Accueil ' Ressources ' Articles 'Loi fédérale suisse sur la protection des données...

Explication des révisions de la loi fédérale suisse sur la protection des données (LPD)

Couvert par Termly

Par : Anokhy Desai CIPP/US, CIPT, CIPM Anokhy Desai CIPP/US, CIPT, CIPM | Mise à jour le : 31 octobre 2024

Se conformer gratuitement au PDAF
Suisse - Révision de la loi fédérale sur la protection des données (LPD) -01

La loi fédérale sur la protection des données (LPD) et l'ordonnance relative à la loi fédérale sur la protection des données (l'ordonnance) ont été révisées en 2023 pour mieux s'aligner sur le règlement général sur la protection des données.

Dans ce guide, je décris les exigences auxquelles les entreprises doivent se conformer en vertu de la version révisée du PAFD suisse et j'explique comment ces mises à jour affectent à la fois les entreprises et les consommateurs.

Table des matières
  1. Principales révisions du PDAF suisse
  2. Qu'est-ce que la loi fédérale sur la protection des données (LPD) ?
  3. Le PDAA suisse révisé par rapport au PDAA original
  4. À qui s'applique le PDAF suisse révisé ?
  5. Qui le PDAF suisse révisé protège-t-il ?
  6. Comment le RGPD suisse révisé se compare-t-il au GDPR?
  7. Comment Termly peut-il aider à la mise en conformité avec le PDAA suisse ?
  8. Résumé

Principales révisions du PDAF suisse

Les révisions de la loi fédérale suisse sur la protection des données apportent plusieurs changements concernant son champ d'application territorial, les droits des consommateurs et les obligations en matière de traitement des données.

Le plan révisé comprend

  • Un champ d'application extraterritorial explicite.
  • L'extension des données sensibles aux informations génétiques et biométriques.
  • L'obligation pour les responsables du traitement ou les sous-traitants étrangers de désigner un représentant en Suisse.
  • Couverture des personnes physiques par rapport aux personnes morales.
  • Des droits plus étendus pour les individus.
  • L'obligation pour les entreprises de notifier aux individus tout traitement de données.
  • L'obligation pour certaines entreprises de créer un registre de leurs activités de traitement.
  • Nouvelles obligations concernant le signalement et la notification d'une violation de données.

Qu'est-ce que la loi fédérale sur la protection des données (LPD) ?

La loi fédérale suisse sur la protection des données(LPD) est la principale réglementation du pays en matière de confidentialité et de protection des données.

Elle protège la nation en même temps que l'ordonnance relative à la loi fédérale sur la protection des données, ou l'ordonnance, et est en vigueur depuis 1993.

Pourquoi le PPAA suisse a-t-il été révisé ?

Le Conseil fédéral suisse a révisé le RGPD pour mieux l'aligner sur le GDPR, la loi sur la protection de la vie privée qui protège les consommateurs dans l'Union européenne (UE)/Espace économique européen (EEE).

L'alignement du GDPR suisse sur le GDPR permet à la Suisse de rester un pays adéquat pour les transferts internationaux de données en provenance de l'UE.

Les révisions permettent également de s'assurer que le PDAF tient mieux compte de notre paysage numérique moderne, car l'internet est très différent aujourd'hui de ce qu'il était en 1993, lorsque la loi a été créée.

À cette fin, le PDA révisé définit de nouvelles obligations que les entreprises doivent respecter pour protéger les données.

Quand les révisions du PDAA sont-elles entrées en vigueur ?

Le PDAF révisé et l'ordonnance révisée sont entrés en vigueur le 1er septembre 2023.

Cette annonce fait suite à l'adoption par le Parlement fédéral d'une version révisée du PDAF le 25 septembre 2020 et à l'adoption par le Conseil fédéral de la version révisée de l'ordonnance le 31 août 2022.

Le PDAA suisse révisé par rapport au PDAA original

Le PDAF révisé diffère de l'ancienne version de la loi en ce qui concerne le champ d'application, les définitions, les droits et les obligations des entreprises.

Examinons plus en détail les révisions du PDAF et de l'ordonnance, qui ne sont actuellement disponibles qu'en français, en allemand et en italien.

Nouveau champ d'application territorial

L'article 3 du PDAF révisé prévoit explicitement un champ d'application extraterritorial.

