Qu'est-ce que le NFADP ? Guide de la nouvelle loi suisse sur la protection des données

La législation suisse sur la protection des données a été complètement révisée en 2023 avec l'introduction de la nouvelle loi fédérale sur la protection des données (NFAdP). À compter du 1er septembre 2023, la NFAdP a remplacé la Loi fédérale sur la protection des données (LDAP) de 1992 afin de moderniser les règles de confidentialité en fonction de l'évolution de l'environnement commercial. Concrètement, le NFAdP aligne les exigences suisses de manière beaucoup plus proche du RGPD de l'UE. Elle accorde de nouveaux droits aux particuliers, accroît les obligations des entreprises et garantit la libre circulation des données entre la Suisse et l'UE.

La loi suisse sur la protection des données couvre désormais toute organisation traitant des données personnelles de résidents suisses, que le traitement des données ait lieu en Suisse ou à l'étranger. En bref, le NFAdP met la Suisse en conformité avec les normes mondiales de confidentialité, et les entreprises de toutes tailles doivent adapter leurs pratiques en conséquence. Dans cet article, nous explorerons ce que cette nouvelle loi fédérale sur la protection des données apporte, qui doit se conformer à la NfAdP, à ses principes fondamentaux et aux meilleures pratiques pour les entreprises.

Introduction au nFADP, qu'est-ce que c'est ?

Le NFAdP (parfois appelé FADP révisé) est la nouvelle loi suisse sur la protection des données qui remplace l'ancienne loi de 1992. Il a été adopté par le Parlement en 2020 et est entré en vigueur le 1er septembre 2023. Son objectif principal est « d'améliorer le traitement des données personnelles et d'accorder de nouveaux droits aux personnes concernées » tout en introduisant de nouvelles obligations de conformité pour les entreprises. Cette mise à jour était attendue depuis longtemps : à l'ère d'Internet, de l'Internet des objets et des mégadonnées, les législateurs suisses ont reconnu que l'ancienne loi était obsolète. En s'alignant sur le cadre du RGPD, le NFAdP aide la Suisse à conserver son statut d'adéquation des données dans l'UE et Pays du RGPD (ce qui signifie que l'UE considère que les règles suisses en matière de confidentialité sont suffisantes), ce qui permet aux entreprises suisses de rester compétitives en Europe. Dans la pratique, la nouvelle loi suisse sur la protection des données signifie que les entreprises doivent examiner chaque processus de traitement des données personnelles, de la collecte au stockage, et appliquer des principes de confidentialité modernes.

Essentiellement, le NfAdP garantit aux citoyens suisses un droit à la vie privée et une transparence renforcés. Les entreprises doivent désormais intégrer la protection des données dans leurs systèmes (confidentialité dès la conception) et suivre des règles strictes en matière de consentement et de notification des violations. La loi est extraterritoriale : elle s'applique même aux entreprises situées hors de Suisse si elles traitent des données concernant des Suisses. En raison de cette vaste portée, de nombreuses entreprises internationales qui vendent en Suisse doivent revoir leurs politiques.

Principaux objectifs du NFAdP

Le NFAdP a été conçu avec plusieurs objectifs clairs à l'esprit :

• Moderniser la législation sur la confidentialité : Aligner la législation suisse sur la confidentialité des données avec les technologies et les pratiques sociales contemporaines (par exemple, englober les services en ligne, les applications mobiles et les appareils IoT). Cette refonte était nécessaire pour protéger les citoyens dans le monde numérique d'aujourd'hui.
  
  
• Aligner sur les normes européennes : Assurez la compatibilité avec le RGPD afin que les données suisses puissent toujours circuler librement vers l'UE. Le NFAdP suit de nombreux principes et exigences du RGPD afin de maintenir l'accord d'adéquation entre l'UE et la Suisse.
  
  
• Renforcer les droits individuels : La nouvelle loi suisse sur la protection des données étend et clarifie les droits des personnes concernées. Les résidents suisses peuvent désormais accéder facilement à leurs données et les corriger et, dans certains cas, demander leur suppression. La loi ajoute également le droit à la portabilité des données et des règles explicites en matière de consentement.
  
  
• Améliorer la transparence et la responsabilité : Exiger des entreprises qu'elles fassent preuve de transparence en ce qui concerne l'utilisation des données. Les entreprises doivent indiquer pourquoi elles collectent des données, qui les consulte et sur quelle base légale. Ils doivent également tenir des registres détaillés et être en mesure de prouver leur conformité.
  
