La loi a été adoptée le 25 septembre 2020 par le Parlement suisse. Pour entrer en vigueur, les organes législatifs suisses doivent modifier des ordonnances pour la mise en œuvre de la loi. Les ordonnances contiendront des directives plus détaillées sur la mise en œuvre des dispositions et fixeront la date exacte de l'entrée en vigueur de la loi. D'ici là, les entreprises doivent se préparer aux nouvelles exigences de la Loi fédérale sur la protection des données (LPD).

Le FADP s'applique-t-il à votre entreprise ?

Le FADP suisse s'applique à toutes les entreprises qui :

• sont constitués en Suisse
• Offrir ou fournir des produits et services à des personnes en Suisse.

Outre les entreprises, la loi suisse sur la protection des données s'applique également aux personnes qui traitent des données personnelles, pour autant qu'elles soient suisses ou qu'elles traitent des données de personnes en Suisse.

À quoi s'applique le FADP ?

Le FADP diffère de la loi existante sur la protection des données car il ne protège pas les données des personnes morales. Il s'en tient à la protection des données personnelles des individus, ce qui est conforme au RGPD.

Les données des personnes morales peuvent être protégées par le Code civil suisse, mais pas par le nouveau FADP.

Quelles sont les nouvelles exigences légales suisses en matière de FADP ?

Le nouveau FADP comporte de nouvelles exigences. Les plus importantes d'entre elles sont les suivantes :

Consentement

Les exigences de la loi suisse en matière de consentement aux cookies ont été moins strictes que celles prescrites par le RGPD. Alors que le RGPD exige un consentement spécifique pour chaque finalité de traitement spécifique, la LPD permet au responsable du traitement des données de regrouper toutes les finalités de traitement en une seule demande de consentement, mais cela a changé. Les responsables du traitement des données devront obtenir un consentement spécifique pour une ou plusieurs finalités de traitement spécifiques. Dans le cas contraire, le traitement ne serait pas valide.

Données personnelles sensibles

Le nouveau RGPD élargit la liste des catégories de données personnelles sensibles précédemment prescrites par le précédent RGPD. La nouvelle loi met à jour la liste avec les données personnelles génétiques et biométriques.

Prise de décision automatisée

Si le responsable du traitement prend une décision automatisée concernant une personne en traitant ses données personnelles, cette personne peut s'opposer à ce traitement et demander une vérification manuelle.

Les personnes ont ce droit en vertu du RGPD. Cette mise à jour accorde le même droit aux citoyens suisses ainsi qu'à toutes les autres personnes dont les données sont traitées de cette manière par des entreprises suisses.

Registre des activités de traitement

Les responsables du traitement des données comptant plus de 250 employés doivent tenir des registres de leurs activités de traitement. Les responsables du traitement des données sont tenus de rendre des comptes en vertu de la loi et doivent être en mesure de prouver à tout moment qu'ils traitent les données conformément à la loi.

Les enregistrements du traitement des données sont essentiels pour la responsabilisation. Toutefois, les petites et moyennes entreprises sont exemptées de cette obligation.

Transferts internationaux de données

Les transferts internationaux de données sont autorisés vers les pays offrant un niveau de protection adéquat. Le FDPIC (Federal Data Protection and Information Commissionner) a publié la liste des pays adéquats.

Le responsable du traitement peut transférer des données vers ces pays sans obtenir l'approbation de quiconque ou sans demander de consentement supplémentaire à l'utilisateur.

Lorsqu'il s'agit de transferts vers des pays tiers, le responsable du traitement des données doit recourir à des outils juridiques supplémentaires, tels que le consentement de l'utilisateur, les clauses contractuelles types, etc.

Notifications de violation de données

À l'instar du RGPD, le nouveau FADP prévoit une obligation de notification des violations de données. Il exige que les responsables du traitement des données informent les autorités et éventuellement les personnes concernées si la violation présente un risque pour les droits fondamentaux des personnes concernées.

Cette exigence est clairement conforme à l'exigence du RGPD concernant le signalement des violations de données. La plupart des violations doivent être signalées à l'autorité de protection des données et les personnes doivent également être informées si elles courent des risques.

