Comme la plupart des pays, la Suisse réglemente le traitement des données personnelles par une législation générale et prévoit des règles plus strictes ou différentes dans une réglementation sectorielle spécifique. Le traitement des données est principalement régi par
La Suisse a entrepris un long processus de révision de la LPD, et la LPD révisée, ainsi que l’OPD révisée, sont entrées en vigueur le 1er septembre 2023. L’objectif principal était d’aligner la législation suisse sur la Convention 108 révisée du Conseil de l’Europe et sur le RGPD, également en raison de la conclusion d’adéquation en suspens mentionnée ci-dessus.
Les points clés de la version révisée de la FDPA peuvent être résumés comme suit :
En ce qui concerne l’application territoriale de l’APDF (cf. article 3), des critères légèrement différents s’appliquent en fonction de la nature de la disposition en question :
Contrairement au GDPR, il n’y a pas de principe de responsabilité dans le cadre de la FDPA. Un contrôleur ou un processeur qui ne tient pas de registre de ses activités de traitement, des événements pertinents et des mesures de conformité peut se trouver dans l’impossibilité de démontrer sa conformité en cas de plainte ou d’enquête, mais n’est pas en soi en infraction avec la FDPA.
Toutefois, il existe certaines obligations de responsabilité, par exemple l’obligation de conserver les enregistrements des évaluations de l’impact sur la protection des données pendant deux ans à compter de la fin du projet, ou de conserver les journaux et de maintenir les règles de traitement dans certains scénarios à haut risque.
Le FDPA n’a pas de concept de DPO tel que défini dans le GDPR, mais les contrôleurs peuvent choisir de désigner un “conseiller à la protection des données” (“Data Protection Advisor”) en vertu de l’article 10 du FDPA. La désignation d’un conseiller à la protection des données est facultative, y compris pour les contrôleurs dont les activités de traitement de base consistent en un traitement à haut risque (mais elle est obligatoire pour les organisations agissant en tant qu’organismes fédéraux, y compris les entités privées qui exécutent des tâches publiques). Lorsqu’un conseiller en matière de protection des données est désigné, il doit être indépendant et disposer des ressources nécessaires pour assurer activement le contrôle de la conformité au sein de l’organisation (article 23 FDPO).
L’obligation de consulter l’autorité suisse de protection des données (le commissaire fédéral à la protection des données et à l’information, FDPIC) lorsqu’une évaluation de l’impact sur la protection des données confirme un risque résiduel élevé n’est plus applicable. Dans la pratique, toutefois, cela n’a qu’une valeur limitée, compte tenu du fait que la plupart des évaluations d’impact confirmeront un risque inférieur ou égal à élevé.
La FDPA n’exige pas que les Data Protection Advisors soient des individus ou qu’ils soient basés en Suisse. Les DPO désignés en vertu du GDPR peuvent également agir en tant que Data Protection Advisors, pour autant qu’ils remplissent les conditions requises.
Comme l’article 27 du GDPR, les contrôleurs situés à l’étranger peuvent être soumis à l’obligation de désigner un “représentant” en vertu de l’article 14 de la FDPA (CH Representative) et de publier son nom et son adresse.
Les contrôleurs doivent désigner un CH Representative si toutes les conditions suivantes sont remplies pour leur traitement :
En vertu de l’article 15 de la FDPA, la CH Representation doit
Les contrôleurs et les processeurs sont tenus de collecter et de tenir des registres des activités de traitement (article 12(1) FDPA). Les informations à inclure dans ces dossiers sont les mêmes que celles prévues à l’article 30(1) et (2) du RGPD, sauf qu’aucune information n’est requise concernant le Représentant CH et un Conseiller en matière de protection des données (s’il a été désigné).
Une exception à l’obligation de tenir des registres des activités de traitement s’applique aux entreprises comptant moins de 250 membres du personnel (sur la base d’un effectif et non d’un ETP), à condition qu’il n’y ait pas de traitement à grande échelle de données sensibles ni de profilage à haut risque (article 24 FDPO).