  
• Améliorez la sécurité et la gestion des violations : Imposer des mesures de sécurité plus strictes et mettre en place un processus rapide de notification des violations. Les organisations doivent protéger l'intégrité et la confidentialité des données grâce au cryptage, aux contrôles d'accès, etc., et signaler immédiatement les violations au Préposé fédéral à la protection des données et à l'information (FDPIC) et aux personnes concernées.
  
  
• Promouvoir la confidentialité dès la conception : Encouragez l'intégration de la protection des données dès le départ. Le NFAdP introduit explicitement les principes de confidentialité dès la conception et de confidentialité par défaut, ce qui signifie que les systèmes doivent être conçus avec des mesures de protection de la vie privée activées par défaut.
  

En atteignant ces objectifs, la législation suisse sur la protection des données vise à trouver un équilibre entre la vie privée des citoyens suisses et les besoins des entreprises en matière de traitement des données. Il responsabilise les organisations en matière de gestion des données et renforce la confiance des consommateurs dans les services numériques. En outre, il rapproche la Suisse du RGPD et d'autres principales réglementations en matière de confidentialité des données à travers le monde.

Quoi de neuf dans le NFADP ?

La nouvelle loi suisse apporte plusieurs changements notables par rapport à l'ancienne FADP de 1992. Les principaux ajouts incluent :

• Portée réduite : La réglementation s'appliquait auparavant aux données collectées à la fois auprès des entreprises (personnes morales) et des particuliers (personnes physiques). Cependant, le NfADP a explicitement retiré les entreprises de la protection et, à ce titre, le NfADP ne s'applique qu'aux données de personnes humaines réelles.
  
  
• Nouvelles catégories sensibles : Les données génétiques et biométriques sont explicitement classées comme sensibles, de même que deux nouvelles catégories : les informations sur les mesures de sécurité sociale et les procédures administratives ou pénales. Cela signifie que les employeurs, les assureurs ou les prestataires de services qui traitent ces données doivent redoubler de prudence.
  
  
• Confidentialité dès la conception et par défaut : Pour la première fois, le droit suisse impose le respect de la vie privée dès la conception et le respect de la vie privée par défaut. Tout nouveau produit ou service doit être configuré avec les paramètres de confidentialité les plus stricts activés par défaut, et les développeurs doivent intégrer les protections de confidentialité dans les systèmes de A à Z.
  
  
• Enregistrements obligatoires : Les organisations (au-dessus d'un seuil de risque) doivent tenir un registre des activités de traitement (ROPA). Cela enregistre quelles données personnelles sont traitées, dans quel but, où et par qui, une pratique déjà familière dans le cadre du RGPD.
  
  
• Notification de violation : En cas de violation de données, les entreprises doivent en informer rapidement les autorités suisses (PFDPIC) et les personnes concernées. Il s'agit d'une nouvelle exigence qui vise à réduire les dommages causés par les fuites.
  
  
• Profilage : Le profilage et la notation automatisés des individus sont désormais explicitement réglementés. Les organisations qui utilisent des algorithmes pour évaluer les personnes (pour la notation de crédit, le marketing, etc.) doivent répondre à de nouvelles contraintes et à de nouvelles règles de transparence.
  
  
• Consentement et responsabilité plus stricts : Le consentement doit être « volontaire et, dans certains cas, explicite ». Il y a hDes normes de responsabilité plus strictes : les entreprises doivent effectuer des analyses d'impact sur la protection des données (DPIA) formelles pour les traitements à haut risque et démontrer les mesures de conformité.
  
  
• Nouvelles sanctions : Alors que le RGPD autorisait des amendes massives pouvant atteindre 4 % du chiffre d'affaires mondial, la loi suisse sur la protection des données a introduit des amendes allant jusqu'à 250 000 francs suisses pour les personnes enfreignant la loi (par exemple, un employé utilisant des données à mauvais escient). Cela est important car, selon l'ancienne loi, seules les organisations pouvaient être condamnées à une amende.
  

En résumé, le NFAdP rapproche beaucoup la législation suisse sur la confidentialité des données du RGPD. Il ajoute une « touche suisse » dans certains domaines (comme une décision d'adéquation prise par le Conseil fédéral dans le style de l'UE), mais surtout place la barre plus haut en matière de protection des données. Les entreprises qui adoptent ce régime devraient examiner attentivement ces changements et mettre à jour leurs pratiques et politiques en conséquence.

Qui doit se conformer au NFADP ?