En d'autres termes, les exigences de la loi s'appliquent aux entités situées en dehors des frontières territoriales de la Suisse.

Plus précisément, le PAFD révisé couvre tout traitement de données susceptible d'avoir un effet en Suisse, y compris un impact sur les droits à la vie privée des personnes en vertu de la loi.

Définition élargie des données sensibles

La version révisée du PAFD suisse met également à jour la définition des données sensibles en ajoutant les données génétiques et biométriques à la catégorie officielle.

Des droits des consommateurs plus étendus

En vertu de la version révisée du PDAF, les consommateurs disposent désormais de droits plus étendus en matière de confidentialité des données.

L'article 25 (et ce qui suit) du nouveau PDAA et l'article 16 de l'ordonnance révisée prévoient désormais des droits individuels qui s'alignent davantage sur les principes d'équité et de transparence du GDPR

En outre, le PDAF révisé ne protège que les données des personnes physiques, au lieu de protéger les données des personnes morales comme c'était le cas à l'origine.

Obligations actualisées concernant les contrôleurs ou les sous-traitants étrangers

L'article 14 du RGPD révisé impose désormais aux entreprises étrangères qui agissent en tant que responsables du traitement de données personnelles de personnes suisses d'avoir un représentant en Suisse :

  • Le traitement concerne l'offre de biens et de services ou le suivi du comportement des personnes en Suisse.
  • La transformation se fait à grande échelle.
  • Le traitement est considéré comme régulier.
  • Le traitement présente un risque élevé pour la personnalité ou les droits fondamentaux des personnes.

Notification obligatoire du traitement des données

Un autre changement introduit par les révisions du RGPD suisse concerne la manière dont les entités informent les personnes des activités de traitement des données.

En vertu de l'article 19 du PAFD révisé et de l'article 13 de l'ordonnance révisée, les entreprises doivent informer les personnes de tout traitement de données, et pas seulement des traitements de données sensibles.

Obligations de notification des violations de données

En vertu de l'article 24 du PDC révisé et de l'article 15 de l'ordonnance révisée, les entreprises doivent désormais signaler les violations de données au Préposé fédéral à la protection des données et à la transparence.

Toutefois, le PDAF révisé prévoit toujours un seuil de notification des violations plus élevé que le GDPR.

Par exemple, la loi suisse vous oblige à notifier les personnes si la violation entraîne un risque élevé pour la personnalité ou les droits fondamentaux des individus.

Le GDPR exige une notification de violation pour tout risque concernant les droits et libertés des individus.

En vertu de l'article 24 de l'ordonnance révisée, les entreprises doivent également informer les personnes concernées par une violation de la sécurité si :

  • Le PRDF l'exige.
  • Ces informations sont pertinentes pour la protection des personnes.

En outre, les entreprises doivent désormais tenir des registres spécifiques concernant l'enregistrement, la modification, la consultation, la communication et l'effacement des données à caractère personnel.

Selon l'article 4 révisé de l'ordonnance, ces registres sont obligatoires :

  • Pour tout traitement automatisé de données sensibles à grande échelle.
  • Pour le profilage à haut risque.
  • Si les mesures préventives ne suffisent pas à garantir la protection des données.

Évaluations de l'impact de la protection des données (DPIA)

En vertu de la version révisée du RGPD suisse, les entreprises doivent procéder à des évaluations de l'impact sur la protection des données (DPIA) pour certaines activités de traitement des données.

En particulier, en vertu de l'article 22 du RGPD et de l'article 14 de l'ordonnance, les entités doivent effectuer une DPIA si le traitement des données est susceptible d'entraîner un risque élevé pour la personnalité et les droits fondamentaux des personnes.

Mise à jour des obligations en matière de tenue de registres

À l'instar de l'article 30 du GDPR relatif aux registres des activités de traitement, l'article 12 du RGPD révisé et l'article 24 de l'ordonnance exigent également que certaines entreprises conservent un registre de leurs activités de traitement.

Les entités qui comptent plus de 250 employés ou qui traitent des données à caractère personnel d'une manière qui présente des risques pour la personnalité des personnes doivent tenir un registre de leurs activités de traitement.

