Le respect de la législation de l’Union européenne (UE) en matière de protection de la vie privée constitue un défi pour de nombreuses entreprises établies dans des pays non membres de l’UE. Il s’agit notamment d’entreprises de régions dotées de régimes de protection des données relativement solides, comme la Suisse.
La Suisse n’est ni membre de l’UE ni membre de l’Espace économique européen (EEE), qui comprend tous les États membres de l’UE ainsi que la Norvège, l’Islande et le Liechtenstein. La Suisse est membre de l’Espace européen de libre-échange (AELE), tout comme la Norvège, l’Islande et le Liechtenstein. En tant que membre de l’AELE, la Suisse fait partie du “marché unique” de l’UE.
Dans cet article :
Dans cet article, nous examinons comment les entreprises en Suisse peuvent s’efforcer de se conformer à la législation européenne sur la protection de la vie privée (GDPR). Depuis le 1er septembre 2023, la nouvelle loi suisse sur la protection des données (LPD) est en vigueur ; nous la comparerons avec le GDPR dans cet article.
Les entreprises de l’UE peuvent-elles transférer des données à caractère personnel à des entreprises situées en Suisse ?
La Suisse n’est ni membre de l’UE ni membre de l’Espace économique européen (EEE). La Suisse est donc un pays tiers.
L’UE a établi des règles strictes pour le transfert de données à caractère personnel vers ces pays tiers.
Si votre entreprise collecte des données à caractère personnel au sein de l’EEE, vous ne devez normalement pas les transférer à une autre entreprise en dehors de l’EEE sans garanties appropriées. Par exemple, les parties impliquées dans le transfert peuvent être amenées à signer un contrat standardisé pour garantir la sécurité des données à caractère personnel après la fin du transfert.
Pourquoi l’examen du PDAA est-il important ?
Le PDAF original date de 1992 ; avec la révision du PDAF, le gouvernement suisse répond aux changements fondamentaux du paysage technologique et social survenus depuis 1992. L’objectif est de donner aux personnes concernées une plus grande autodétermination en ce qui concerne leurs données.
De plus, en alignant ce nouveau PDAF sur le GDPR, la Suisse est reconnue comme un pays tiers avec un niveau adéquat de protection des données.
La Suisse ayant reçu une décision d’adéquation, les entreprises de l’EEE ne doivent pas prendre de mesures spéciales pour sécuriser le transfert de données personnelles vers la Suisse. Ils peuvent transférer des données à caractère personnel de la manière habituelle, tout comme au sein de l’EEE.
Différences entre le PDAF et le GDPR
Le GDPR et le FADP présentent de nombreuses similitudes, notamment des sanctions strictes en cas de violation et l’accent mis sur la confidentialité et la protection des données (lois sur la protection de la vie privée). Toutefois, les dispositions des deux règlements diffèrent en détail dans certains domaines clés.
Les sept principales différences sont les suivantes :
-
Sanctions
La législation sur la protection de la vie privée prévoit que les autorités de contrôle de chaque État membre de l’UE peuvent imposer des amendes administratives et des astreintes en cas de non-respect des dispositions du GDPR. Il prévoit des amendes pouvant atteindre 4 % du chiffre d’affaires annuel mondial de l’entreprise ou 20 millions d’euros (le montant le plus élevé étant retenu) pour les infractions les plus graves, par exemple le traitement de données à caractère personnel sans le consentement de l’intéressé ou l’absence de mise en œuvre de mesures de sécurité adéquates. Le nouveau PDAF ne veut pas que des amendes absurdes soient imposées. En effet, les individus peuvent être condamnés à une amende allant jusqu’à 250 000 francs suisses, soit 257 588,32 euros.
-
Désignation d’un délégué à la protection des données (DPD)
L’article 37 du GDPR stipule que la désignation d’un délégué à la protection des données (DPD) est obligatoire. délégué à la protection des données (DPD) est obligatoire dans certaines circonstances. En revanche, le RGPD ne prévoit pas l’obligation de nommer un délégué à la protection des données – conseiller à la protection des données (DPA) en Suisse – mais cela est fortement recommandé. Le DPA est le point de contact unique en Suisse pour le préposé fédéral à la protection des données et à la transparence (PFPDT).
-
Notifications de violations de données
Le GDPR stipule que les violations de données doivent être signalées à l’autorité de contrôle compétente de l’UE dans les 72 heures. Le PDAF stipule que les violations de données doivent être signalées au PFPDT dans les plus brefs délais.
-
Exporter des données
L’adéquation des exportations de données est déterminée en Europe par la Commission européenne. Les dispositions contractuelles standard et les règles contraignantes de l’entreprise s’appliquent. En Suisse, l’adéquation des exportations de données est déterminée par le Conseil fédéral suisse. Des clauses contractuelles types de l’UE et des règles commerciales contraignantes peuvent être appliquées.
-
Analyse d’impact de la protection des données
Le GDPR stipule qu’une analyse d’impact sur la protection des données (DPIA) doit être effectuée s’il existe un risque élevé pour la vie privée ou les droits fondamentaux des personnes concernées. Si le risque persiste malgré les mesures prises, l’autorité de contrôle de la protection des données doit être consultée. Le PDAF prévoit une disposition similaire mais ajoute que si le risque persiste malgré les mesures prises, on peut choisir de consulter une ACS au lieu de la PFPDT.
-
Profilage
Le GDPR prévoit une obligation générale de consentement. Le RGPD adopte une approche légèrement différente à cet égard, puisque la loi révisée réglemente le profilage, c’est-à-dire le traitement automatisé de données visant à évaluer des aspects personnels d’une personne, tels que sa situation économique, sa santé, ses intérêts, son comportement ou sa localisation. L’obligation générale de consentement n’est prévue dans le PFDA que dans les cas de profilage à haut risque.
-
Données sensibles
Les données sensibles au sens du GDPR comprennent les données suivantes : l’origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques ou l’appartenance syndicale, les données génétiques, les données biométriques, les données relatives à la santé ou à la vie sexuelle ou à l’orientation sexuelle d’une personne physique.
Les données personnelles sensibles au sens du PDAF comprennent également les données relatives aux procédures et sanctions administratives ou pénales, ainsi que les données relatives aux mesures de sécurité sociale. Cela signifie que le PDAF prévoit deux catégories supplémentaires par rapport au GDPR.
Nommer un représentant de l’UE
Le nouveau PDAA s’aligne autant que possible sur le GDPR afin que les entreprises suisses conservent leur avantage concurrentiel.
Malgré cela, la Suisse reste un pays non membre de l’EEE. La plupart des entreprises non membres de l’EEE qui exercent des activités dans l’UE doivent désigner un représentant dans l’UE. Cela s’applique aux entreprises suisses ainsi qu’à celles d’autres pays hors EEE.
Le représentant de l’UE est le principal point de contact de votre entreprise avec l’UE.
Si vous avez d’autres questions à ce sujet, veuillez contacter l’un de nos
représentants de l’UE
contact