Comme l’article 35 du GDPR, l’article 22(1) de la FDPA exige des contrôleurs qu’ils réalisent une évaluation de l’impact sur la protection des données (DPIA) lorsque le traitement “peut” conduire à un risque élevé. Les facteurs à prendre en compte lors de l’évaluation d’un risque élevé potentiel sont les mêmes que dans le cadre du GDPR.
Comme le RGPD, la loi sur la protection des données énonce certains types de traitement qui requièrent généralement – mais pas nécessairement – une DPIA (article 22(2) de la loi sur la protection des données).
Les DPIA doivent être conservées dans un registre pendant au moins deux ans à compter de la date à laquelle l’activité de traitement a pris fin (article 14 FDPO).
Comme dans le RGPD, on entend par “violation de la sécurité des données” une violation de la sécurité – c’est-à-dire une violation de la confidentialité, de l’intégrité ou de la disponibilité – qui entraîne la perte, la suppression, la destruction ou la modification involontaires ou illégales de données personnelles ou la divulgation ou la mise à disposition de données personnelles à des personnes non autorisées.
Les processeurs doivent notifier les violations de données au contrôleur “dans les meilleurs délais” (article 24(3) de la FDPA). Bien que cette obligation ne soit pas une partie obligatoire des accords de traitement, elle est généralement mentionnée dans ces accords, précisant souvent le contenu minimal de la notification et les exigences en matière de calendrier.
Le contrôleur doit notifier au FDPIC toute violation de données “susceptible d’entraîner un risque élevé” pour le sujet des données (article 24(1) FDPA). La FDPA ne fournit pas de définition du risque élevé, mais en supposant à nouveau que le “risque élevé” est une notion cohérente dans toute la FDPA, la sévérité du risque dépend de la nature, du champ d’application, des circonstances et de la finalité du traitement (article 22(2) de la FDPA). Toutefois, jusqu’à présent, il n’existe aucune indication sur l’interprétation du risque élevé dans le contexte des violations de données. Il est probable que la pratique se réfère aux lignes directrices du CEPD sur les notifications de violation de données, ou aux recommandations de l’ENISA.
La notification à la FDPIC doit être faite dès que possible après la prise de connaissance de la violation, étant entendu que le délai avant la notification dépend de la gravité du risque. Elle doit contenir, au minimum, les informations prévues à l’article 15 de la directive sur la protection des données.
Dès réception de la notification, le FDPIC peut ouvrir une enquête. Toutefois, les informations fournies au FDPIC en vertu de l’article 24 de la loi sur la protection des données ne peuvent pas être utilisées dans le cadre d’une procédure pénale à l’encontre du contrôleur sans le consentement de ce dernier (article 24(6) de la loi sur la protection des données).
Indépendamment d’une notification au FDPIC, le responsable du traitement doit communiquer la violation aux personnes concernées individuellement, sans retard injustifié, si cela est “nécessaire pour la protection des personnes concernées”, en particulier lorsque les personnes concernées doivent prendre des mesures d’atténuation (par exemple, changer leurs identifiants de connexion) ou sur demande du FDPIC (article 24, paragraphe 4, de la loi sur la protection des données). Le responsable du traitement doit fournir les informations nécessaires pour permettre aux personnes concernées de comprendre la violation et ses effets probables pour elles et de prendre les mesures appropriées.
Le contrôleur peut restreindre, reporter ou refuser la communication aux sujets (article 24(5) de la FDPA) :
Comme mentionné ci-dessus, les contrôleurs et les processeurs doivent prendre des mesures de sécurité appropriées en ce qui concerne les données personnelles identifiables (article 8 de la loi sur la protection des données). Sur cette base, l’article 4 du FDPO oblige les contrôleurs ainsi que les processeurs à conserver des logs lorsqu’ils s’engagent dans le traitement à grande échelle de données personnelles sensibles ou dans le profilage à haut risque. Des obligations plus strictes s’appliquent aux autorités fédérales.