Ce dossier doit contenir toutes les informations suivantes :

  • Identité du responsable du traitement
  • Finalité du traitement
  • Catégories de personnes concernées et catégories de données à caractère personnel traitées
  • Catégories de tiers
  • Si possible, la période de conservation des données ou les critères pour déterminer la période de conservation
  • Si possible, une description des mesures prises pour garantir la sécurité des données à caractère personnel
  • En cas de transfert international, le nom du pays et le mécanisme de transfert utilisé

Politiques internes concernant le traitement de données sensibles à grande échelle

Un autre changement introduit par les révisions du PDAF et de l'ordonnance concerne les politiques internes des entreprises en matière de données sensibles.

Selon l'article 5 de l'ordonnance révisée, les entreprises doivent désormais créer et maintenir des politiques et des procédures internes concernant tout traitement automatisé des données :

  • Données sensibles à grande échelle.
  • Profilage à haut risque.

À qui s'applique le PDAF suisse révisé ?

Toute entité qui traite des données de personnes physiques en Suisse doit se conformer au PDAF révisé.

Si le traitement des données peut avoir un effet réel ou potentiel en Suisse, ce traitement doit respecter les obligations prévues par le RGPD révisé.

Les révisions tiennent compte des effets que le traitement pourrait avoir sur les droits individuels, d'où la mise à jour du champ d'application du PDAF.

Qui le PDAF suisse révisé protège-t-il ?

Le RGPD révisé protège les données des personnes physiques en Suisse, c'est-à-dire tout être humain vivant, quel que soit son statut de citoyen.

Le PDAF révisé protège tout être humain en Suisse.

Il s'agit d'un changement important, car l'ancien plan de développement de l'agriculture protégeait les personnes morales, c'est-à-dire qu'il s'appuyait sur le statut de citoyen.

Comment le RGPD suisse révisé se compare-t-il au GDPR?

Le PDAF révisé présente quelques différences notables avec le GDPR.

Base juridique

En vertu du RGPD suisse révisé, le traitement des données à caractère personnel est généralement autorisé et ne nécessite pas de base juridique telle que le consentement.

Toutefois, en vertu du GDPR, tout traitement de données nécessite une base juridique, ce qui constitue une différence notable entre les deux textes législatifs.

Délégués à la protection des données (DPD)

En vertu de l'article 10 du RGPD révisé et de l'article 23 de l'ordonnance révisée, les entités n'ont pas besoin de désigner un délégué à la protection des données (DPD).

Toutefois, le GDPR énonce plusieurs raisons pour lesquelles un responsable du traitement des données et un sous-traitant pourraient avoir besoin d'en désigner un, comme l'explique l'article 37.

Amendes et sanctions

Le PDA révisé a adapté les dispositions relatives aux sanctions en les augmentant assez fortement - de 10 000 CHF (9 980 €/11 391 $) à un nouveau maximum de 250 000 CHF (249 460 €/284 906 $).

Toutefois, ce montant reste bien inférieur aux amendes maximales prévues en cas de violation du GDPR.

En vertu du GDPR, l'amende maximale est de 20 millions d'euros (19 millions de francs suisses, 22 millions de dollars).

Dans le cas d'une société, la sanction peut atteindre 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent ou 20 millions d'euros, le montant le plus élevé étant retenu.

Contrairement au GDPR, les amendes prévues par le FADP révisé visent davantage le ou les employés responsables de la violation que l'entreprise elle-même, ce qui constitue une autre différence notable.

Violations de données

En vertu du PDAF révisé, les entreprises doivent signaler les violations de données dans les plus brefs délais.

En revanche, le GDPR prévoit un délai de 72 heures.

Profilage et traitement des données à haut risque

Contrairement au GDPR, le traitement des données à caractère personnel à des fins de profilage dans le cadre du FADP révisé ne relève pas de la base juridique ou de l'exigence de consentement.

Il relève plutôt de l'exigence d'un profilage à haut risque, c'est-à-dire d'un traitement susceptible d'entraîner un risque élevé pour la personnalité et les droits fondamentaux de l'individu.

Définition des données sensibles

Il est intéressant de noter que la définition des données sensibles du PDAF révisé est plus large que celle du GDPR.

Le PDAF suisse comprend des données relatives aux procédures et sanctions administratives ou pénales et aux mesures de sécurité sociale, qui ne sont pas incluses dans la définition du GDPR .

Comment Termly peut-il aider à la mise en conformité avec le PDAA suisse ?