Toutes les organisations qui traitent les données personnelles des résidents suisses relèvent du NfAdP, qu'elles soient basées en Suisse ou à l'étranger.

Applicabilité aux organisations basées en Suisse

Toutes les entreprises (privées ou publiques) opérant en Suisse qui collectent ou traitent des données personnelles de personnes doivent s'y conformer. Cela inclut tout, des bases de données clients aux dossiers des employés. Même les petites entreprises peuvent y être soumises, à moins que leur traitement ne présente très peu de risques. Par exemple, la loi autorise certaines exemptions en matière de tenue de registres pour les PME uniquement lorsque le traitement des données « présente un risque limité ». Mais pour la plupart des entreprises suisses, les nouvelles obligations (registres plus importants, sécurité renforcée, etc.) s'appliqueront exactement comme elles le font dans le cadre du RGPD.

Gouvernement et organismes publics : Toutes les autorités fédérales, cantonales et locales suisses qui traitent des données personnelles sont régies par leurs lois respectives, mais le NfAdP continue également d'influencer les agences fédérales. Elle impose aux organismes publics de respecter des règles de transparence et de sécurité plus strictes qu'auparavant. (Remarque : le droit suisse ne s'applique pas aux activités purement personnelles/domestiques, une exception plus étroite que celle prévue dans le RGPD.)

Champ d'application extraterritorial pour les entreprises étrangères

Toute entreprise hors de Suisse qui traite les données des résidents suisses est également couverte. Le NfAdP a une portée extraterritoriale explicite. Si votre organisation propose des biens ou des services à des personnes en Suisse ou surveille leur comportement (même en ligne), le nFADP s'applique, tout comme le RGPD. L'autorité de surveillance peut notamment faire appliquer la loi sur les activités qui ont un effet en Suisse, même si le traitement a eu lieu à l'étranger.

Principaux secteurs et types de données couverts

Bien que le NfADP s'applique à tous les domaines, les secteurs traitant des données sensibles constituent un domaine d'intervention clé. Les prestataires de santé, les assureurs, les services financiers et les services des ressources humaines doivent noter que le droit suisse traite désormais explicitement des éléments tels que les informations médicales, les données génétiques/biométriques, les dossiers de sécurité sociale et les données légales/pénales comme sensibles. Ces catégories nécessitent des protections spéciales (consentement strict, sécurité renforcée). La loi réglemente également de manière stricte le profilage et les analyses à haut risque. Même les secteurs commerciaux courants (commerce de détail, technologie) doivent mettre en œuvre des principes fondamentaux tels que minimisation des données et limitation de l'objectif pour se conformer.

Principes fondamentaux de la nouvelle loi

Le NFAdP consacre plusieurs principes fondamentaux, tout comme le RGPD, qui régissent la manière dont les données personnelles doivent être traitées. Ces piliers de la loi garantissent le respect de la vie privée dès la conception et par défaut :

Transparence et équité

Dans le cadre du NfADP, les organisations doivent faire preuve de transparence à l'égard des personnes concernées. Les entreprises sont tenues de fournir des avis de confidentialité clairs et accessibles expliquant pourquoi les données sont collectées, comment elles seront utilisées et qui les consultera. Les « exigences de transparence supplémentaires » signifient que les entreprises doivent communiquer tous les détails pertinents concernant le traitement des données personnelles (y compris les tiers concernés). L'équité signifie que les données ne doivent pas être utilisées à mauvais escient ou dissimulées derrière des termes alambiqués. Un adéquat gestion de la confidentialité des données peut améliorer l'utilisation équitable des données collectées.

Objectif, limites et minimisation des données

Les données personnelles collectées dans le cadre du NFAdP doivent être adéquat, pertinent et limité à ce qui est nécessaire aux fins prévues. C'est le principe de minimisation des données : ne collectez que le strict minimum de données nécessaires. (Par exemple, un formulaire d'inscription ne doit pas demander d'informations non liées, telles que l'état civil, si elles ne sont pas nécessaires.) La législation suisse les considère comme des principes fondamentaux : « les données personnelles doivent être collectées à des fins spécifiques, explicites et légitimes », et seules les données minimales requises doivent être traitées.