Lorsque cette obligation s’applique, le contrôleur ou le processeur doit conserver un enregistrement minimal de l’archivage, de la modification, de la lecture, de la divulgation et de la destruction des données. Ces journaux doivent contenir des informations sur l’identité de la personne qui a effectué le traitement ; le type de traitement ; la date et l’heure du traitement ; et si des données sont divulguées, l’identité des destinataires des données. Les enregistrements doivent être conservés pendant un an.
Dans certains cas, les contrôleurs sont tenus de respecter les “règles de traitement”. Comme pour l’obligation de tenir un registre, cette obligation ne s’applique que si le contrôleur ou le processeur s’engage dans un traitement à grande échelle de données personnelles sensibles ou dans un profilage à haut risque.
Les règles de traitement sont distinctes des enregistrements des activités de traitement – elles sont similaires à un manuel qui définit l’organisation interne ; les procédures de traitement des données pour l’enregistrement, la correction, la divulgation, la conservation, l’archivage, la pseudonymisation, l’anonymisation, la suppression ou la destruction des données à caractère personnel, y compris la manière dont la minimisation des données est assurée ; la procédure selon laquelle les droits d’accès et de portabilité des données sont assurés ; et les mesures de sécurité techniques et organisationnelles, y compris les informations sur la configuration des ressources informatiques.
Principes de traitement
Comme mentionné ci-dessus, les contrôleurs et – pour la plupart des principes – également les processeurs doivent se conformer aux principes de traitement. L’absence de respect de ces principes signifie que le traitement porte atteinte aux droits de la personnalité des personnes concernées et qu’il est illégal, à moins qu’il ne soit justifié par le consentement et/ou l’intérêt supérieur.
La FDPA énonce les principes de traitement suivants (articles 6 – 8 et FDPA) :
Une violation des principes de traitement est illégale si elle n’est pas justifiée, mais elle n’est généralement pas passible d’une sanction.
titre d’exception, le non-respect des exigences minimales de sécurité peut donner lieu à une amende. La FDPA ne contient pas de telles exigences minimales, mais la FDPO comprend des dispositions qui peuvent être considérées comme des exigences minimales, telles que la tenue de registres pour les traitements à haut risque (articles 1 et suivants).
Justification
Comme mentionné ci-dessus, le traitement en violation d’un ou de plusieurs principes de traitement n’est illégal que dans la mesure où il n’est pas justifié. Les motifs suivants peuvent justifier un tel traitement (article 31(1) FDPA) :
(a) Consentement (articles 31(1) et 6(6) et (7) FDPA) : le consentement est réglementé de manière moins stricte qu’en vertu du GDPR. Les principales exigences en matière de consentement sont les suivantes :
Conformément au droit des affaires, le consentement peut être invalide si le contrôleur en fait une condition pour accéder aux biens ou aux services de manière arbitraire, sans raisons objectives ;
Consentement “explicite” : le consentement doit être explicite pour le traitement de données personnelles sensibles et pour le profilage à haut risque, pour autant que ces opérations de traitement nécessitent un consentement ;
capacité de jugement : le consentement est invalide s’il est donné par quelqu’un qui n’a pas la capacité de juger. Il n’y a pas d’âge minimum pour les enfants, et l’âge requis dépend des risques et de la complexité du traitement en jeu.
Étant donné que le FDPA n’a pas de principe de responsabilité, il n’y a pas de violation si le consentement n’est pas documenté, mais le contrôleur a un intérêt évident à conserver des enregistrements traçables du consentement.
Lorsque le consentement est invalide ou retiré, le responsable du traitement peut continuer à se fonder sur l’intérêt légitime pour justifier le traitement (à condition qu’un retrait exprès du consentement puisse être assimilé à une objection, ce qui tend à augmenter le montant de l’intérêt légitime).
(b) Prevailing interest (article 31(1) FDPA) :
Le consentement n’est pas nécessaire lorsque le traitement en violation d’un principe est requis pour sauvegarder des intérêts. Les intérêts potentiellement prépondérants comprennent tout intérêt qui n’est pas contraire à la loi, y compris l’intérêt public et les intérêts purement commerciaux d’acteurs privés. Ces intérêts doivent prévaloir sur les intérêts contraires du sujet des données. La FDPA n’exige pas une “évaluation de l’intérêt légitime” (“LIA”) formelle, mais le contrôleur doit documenter l’équilibre des intérêts dans tous les cas, sauf ceux qui sont évidents.