Évaluation de l'impact sur la protection des données

Les entreprises qui traitent des données personnelles doivent estimer si le traitement comporte un risque pour les droits fondamentaux de la personne dont les données sont sur le point d'être traitées. Si de tels risques existent, l'entreprise doit procéder à une analyse d'impact sur la protection des données (AIPD).

Il n'y a pas de formulaire prescrit pour l'évaluation des risques et des opportunités. Pour autant qu'il y ait une évaluation correcte des risques et des résultats indésirables possibles, ainsi que des mesures de prévention et de correction de ces résultats.

Délégué à la protection des données

Les entreprises n'ont aucune obligation de nommer un DPD pour répondre aux exigences du nouveau FADP. Contrairement au RGPD et au LGPD, qui obligent les entreprises dépassant certains seuils à désigner un DPD, le nouveau FADP ne l'exige pas.

Les entreprises sont encouragées à avoir un conseiller en protection des données, mais elles n'y sont pas obligées.

Quelles sont les sanctions en cas de non-respect du nouveau FADP suisse ?

Le nouveau RGPD prescrit des sanctions pénales pour les violations de la loi. Contrairement au GDPR et à presque toutes les autres lois sur la protection des données en Europe, le nouveau RGPD ne prévoit pas de sanctions administratives.

Le PFPDT enquête sur d'éventuelles violations et s'il constate qu'un responsable du traitement des données a enfreint la loi, il peut émettre des injonctions contraignantes à l'encontre du contrevenant lui demandant de faire ou de cesser de faire quelque chose. Si le responsable du traitement des données remédie à la violation, il peut renoncer aux sanctions.

Dans certains cas, le PFPDT peut choisir de transmettre le dossier aux autorités de poursuite pénale, ce qui peut entraîner des sanctions supplémentaires.

Les sanctions prévues peuvent aller jusqu'à 250 000 francs suisses pour l'individu qui a causé l'infraction. La personne est pénalement responsable même si elle a violé la loi dans le cadre de son travail pour son entreprise. Si l'enquête ne permet pas de déterminer qui est responsable de la violation, l'entreprise peut se voir infliger une amende pécuniaire allant jusqu'à 50 000 CHF.

Nouveau FADP contre GDPR : Quelles sont les principales différences ?

Bien que le nouveau FADP et le GDPR présentent de nombreuses similitudes, il existe également quelques différences. Les plus notables d'entre elles sont :

• Le nouveau FADP n'exige pas du tout la désignation d'un délégué à la protection des données, alors que le GDPR l'exige dans certains cas.
• Le nouveau FADP crée une procédure plus longue entre la découverte d'une violation et la sanction. Il n'y a pas de sanctions administratives ni d'organe d'exécution pour infliger des amendes aux contrevenants. Contrairement au nouveau FADP, le GDPR est célèbre pour ses amendes considérables et la facilité d'application des sanctions.
• Pour le GDPR, un consentement valide doit être donné sans ambiguïté. Cela signifie que l'utilisateur doit agir pour donner son consentement et qu'il ne peut pas le donner de manière passive. Le nouveau FADP ne mentionne pas une telle exigence, bien que ce soit la seule façon d'obtenir un consentement valide, étant donné les autres exigences autour du consentement.
  

Comment se conformer au FADP suisse ?

Pour vous conformer au nouveau FADP, veillez à :

• Disposer d'une politique de confidentialité conforme
• Ne pas utiliser de cookies avant d'avoir obtenu le consentement des utilisateurs
• Disposer d'une bannière de cookies conforme
• Tenir des registres des activités de traitement, si nécessaire
• Mettre en place des procédures de violation des données
• Transférer les données personnelles au niveau international uniquement vers des pays adéquats ou utiliser des outils juridiques supplémentaires pour les transferts vers des pays tiers.
• Réalisez une analyse d'impact sur la protection des données, si nécessaire.

Si vous exercez vos activités en Europe et que vous devez vous conformer au nouveau PPAC, nous avons une solution pour la mise en conformité. Commencez votre essai gratuit ici.

Se mettre en conformité avec le RGPD et les directives de la CNIL sur les cookies

Autres articles

Qu'est-ce qu'une bannière de Cookies, comment en obtenir une et pourquoi vous en avez besoin?