Exactitude et sécurité des données

Le NFAdP exige que les données personnelles soient exactes et à jour, et protégées par des mesures de sécurité appropriées. Les entreprises doivent mettre en place des mesures de protection (cryptage, contrôles d'accès, détection des intrusions, etc.) pour maintenir intégrité et confidentialité de données. Ce principe couvre à la fois la prévention des accès non autorisés et la garantie que les données ne sont pas modifiées ou détruites accidentellement. En effet, les organisations sont tenues de revoir régulièrement les protocoles de sécurité et de corriger les données obsolètes ou incorrectes. Une violation de la sécurité (ou une négligence dans l'exactitude des données) violerait ces principes et pourrait entraîner des amendes ou des mesures coercitives. Pour répondre à cette exigence, les entreprises procèdent souvent à des audits de sécurité réguliers. DPO Consulting services d'audit de cybersécurité peut aider à identifier et à corriger les vulnérabilités afin de garantir la sécurité des données.

Responsabilité et conformité dès la conception

Il est essentiel que le NfAdP intègre la responsabilité dans la loi. Les organisations doivent non seulement suivre les règles, mais également prouver qu'elles l'ont fait. Cela inclut la conservation de la documentation (registres de traitement, rapports DPIA, journaux de consentement) et la démonstration d'une conformité continue. Le concept de confidentialité dès la conception et par défaut est explicitement introduit. Cela signifie qu'il faut intégrer la confidentialité dans les produits, les systèmes et les processus métier à partir de zéro, plutôt que de l'intégrer après coup. Les exemples incluent la minimisation de la collecte de données, la pseudonymisation des identifiants utilisateur et la normalisation de paramètres de confidentialité stricts. La loi impose même aux entreprises de réaliser des analyses d'impact sur la protection des données (DPIA) pour les projets à haut risque et de disposer de plans de réponse clairs en cas de violation.

Meilleures pratiques pour se conformer à la législation suisse sur la protection des données

Le respect de la loi suisse sur la protection des données est un processus continu, mais il existe des pratiques éprouvées qui le rendent gérable :

• Réaliser un inventaire et une cartographie des données. Commencez par cataloguer les données personnelles que vous collectez, où elles se trouvent et comment elles circulent dans votre organisation. Il est fondamental de connaître le cycle de vie des données. Créez des enregistrements clairs (registres de traitement) conformément à la loi. Cet exercice révèle souvent des données redondantes ou obsolètes, ce qui vous permet de minimiser les données (ne collectez que ce dont vous avez besoin).
  
  
• Mettre à jour les politiques et les avis de confidentialité. Assurez-vous que votre politique de confidentialité est précise et répond aux exigences de transparence de la NFAdP. La politique doit clairement indiquer les finalités du traitement, les bases légales (par exemple, consentement ou contrat), les périodes de conservation des données et tout partage avec des tiers. Si vous partagez des données avec, par exemple, des fournisseurs de cloud ou des sociétés d'analyse, celles-ci doivent être divulguées. DPO Consulting peut vous aider à revoir et à réécrire les politiques pour qu'elles soient claires et conformes.
  
  
• Mettre en œuvre de solides mécanismes de consentement. Lorsque vous vous basez sur le consentement, rendez-le explicite et révocable. Le droit suisse exige que le consentement soit donné librement et clairement documenté. Utilisez des formulaires simples qui répertorient toutes les finalités du traitement et offrent toujours un moyen simple aux personnes de retirer leur consentement. Le stockage des enregistrements de consentement est crucial à des fins de preuve.
  
  
• Appliquer des mesures de sécurité techniques et organisationnelles. Protégez les données en transit et au repos. Utilisez le chiffrement, l'authentification multifactorielle, des analyses de vulnérabilité régulières et des systèmes de sauvegarde sécurisés. Suivre les normes reconnues (ISO 27001, NIST, etc.) est une bonne approche. Dans la pratique, cela signifie investir dans des contrôles de cybersécurité et éventuellement dans des tests d'intrusion. Par exemple, les services d'audit de cybersécurité de DPO Consulting utilisent les meilleures pratiques internationales pour évaluer votre niveau de sécurité et recommander des correctifs.
  
  
• Former les employés et les sensibiliser. L'erreur humaine est l'une des principales causes de violations. Sensibilisez le personnel aux principes de protection des données : comment gérer correctement les données personnelles, comment repérer les tentatives de phishing et ce qu'il faut faire en cas de violation. Même si elle n'est pas légalement obligatoire, une formation régulière est une bonne pratique liée à l'obligation de responsabilité prévue par la loi. Les employés de tous les services doivent comprendre leur rôle en matière de conformité (par exemple, les responsables des ressources humaines doivent savoir comment gérer les données du personnel).
  