Parmi les exemples d’intérêt potentiellement prévalent, on peut citer :
Anonymisation des données personnelles à des fins statistiques ;
la conservation des données au-delà de la période requise pour les finalités du traitement, car les données sont conservées dans une base de données de sauvegarde ;
de conserver des données à caractère personnel malgré une objection à des fins de documentation ou de preuve.
“Profilage”
La FDPA réglemente à la fois le profilage et la prise de décision individuelle. En ce qui concerne le profilage, les dispositions applicables sont différentes et, dans certains cas, légèrement plus strictes que celles du RGPD.
Le “profilage” désigne tout traitement automatisé ayant pour objet d’analyser ou de prévoir des aspects personnels ou le comportement d’un sujet (article 5(f) de la loi sur la protection des données). Il reste à voir si le profilage requiert une automatisation complète ou s’il implique une interaction humaine, mais pas décisive. En tout état de cause, le profilage ne requiert pas que les données brutes utilisées pour l’opération de profilage soient collectées ou traitées automatiquement tant que l’opération de profilage elle-même est automatisée. Les exemples de profilage incluent l’évaluation automatique des habitudes d’achat afin de déterminer les primes et les incitations, le calcul d’un indice d’activité sur la base des données de comptage des étapes d’une application, l’analyse du comportement d’un site web ou d’une application afin de présenter des publicités en ligne ciblées, ou la sélection automatique des actualités en fonction de la localisation de l’utilisateur.
Le profilage en tant que tel n’entraîne aucune obligation expresse pour les contrôleurs (sauf s’ils agissent en tant qu’organe fédéral). Toutefois, il peut y avoir une obligation, en vertu du principe de transparence, d’informer les personnes concernées sur le profilage, et les contrôleurs choisissent souvent d’inclure une référence au profilage dans leurs avis de confidentialité.
Le “profilage à haut risque” a été introduit dans le FDPA en tant que compromis politique. Il s’agit de toute forme de profilage qui, sur la base d’une combinaison de données, aboutit à une “évaluation des aspects essentiels de la personnalité” d’un individu (article 5(h) FDPA). Cette définition est basée sur le concept de “profils de personnalité” dans la FDPA actuelle. Les exemples de “profils de personnalité” incluent les profils des clients finaux basés sur les habitudes d’achat, un CV complet, les résultats d’un test de personnalité ou les données KYC. Chaque fois que le profilage aboutit à un tel profil, il est probablement considéré comme “à haut risque”. Il n’est toutefois pas possible de déterminer si seul le profilage qui produit un tel profil de personnalité est à haut risque, ou également le profilage lorsque les données d’entrée (source) donnent lieu à un profil de personnalité.
Où un contrôleur s’engage dans le profilage à haut risque,
La prise de décision individuelle automatisée implique des décisions qui :
Commentaires généraux
Outre le principe général de transparence, et à l’instar des articles 13 et 14 du RGPD, la loi sur la protection des données énonce une obligation générale de fournir certaines informations aux personnes concernées (article 19 de la loi sur la protection des données). Cette obligation s’applique à toutes les catégories de données, sous réserve d’exceptions, et pas uniquement à la collecte de données sensibles.
Pour les contrôleurs établis en dehors de la Suisse, l’obligation d’informer s’applique lorsque la collecte de données a des liens suffisants avec la Suisse, par exemple lorsque la collecte est liée à une offre faite à des personnes en Suisse ou est effectuée à l’aide d’un serveur en Suisse.
Tout manquement à l’obligation d’informer peut donner lieu à une amende.
Les contrôleurs doivent fournir au minimum les informations suivantes :
L’obligation d’information est déclenchée par la “collecte” de données. La “collecte” requiert une action préméditée visant à obtenir des données. Lorsque des données à caractère personnel sont obtenues de manière non intentionnelle, elles ne sont pas collectées. Toutefois, l’utilisation de données existantes – “collectées” ou non – dans un nouveau but sera toujours considérée comme une collecte, et déclenchera une obligation d’information.
