La loi fédérale révisée sur la protection des données (LPD) de la Suisse, qui est entrée en vigueur en septembre 2023, a introduit des normes plus strictes en matière de protection de la vie privée, mais l'année 2025 marque une avancée significative en matière d'orientation et d'application. Le PFPDT, l'autorité suisse de protection des données, a publié des versions spécifiques à la Suisse des Clauses contractuelles types (CCN) de l'UE, connues officieusement sous le nom de "Swiss Add-ons". Ces clauses ajoutent un langage adapté pour garantir la conformité avec les exigences suisses et européennes - une réponse à la double charge de conformité à laquelle sont confrontées les organisations opérant dans les deux régions.
Dans le même temps, le lancement du cadre de protection des données Suisse-États-Unis (DPF) en septembre 2024 a établi que les entreprises américaines certifiées dans le cadre du DPF peuvent être considérées comme "adéquates" pour les transferts de données en vertu du droit suisse. Cela signifie que les entreprises peuvent s'appuyer sur des cadres simplifiés pour transférer des données à ces entreprises certifiées sans avoir à procéder à des évaluations approfondies.
Pourquoi c'est important
Les CSC actualisés offrent aux entreprises un mécanisme familier et juridiquement solide pour transférer des données à caractère personnel vers des pays qui, autrement, exigeraient des évaluations complexes de l'impact du transfert en raison de leur manque d'adéquation. La désignation DPF complète ce dispositif en permettant des transferts plus faciles et plus sûrs vers des fournisseurs basés aux États-Unis qui détiennent la certification. Pour toute organisation - suisse, européenne ou mondiale - ces développements simplifient le flux de données tout en renforçant la sécurité juridique et la responsabilité.
En outre, si vous n'adoptez pas les clauses mises à jour ou si vous ne faites pas appel à des fournisseurs certifiés par le DPF, votre organisation risque d'être exposée à des mesures d'exécution, car le PFPDT continue d'intensifier ses activités de surveillance et ses enquêtes. En prenant les devants dès maintenant, vous minimisez les risques et vous assurez des opérations plus fluides dans un contexte transfrontalier.
Ce que vous devez faire
- Mise à jour des contrats: Remplacer les CCS génériques par les compléments officiels suisses pour les transferts en dehors du DPF ou de la liste d'adéquation de l'UE.
- Réaliser des évaluations de l'impact des transferts (EIT) lors du transfert de données vers des juridictions non couvertes par le principe d'adéquation ou le DPF.
- Documenter minutieusement: Tenir un registre des décisions, des clauses utilisées et du statut de certification des vendeurs.
- Vérifier la conformité du fournisseur: S'assurer que les entreprises de transformation basées aux États-Unis sont certifiées DPF avant d'entamer les transferts.
- Suivi des mises à jour: Les autorités suisses et européennes peuvent clarifier ou faire évoluer les notes consultatives - pour que les politiques restent réactives.
- Nous pouvons vous aider à vous mettre en conformité avec le FADP !
Des conseils d'experts, des solutions abordables et une démarche claire vers la conformité