  
• Limitez la conservation des données. La loi suisse sur la protection des données met l'accent sur la définition et l'application de calendriers de conservation. Les données personnelles ne doivent pas être conservées plus longtemps que nécessaire. Par exemple, les coordonnées collectées pour une transaction unique doivent être supprimées ou rendues anonymes par la suite, à moins qu'il n'existe une raison légale claire de les conserver (comme des obligations de tenue de registres financiers).
  
  
• Réaliser des DPIA pour les traitements à haut risque. Si vos projets impliquent un profilage, un traitement à grande échelle ou des données sensibles, effectuez une analyse d'impact sur la protection des données. Cela vous permet d'identifier et d'atténuer les risques liés à la confidentialité dès le départ, en répondant aux attentes de la loi en matière de « gouvernance ».
  
  
• Envisagez une expertise externe. Désignez un délégué à la protection des données (DPO) ou un conseiller qualifié pour superviser la conformité. Même si ce n'est pas strictement obligatoire, le fait d'avoir un DPO (interne ou externalisé) est une preuve d'engagement. En fait, DPO Consulting propose un service international de DPO composé d'experts de plusieurs juridictions. Un DPO externe peut guider efficacement votre entreprise en matière de respect des exigences suisses et internationales en matière de confidentialité.

La voie à suivre pour la protection des données en Suisse

La législation suisse sur la protection des données représente une avancée majeure, mais la protection des données est un domaine en pleine évolution. Dans les mois et les années à venir, les entreprises devraient rester attentives aux directives de mise en œuvre et à leur application par le FDPIC. Par exemple, des listes de contrôle et des FAQ officielles sur le site Web du FDPIC permettront de clarifier les questions en suspens (comme la manière dont la loi s'applique aux données des employés ou quand exactement signaler une violation).

De plus, les tendances mondiales en matière de données continuent d'évoluer rapidement. Pensez à l'IA, à la biométrie et à l'augmentation des flux de données transfrontaliers. Le NFAdP sera probablement revu périodiquement (comme le RGPD) et pourrait être modifié pour répondre à de nouveaux problèmes. Il est essentiel de garder une longueur d'avance sur ces changements. L'amélioration continue de vos pratiques de gestion de la confidentialité des données vous sera bénéfique à long terme.

N'oubliez pas que la confiance est un avantage concurrentiel. Les consommateurs et les citoyens suisses sont très soucieux de leur vie privée. Démontrer une solide conformité au NfADP, par exemple en obtenant des certifications indépendantes en matière de confidentialité ou en communiquant clairement vos mesures de protection, peut renforcer la réputation de votre marque. Les pays accordent aujourd'hui la priorité à la confidentialité des données, et si votre organisation collecte et traite des données à l'échelle mondiale, nos experts peuvent vous aider. Contactez-nous pour en savoir plus sur notre Services de DPO internationaux.

DPO Consulting : votre partenaire en matière d'IA et de conformité au RGPD

Investir dans les efforts de conformité au RGPD peut peser lourdement sur les grandes entreprises ainsi que sur les petites et moyennes entreprises (PME). Le recours à une ressource ou à une assistance externe peut alléger la charge d'un audit interne pour l'ensemble des entreprises et alléger la pression sur les finances, les capacités technologiques et l'expertise de l'entreprise.

Les auditeurs externes et les partenaires experts tels que DPO Consulting sont bien placés pour aider les organisations à gérer efficacement la nature complexe des audits du RGPD. Ces professionnels formés agissent comme une extension de votre équipe, aidant à rationaliser les processus d'audit, à identifier les domaines à améliorer, à mettre en œuvre les changements nécessaires et à garantir la conformité au RGPD.

Confier le bon partenaire offre l'avantage de l'impartialité et du respect des normes du secteur et permet de débloquer une multitude de ressources telles que des informations spécifiques au secteur, ce qui se traduit par des évaluations impartiales et une conformité réussie. Travailler avec DPO Consulting se traduit par un gain de temps précieux et allège la charge de travail du personnel interne, tout en réduisant considérablement les coûts de l'entreprise.

Nos solutions

RGPD et conformité

• Logiciel GDPR (MyDPO)
• Audits de conformité au RGPD
• Évaluations de l'impact sur la vie privée (PIA)
• Audits initiaux de cybersécurité
• Conformité aux essais cliniques

DPO et représentation externalisés

• DPO externalisé
• DPO international
• CISO en tant que service
• Représentant de l'UE
• Représentant du Royaume-Uni

Formation et assistance

• Coaching DPO personnalisé
• Formation sur le RGPD