Initialement promulguée en 1992, la loi a été conçue pour fournir des principes et des lignes directrices en matière de protection des données. Cependant, avec les progrès technologiques et la numérisation croissante des données, la nécessité de moderniser le PDAF est devenue évidente.
En 2020, le Parlement suisse a approuvé le PAFD révisé pour mieux s'aligner sur les normes mondiales de protection des données, notamment le Règlement général sur la protection des données (RGPD) de l'Union européenne. Cette révision garantit que le cadre de protection des données de la Suisse reste robuste et reflète les exigences modernes en matière de protection de la vie privée et de sécurité des données. Le RGPD révisé, qui est officiellement entré en vigueur le 1er septembre 2023, a introduit plusieurs changements importants qui ont un impact sur les entreprises et les particuliers. Vous trouverez ci-dessous un aperçu détaillé des principales mises à jour.
Principales mises à jour du PDAA
- Renforcement des droits des personnes concernées :
La version actualisée du PDAF accorde aux personnes concernées un plus grand contrôle sur leurs données personnelles. Les personnes disposent désormais de droits étendus pour accéder à leurs données, demander des corrections et exiger l'effacement si certaines conditions sont remplies. En outre, il existe de nouveaux droits en matière de portabilité des données, qui permettent aux personnes concernées de demander que leurs données personnelles soient transférées à une autre entité dans un format structuré.
- Des exigences plus strictes en matière de consentement :
La nouvelle réglementation impose des exigences plus strictes en ce qui concerne l'obtention d'un consentement valable pour le traitement des données. Le consentement doit être donné librement, de manière spécifique, informée et non ambiguë. Cela rapproche le PDAF des normes du GDPR, en garantissant la transparence et en protégeant les personnes contre le traitement non désiré des données.
- Obligation de tenir des registres des activités de traitement :
Les entreprises sont désormais tenues de tenir des registres complets de leurs activités de traitement des données, en particulier si le traitement présente un risque élevé pour la vie privée des personnes. Ces registres doivent contenir des informations sur la finalité du traitement, les catégories de données concernées et les mesures de sécurité appliquées.
- Notifications obligatoires en cas de violation des données :
L'une des mises à jour les plus notables est l'introduction de la notification obligatoire des violations de données. En cas de violation de données présentant un risque élevé pour les droits et libertés des personnes, les entreprises doivent informer sans délai le Préposé fédéral à la protection des données et à la transparence (PFPDT) et les personnes potentiellement concernées.
- Évaluations de l'impact de la protection des données (DPIA) :
À l'instar du GDPR, le FADP révisé exige désormais des organisations qu'elles réalisent des évaluations d'impact sur la protection des données (DPIA) lorsque les activités de traitement sont susceptibles d'entraîner un risque élevé pour la vie privée des personnes. Ces évaluations permettent d'identifier et d'atténuer les risques potentiels liés au traitement des données, garantissant ainsi le respect des normes en matière de protection de la vie privée.
- Des mesures plus strictes en matière de responsabilité et de conformité :
La version actualisée du PDAF met l'accent sur la responsabilité des responsables du traitement des données et des sous-traitants. Les organisations sont censées mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir la conformité. Ces mesures comprennent la désignation d'un délégué à la protection des données (DPD) pour les entités qui traitent régulièrement des données sensibles ou qui procèdent à un traitement de données à grande échelle.
- Transferts transfrontaliers de données :
Le PAFD révisé introduit des règles plus strictes pour le transfert de données personnelles en dehors de la Suisse, en particulier vers des pays qui n'offrent pas un niveau adéquat de protection des données. Les organisations doivent mettre en œuvre des mesures de protection appropriées, telles que des clauses contractuelles types ou des règles d'entreprise contraignantes, afin de garantir la sécurité et la conformité des transferts de données transfrontaliers.
- Augmentation des sanctions en cas de non-conformité :
La loi révisée prévoit des sanctions plus lourdes en cas de non-respect. Les organisations et les individus peuvent se voir infliger des amendes allant jusqu'à 250 000 francs suisses en cas d'infraction. Cette mesure est très dissuasive et souligne l'importance du respect des normes de protection des données.
Alignement sur les normes internationales
Le PAFD révisé a été conçu pour être largement compatible avec le GDPR, simplifiant ainsi les efforts de mise en conformité pour les entreprises opérant à la fois sur les marchés de l'UE et de la Suisse. Cet alignement garantit que la Suisse reste un partenaire de confiance dans les flux mondiaux de données, en maintenant le niveau élevé de protection des données attendu dans le commerce international.
- Nous pouvons vous aider à vous mettre en conformité avec le FADP !
Des conseils d'experts, des solutions abordables et une démarche claire vers la conformité
