La Suisse est à l’avant-garde de plusieurs pays qui soutiennent et renforcent la protection des données. Alors que l’ère numérique a radicalement transformé la façon dont les données sont collectées et partagées, leur protection adéquate reste une priorité au-delà des frontières.
La réponse de la Suisse à ce défi? La nouvelle loi fédérale sur la protection des données (nFADP). Cette loi, saluée comme une étape essentielle vers le renforcement de la confidentialité des données en Suisse, porte en elle l’essence des normes européennes tout en les intégrant au paysage sociopolitique unique de la Suisse.
FADP : un voyage de 1992 à 2023
La protection des données n’est pas un concept nouveau pour les Suisses. En 1992, la Suisse a adopté sa première loi fédérale sur la protection des données (FADP). Cependant, compte tenu des progrès technologiques rapides, il est devenu de plus en plus évident que l’ancienne loi devenait quelque peu désuète.
Des mises à jour partielles en 2009 et 2019 visaient à combler certaines de ces lacunes, mais une refonte complète est rapidement devenue une préoccupation majeure.
C’est lors de la session d’automne 2020 du Parlement que la nFADP a été ratifiée, dans le but de fournir aux citoyens suisses des droits solides concernant leurs données personnelles. L’alignement de la nFADP sur le célèbre règlement général européen sur la protection des données (RGPD) témoigne de l’engagement de la Suisse à maintenir un flux de données continu entre ses territoires et l’Union européenne.
RGPD et FADP : un aperçu comparatif
Alors, pourquoi la Suisse (qui n’est pas membre de l’Espace économique européen ou EEE) cherche-t-elle à s’aligner sur le RGPD ?
La réponse réside dans les économies interdépendantes et la numérisation croissante des entreprises transfrontalières. De nombreuses entreprises basées en Suisse ont une clientèle dans l’UE. Ainsi, le maintien de la conformité au RGPD devient crucial, non seulement pour la continuité des activités, mais aussi pour préserver la confiance des consommateurs européens.
Pourtant, la nFADP n’est pas une simple réplique du RGPD. Bien que les deux partagent des principes fondamentaux, la PFDN est particulièrement adaptée au contexte national de la Suisse.
Une différence significative est le mécanisme d’application. Contrairement à ses homologues européens, le Préposé fédéral à la protection des données et à la transparence (PFPDT) ne peut pas infliger d’amendes directes. Au lieu de cela, les autorités régionales chargées des poursuites jouent ce rôle pour la responsabilisation locale.
Nitty-Gritties de données personnelles
Au cœur de la nFADP se trouve l’objectif de protéger les « données personnelles ». Mais qu’est-ce que cela inclut?
En termes simples, c’est n’importe quel détail qui peut identifier l’identité d’une personne, qu’il s’agisse d’un nom complet, d’une adresse, d’un lieu de travail ou même d’un numéro de téléphone. Mais ce n’est pas tout. Un sous-ensemble appelé « données personnelles sensibles » va encore plus loin, couvrant des facettes telles que les croyances, la santé, l’origine raciale et le casier judiciaire.
Qui et où le nFADP s’applique-t-il?
Si vous êtes une entité privée ou un organisme fédéral traitant les données personnelles des résidents suisses, la nFADP est votre stratégie, même si le traitement des données a lieu en dehors des frontières suisses. Cependant, la nFADP n’est pas omniprésente : elle exclut les données personnelles traitées pour certaines activités parlementaires et processus judiciaires spécifiques.
Démêler les principes
Le nFADP repose sur un socle de principes qui guident le traitement des données. Ces principes sont les suivants :
Traitement licite
Il est impératif de respecter la loi lors du traitement des données personnelles.
Bonne foi et proportionnalité
Maintenir l’authenticité et l’équilibre pendant le traitement des données.
Objectif spécifique
Les données devraient être collectées dans un but clair et leur traitement devrait s’aligner sur cette intention.
Conservation des données
La conservation des données obsolètes est interdite ; il devrait être détruit ou anonymisé.
Exactitude des données
La tenue de registres de données précis n’est pas négociable. Les mesures correctives sont essentielles pour tout écart.
Et puis il y a la question du « consentement », qui est un pilier dans le monde du traitement des données. Il doit être informé, explicite et spécifique, en particulier lors du traitement de données personnelles sensibles ou d’un profilage à haut risque.
Droits des individus
La nFADP est avant tout une loi centrée sur le citoyen. Elle confère aux Suisses plusieurs droits:
Droit à l’information
On peut demander des détails sur le traitement de leurs données.
Droit d’accès et de transfert
Les individus ont le privilège d’obtenir leurs données personnelles et même de les transférer à d’autres contrôleurs.
Droit de rectification
Si des inexactitudes de données surviennent, on peut exiger leur correction.
Droit de suppression
Si le traitement des données dépasse les limites légales, la suppression peut être demandée.
Droits concernant les décisions automatisées
Les individus peuvent demander des éclaircissements et même un examen humain si les décisions automatisées les affectent.
Mais ces droits ne sont pas débridés. Par exemple, les médias ont certains privilèges pour restreindre l’accès aux données si cela met en péril l’intégrité journalistique.
Infractions et répercussions
Les personnes qui enfreignent les dispositions de la nFADP sont passibles d’amendes pouvant aller jusqu’à 250 000 CHF. Dans certains scénarios, les entreprises peuvent faire face à des pénalités allant jusqu’à CHF 50’000.-.
Contrôleurs de données et processeurs
Les contrôleurs de données et les processeurs ne sont pas en reste. Ils doivent être transparents dans leur collecte de données, effectuer des évaluations d’impact sur les données et signaler rapidement les violations.
Une liste de contrôle de conformité complète
Pour assurer l’harmonisation avec le nFADP :
- Vérifiez si le nFADP régit vos activités de données.
- Traitez toujours les données en toute sécurité et à des fins claires.
- Équipez-vous d’outils de sécurité appropriés.
- Favoriser la transparence, en particulier lors de la collecte des données.
- Répondez rapidement aux demandes d’accès, de transfert, de rectification des données, etc.
- Restez prêt pour les activités de données à haut risque et les violations potentielles.
- Assurer les transferts internationaux de données uniquement dans des cadres de protection appropriés.
- Conservez des enregistrements méticuleux de toutes les activités de données.
- Utilisez des mesures de protection supplémentaires pour les données sensibles et le profilage.
La nouvelle FADP est plus qu’une simple loi. C’est l’engagement de la Suisse envers ses citoyens et, en s’alignant sur les normes mondiales et en mettant l’accent sur la transparence, la LPDA devrait renforcer la réputation du pays en tant que leader en matière de confidentialité des données.