Les informations minimales doivent être fournies aux personnes concernées :
Il n’y a pas d’obligation d’informer dans les scénarios suivants (article 20 FDPA) :
Relations contrôleur/processeur
Lorsqu’un contrôleur a l’intention de recourir à un processeur, la LPD exige que les deux parties concluent un accord de traitement des données (article 9, paragraphe 1, de la LPD). L’accord de traitement des données (DPA) peut être conclu sous n’importe quelle forme, y compris par voie orale, mais il doit être conclu sous forme de texte. Le contenu minimum est plus léger que sous le GDPR. Les DPA doivent exiger du processeur, au minimum, qu’il
Comme mentionné ci-dessus, les contrôleurs conjoints n’ont aucune obligation expresse d’entrer dans un accord de contrôleur conjoint ou d’informer les sujets de la répartition des responsabilités entre eux. Toutefois, une obligation de convenir de la répartition des responsabilités peut, selon les circonstances, découler des principes de respect de la vie privée dès la conception et de sécurité des données. Les accords de contrôle conjoint conformes au GDPR répondront à cette exigence.
Tous les contrôleurs conjoints doivent vraisemblablement être indiqués dans les avis de confidentialité, ainsi que dans la réponse aux demandes d’accès aux sujets.
Dans le cas d’un transfert de contrôleur à contrôleur, le contrôleur divulgateur doit se conformer aux principes de traitement et aux restrictions de transfert transfrontalier. En dehors de ces exigences, il n’y a pas de conditions minimales pour les arrangements entre contrôleurs, mais les parties vont souvent conclure un accord entre contrôleurs.
Il convient toutefois de noter qu’en vertu de l’article 62 de la loi sur la protection des données, la divulgation de données personnelles secrètes dont la connaissance a été acquise dans l’exercice d’une profession exigeant de telles connaissances (ou l’exercice d’une profession soumise à une obligation de confidentialité) est passible d’une amende pouvant aller jusqu’à 250 000 CHF. Il existe un débat en Suisse sur la question de savoir si toute divulgation qui n’est pas nécessaire à un contrat avec le sujet des données peut être considérée comme une violation de cette disposition, ou si seules les divulgations effectuées en violation de la loi sur la protection des données peuvent l’être.
La FDPA réglemente les transferts de données à l’étranger (y compris la divulgation par le biais de l’accès) aux articles 16 et suivants. Les transferts à l’étranger sont autorisés comme suit :
Commentaires généraux
Dans le cadre de la FDPA, les personnes physiques et morales ont les mêmes droits que dans le cadre du GDPR, mais les modalités d’utilisation de ces droits et les obligations du contrôleur de se conformer à ces droits diffèrent dans une certaine mesure. Les différences peuvent être résumées comme suit :
Comme dans le GDPR, les sujets de données ont le droit d’accéder à leurs données. Les demandes d’accès aux données (SAR) peuvent être formulées par écrit ou sous toute autre forme, sauf si le nouveau règlement prévoit des exigences formelles, et doivent généralement inclure une preuve d’identité. La pratique actuelle, acceptée, consiste à exiger une copie d’un document d’identité à titre de preuve, et nous nous attendons à ce que cette pratique se poursuive sous la FDPA.
Sur demande, le contrôleur doit fournir les informations suivantes aux sujets effectuant un DAS :
En vertu de l’article 28 de la loi sur la protection des données, les personnes concernées peuvent demander une copie de leurs données à caractère personnel dans un format électronique standard (par exemple un fichier Excel) ou peuvent avoir des données transférées à un autre contrôleur.
Le droit à la portabilité ne s’applique qu’aux données (article 20 FDPO) qui :
Une violation de la FDPA peut donner lieu à des actions civiles à l’encontre du contrôleur et/ou du processeur en infraction, y compris des demandes de cessation et de désistement et des demandes d’indemnisation de dommages pécuniaires. Toutefois, il incomberait au demandeur d’établir et de quantifier la perte économique subie à la suite de la violation, ce qui constitue généralement un défi dans la pratique. Les personnes concernées peuvent également faire valoir leurs droits d’information, de correction et d’exclusion et peuvent demander la publication d’une décision de justice.