Termly propose des outils et des ressources approuvés par notre équipe juridique et nos experts en matière de protection de la vie privée afin de permettre à votre entreprise de satisfaire plus facilement aux exigences énoncées dans des lois telles que le PDAF.

Notre Générateur de politique de confidentialité vous pose des questions simples sur votre entreprise, ses activités de traitement de données et les champs d'application légaux dont vous relevez, y compris le RGPD suisse révisé et le GDPR.

Il élabore ensuite une politique de confidentialité unique en fonction de vos réponses, que vous pouvez facilement publier sur votre site web ou votre application.

Résumé

Les révisions de la loi fédérale suisse sur la protection des données ont introduit plusieurs changements importants concernant les obligations des entreprises et les droits des consommateurs, ce qui permet de mieux l'aligner sur le GDPR.

La loi a désormais une portée extraterritoriale explicite, protège toutes les personnes physiques de la région et inclut les données biométriques et génétiques dans sa définition des données sensibles.

Elle a également introduit l'obligation pour les responsables du traitement ou les sous-traitants étrangers de désigner un représentant suisse et a donné aux personnes protégées des droits plus étendus sur leurs données à caractère personnel.

Vous pouvez facilement mettre à jour votre politique de protection de la vie privée pour répondre aux normes définies par le PDAF suisse révisé en utilisant le siteTermly's Générateur de politique de confidentialité.

Anokhy Desai CIPP/US, CIPT, CIPM
En savoir plus sur l'auteur

Écrit par Anokhy Desai CIPP/US, CIPT, CIPM

Anokhy est une avocate spécialisée dans la protection de la vie privée qui a acquis une expérience dans le domaine de la protection de la vie privée et de la cybersécurité dans les secteurs public et privé. En tant qu'ancienne Westin Fellow à l'IAPP, elle a publié plusieurs articles, livres blancs et infographies, et a dirigé, coordonné et modéré des webinaires et des panels, tous concernant la protection de la vie privée aux États-Unis et les technologies de protection de la vie privée. Anokhy a obtenu une maîtrise à l'université Carnegie Mellon et un doctorat en droit à l'université de Pittsburgh. En savoir plus sur l'auteur
termly-dashboard-add-privacy-policy-screenshot-with-green-checkmark

Se conformer au PDAF GRATUITEMENT

Termly génère une politique de confidentialité et une solution de consentement prêtes pour le PDAA en quelques MINUTES !
Mise en conformité gratuite avec le PDAA

Articles connexes

  1. Qu'est-ce qu'une politique de protection de la vie privée ?
    Qu'est-ce qu'une politique de confidentialité ? Tout ce que les entreprises doivent savoir
    Articles

    21 février 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  2. 9-Questions courantes de politique de protection de la vie privée à éviter - Copy-01
    9 problèmes courants à éviter en matière de politique de protection de la vie privée
    Articles

    21 février 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  3. Comment naviguer dans les exigences de la CCPA-DSAR-01
    Les exigences du DSAR de l'ACCP : Comment s'y retrouver en 6 étapes simples
    Guides

    20 février 2025
    Anokhy Desai CIPP/US, CIPT, CIPM
  4. Politique de protection de la vie privée - Mise à jour-01
    Mises à jour de la politique de confidentialité : Pourquoi et comment mettre à jour
    Articles

    20 février 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  5. Politique de confidentialité pour WordPress
    WordPress politique de confidentialité: Comment en créer un
    Articles

    19 février 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  6. Termly
    Termly vs. OneTrust : Comparaison des caractéristiques et des services
    Comparaisons

    14 février 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM
  7. Qu'est-ce que la loi de l'Oregon sur la protection de la vie privée des consommateurs (OCPA)-01 ?
    Loi de l'Oregon sur la protection de la vie privée des consommateurs : Premier aperçu et résumé
    Articles

    14 février 2025
    Josh Langeland, CIPM
  8. Qu'est-ce que la déclaration de confidentialité des données de Floride (FDBR)-01 ?
    Charte des droits numériques de Floride : Premier aperçu et résumé
    Articles

    14 février 2025
    Josh Langeland, CIPM
  9. COPPA-Childrens-Online-Privacy-Protection-Act-Compliance-Guide-01 (en anglais)
    COPPA : Explication de la loi sur la protection de la vie privée des enfants en ligne
    Articles

    13 février 2025
    Josh Langeland, CIPM

Explorer d'autres ressources