Skip to main content
bâtiment blanc et brun au bord d'une étendue d'eau calme

Qu'est-ce que la nFADP ? - Nouvelle loi fédérale sur la protection des données (nFADP)

Écrit par InvestGlass sur .

Loi fédérale sur la protection des données
Bundesgesetz über den Datenschutz
Legge federale sulla protezione dei dati

Que devez-vous savoir ?

  • Le consentement n'est en aucun cas requis pour la collecte/le traitement des données.
  • Entrée en vigueur le 1er septembre 2023.
  • S'applique aux personnes physiques (et non plus aux personnes morales) et aux entités commerciales et non commerciales qui traitent les données des citoyens suisses.
  • Les entités sont responsables de la conformité du traitement des données, même si elles font appel à des tiers (comme des fournisseurs) pour le faire.
  • Tous les sous-traitants doivent prendre des mesures organisationnelles et techniques raisonnables pour garantir la confidentialité et la sécurité des données.
  • S'applique aux données contenues dans les fichiers physiques et électroniques.
  • Droit extraterritorial, les entités qui traitent des données personnelles ne doivent pas nécessairement être basées en Suisse.
  • Interdit les transferts de données personnelles de la Suisse vers des pays avec lesquels elle n'a pas conclu d'accord d'adéquation, à moins que le consentement explicite de l'utilisateur n'ait été obtenu de la part des personnes concernées.

Lignes directrices en matière de notification

Avant toute collecte de données, les personnes doivent être informées, que leur consentement soit ou non nécessaire pour le traitement ultérieur des données.

Les entreprises doivent communiquer de manière transparente les informations suivantes, éventuellement sur une page web dédiée à la politique de confidentialité, qui sont également des critères essentiels pour obtenir un consentement valable :

- Qui contrôle les données : l'entreprise ou une partie externe.

- Comment contacter le responsable du traitement des données.

- Qui reçoit les données et toute autre partie interagissant avec l'ensemble des données.

- Le pays du destinataire si les données sont envoyées au-delà des frontières.

- Les raisons de la collecte et de l'utilisation des données.

- Catégories de données pertinentes collectées.

- Comment les données sont collectées, le cas échéant.

- Justification légale du traitement, le cas échéant.

- Les droits des personnes concernant leurs données en vertu du PDAF, y compris leur capacité à refuser ou à rétracter leur consentement.

Lignes directrices sur le consentement

Contrairement au GDPR, le FADP permet aux entités de traiter des données personnelles sans fondement juridique distinct, à moins que des conditions spécifiques ne soient remplies. Les situations nécessitant un consentement sont les suivantes :

- Gestion des données individuelles sensibles.

- Activités de profilage à haut risque menées par des particuliers.

- Tâches de profilage entreprises par une institution fédérale (gouvernement).

- Partage des données avec des pays extérieurs ne disposant pas de mesures de protection des données suffisantes.

Bien que le PDAF offre d'autres motifs légaux pour le traitement des données que le consentement (tels que les mandats légaux ou l'intérêt public prédominant), ils sont plus limités que le GDPR. Si le consentement est jugé nécessaire, il doit être obtenu avant ou pendant la phase de collecte des données. Comme le GDPR, le FADP exige que le consentement de l'utilisateur soit détaillé, bien informé et donné librement. Pour garantir la conformité, une plateforme de gestion du consentement est essentielle. Elle peut aider à créer des notifications conformes pour les utilisateurs - par exemple, en améliorant une page de politique de confidentialité - et à capturer et archiver les consentements conformes. Grâce à la géolocalisation, il est possible de mettre en place des configurations multiples, répondant à diverses réglementations telles que le GDPR et le FADP, ajustées en fonction de la localisation de l'utilisateur.

Droits des clients

- Demander si des informations les concernant sont ou ont été traitées (ils ne peuvent pas renoncer à ce droit de savoir à l'avance) et demander à consulter les données collectées à leur sujet.

- Obtenir une copie physique de leurs données, imprimée ou photocopiée, sans frais.

- demander la rectification de leurs données personnelles si celles-ci s'avèrent erronées ou incomplètes (cette demande peut être limitée, refusée ou reportée pour des raisons telles que des préoccupations de sécurité, pour sauvegarder des enquêtes criminelles ou pour donner la priorité aux droits de tierces parties importantes).

VOTRE LISTE DE CONTRÔLE FADP

  • Élaborez ou actualisez la politique de confidentialité de votre site web, en l'adaptant à votre activité, à vos utilisateurs et aux données que vous traitez.
  • Informez toujours les utilisateurs sur le traitement des données, même si leur consentement n'est pas nécessaire.
  • Utilisez une plateforme de consentement pour maintenir votre politique de confidentialité à jour et la rendre conviviale.
  • Dressez une liste claire des pays avec lesquels vous partagez des données et, si ces pays ne disposent pas d'un accord sur les données, obtenez le consentement de l'utilisateur avant de les partager.
  • Recueillir et stocker les autorisations des utilisateurs en toute sécurité, en particulier pour les données sensibles.
  • Mettez à jour les règles de données de votre entreprise et partagez-les avec votre équipe.
  • Conservez un registre de toutes les activités relatives aux données.
  • Disposer d'un système permettant de répondre rapidement aux demandes de données des utilisateurs, telles que l'accès ou les corrections.
  • Veiller à ce que les utilisateurs puissent facilement obtenir leurs données, soit sur papier, soit dans un format numérique commun.
  • Effectuez une évaluation si vous traitez beaucoup de données sensibles.
  • Disposer d'un plan en cas de violation de données et notifier les parties nécessaires, y compris les tiers, en cas de violation.
  • Mettez à jour les contrats avec les tiers pour garantir la sécurité des données. N'oubliez pas que c'est vous qui êtes responsable en dernier ressort.
  • Ne conservez les données que le temps nécessaire et supprimez-les ou rendez-les anonymes par la suite.
  • Désigner un responsable de la protection des données pour gérer les politiques et communiquer avec les utilisateurs.
  • Consultez régulièrement des experts juridiques au sujet de vos obligations dans le cadre du PDAF.

AVERTISSEMENT IMPORTANT : Les informations fournies dans ce document ne constituent pas, et ne sont pas destinées à constituer, un avis juridique ; au contraire, toutes les informations, le contenu et les documents disponibles sur ce site sont uniquement destinés à des fins d'information générale. Les lecteurs de ce document doivent contacter leur avocat pour obtenir des conseils sur toute question juridique particulière. Aucun lecteur, utilisateur ou navigateur de ce site ne doit agir ou s'abstenir d'agir sur la base des informations contenues dans ce site sans avoir au préalable demandé l'avis d'un avocat dans la juridiction concernée. Seul votre avocat peut vous garantir que les informations contenues dans ce site - et l'interprétation que vous en faites - sont applicables ou appropriées à votre situation particulière.