En vertu de la loi sur la protection des données, le FDPIC peut lancer une enquête (d’office ou sur notification d’un sujet ou d’une autre partie) contre les contrôleurs et les processeurs s’il existe des indices suffisants que le traitement pourrait violer la loi sur la protection des données (article 49(1) de la loi sur la protection des données). Les contrôleurs et les processeurs doivent fournir au FDPIC toutes les informations et tous les documents nécessaires à l’enquête (article 49(3) et 50(1) FDPA).
Si le FDPIC conclut que la FDPA est violée, il peut ordonner que le traitement soit entièrement ou partiellement corrigé, suspendu ou interrompu et que les données à caractère personnel soient entièrement ou partiellement supprimées ou détruites (article 51(1) de la FDPA). Le FDPIC peut également refuser ou interdire la divulgation à l’étranger et peut ordonner au contrôleur et/ou au processeur, le cas échéant,
Contrairement au GDPR, la FDPA ne prévoit généralement pas de sanctions pour les entités juridiques (mais voir ci-dessous). Toutefois, certaines infractions peuvent donner lieu à des amendes allant jusqu’à 250 000 CHF imposées aux personnes responsables d’une infraction, y compris, le cas échéant, aux directeurs, officiers et employés ayant un pouvoir de décision indépendant (article 29 du Code pénal), à condition que ces infractions aient été commises de manière intentionnelle (cf. article 12 du Code pénal) et à condition qu’un sujet dépose une plainte. Ces infractions comprennent (articles FDPA) :
Principes généraux
En vertu de l’article 328b du Code suisse des obligations (CO), les données des employés ne doivent pas être traitées à moins qu’elles ne soient objectivement liées à des demandes d’emploi ou à la relation d’emploi. Cela limite à la fois les catégories qu’un employeur peut traiter en toute légalité, par exemple lors de l’évaluation de candidats potentiels et tout au long de la relation d’emploi, mais aussi le champ d’application et les finalités de ce traitement.
L’article 328b CO reprend principalement le principe général de limitation des objectifs et de minimisation des données. En tant que tel, il n’impose pas d’exigences qui ne découleraient pas de la FDPA. Toutefois, les tribunaux appliqueraient des critères légèrement plus stricts lorsqu’ils évaluent la légalité du traitement des données dans le cadre de la relation de travail.
Lorsqu’un employeur a l’intention d’utiliser des données à caractère personnel d’une manière qui n’est pas nécessaire à la relation de travail, par exemple en utilisant des photos d’employés sur un site web, l’employeur se fondera généralement sur le consentement. Le consentement de l’employé reste une base valable, à condition qu’il soit donné librement et que les informations fournies à l’employé soient suffisantes.
Services partagés au sein d’un groupe
Dans un scénario de groupe typique, les données des salariés seront partagées avec d’autres entités par le biais d’un système de gestion des informations RH (“SIRH”), par le biais de listes de salariés partagées et à des fins de reporting. Les entreprises du groupe impliquées dans ces traitements agiront souvent en tant que contrôleurs conjoints, bien que cela nécessite une analyse au cas par cas. En outre, une ou plusieurs entités
agiront en tant que prestataires de services internes au groupe (par exemple, pour fournir des rapports partagés ou exploiter un SIRH). Cela nécessitera un ou plusieurs accords de traitement des données, en plus de tout arrangement de contrôleurs conjoints ou d’accords de contrôleur à contrôleur.
Toutefois, lorsque le but d’un tel traitement partagé ne dépasse pas ce que les employés pourraient raisonnablement attendre et qu’il est expliqué de manière appropriée dans une notice d’information sur la vie privée des employés, il est généralement considéré comme conforme aux principes de traitement ainsi qu’à l’article 328b CO. Le consentement des employés n’est donc généralement pas une exigence dans ces cas de figure.