Le champ d'application du nouveau PDAF est vaste. Notamment, l'influence de la loi dépasse les frontières suisses, s'appliquant aux "circonstances qui ont un effet en Suisse, même si elles ont été initiées à l'étranger". Cette compétence élargie garantit que les droits des personnes en matière de données restent intacts, quelle que soit l'origine du traitement des données. En outre, la loi actualisée introduit des mesures obligeant les entités étrangères qui traitent des données personnelles d'individus suisses à se conformer aux mandats de la loi, ce qui renforce l'engagement de protéger la confidentialité des données au-delà des frontières internationales.

Exemples d'application du champ d'application élargi :

🛍️ Plates-formes internationales de commerce électronique : Places de marché en ligne étrangères s'adressant aux consommateurs suisses.

📱 Réseaux de médias sociaux : Les géants des médias sociaux d'outre-mer traitent les données des utilisateurs suisses à des fins de contenu sur mesure et de publicités ciblées.

☁️ Fournisseurs de services en nuage : Services en nuage étrangers stockant ou traitant des données personnelles de résidents suisses, même en dehors du territoire suisse.

🏥 Innovateurs dans le domaine de la santé : Entités étrangères de technologie médicale traitant des données de santé sensibles de patients suisses, comme les services de télémédecine.

💼 Institutions financières : Acteurs financiers internationaux gérant des données personnelles de clients suisses, que ce soit pour des transactions, des investissements ou la conformité.

🌐 Innovations IoT : Les fabricants d'appareils IoT, quel que soit leur emplacement, collectant et traitant des données personnelles de particuliers suisses (comme les trackers de santé ou les appareils domestiques intelligents).

📢 Réseaux publicitaires en ligne : Réseaux publicitaires étrangers qui suivent le comportement en ligne des internautes suisses à des fins de publicités personnalisées ou de profilage.

📊 Pionniers de l'analyse de données : Les entreprises d'analyse de données à l'étranger qui analysent les données personnelles à des fins de compréhension et de prise de décision.

La position de la Suisse sur cet aspect est moins directe que dans le cadre du site RGPD, qui stipule que les organisations étrangères ne doivent pas nommer de représentant dans l'UE si elles y disposent d'un "établissement". Dans ce contexte, un établissement "implique l'exercice effectif et réel d'activités par le biais d'arrangements stables". Il peut s'agir d'une succursale ou d'une filiale, mais la forme juridique (c'est-à-dire l'existence ou non d'une personnalité juridique) n'est pas le facteur déterminant, de sorte qu'il peut également s'agir, par exemple, d'un bureau de vente. Dans le cadre du PAFD, il n'y a pas de référence spécifique au terme "établissement" et aucune indication sur le type de "domicile" ou de structure organisationnelle nécessaire en Suisse pour exempter les sociétés étrangères de l'obligation de nommer un représentant.

Selon la FAQ des autorités suisses, l'expression "à grande échelle" désigne les cas où les données ne sont pas traitées de manière isolée ou lorsque le traitement des données représente une part importante des activités de la personne ou de l'entité en question.
Par exemple, il peut s'agir du traitement des données d'un patient par un cabinet médical ou un hôpital. En revanche, le traitement isolé des données d'un employé absent pour cause de maladie par une entreprise ne constitue pas un traitement à grande échelle. Il y a traitement à grande échelle notamment lorsque le traitement des données constitue une partie essentielle des activités de l'entreprise.

Selon la FAQ des autorités suisses, le traitement n'est pas considéré comme régulier lorsque les données ne sont traitées que pour une durée limitée ou de manière occasionnelle. Selon la FAQ, cette condition devrait être remplie, par exemple, dans le commerce en ligne. Lorsque les données personnelles constituent la "matière première" d'une activité (par exemple pour les réseaux sociaux), il s'agit également d'un traitement régulier.

Selon les FAQ des autorités suisses, il convient de procéder à un examen au cas par cas. Le risque élevé peut notamment découler de la quantité et du type de données traitées (en particulier s'il s'agit de données sensibles), de la finalité du traitement et de la manière dont les données sont traitées (par exemple, l'utilisation de nouvelles technologies), de tout transfert potentiel de données à l'étranger et des droits d'accès aux données (par exemple, si un nombre important, voire illimité, de personnes peuvent accéder aux données).

La notion de données sensibles est définie de manière exhaustive à l'article 5, point c), du PFDA. Il s'agit des données relatives aux opinions ou activités religieuses, philosophiques, politiques ou syndicales, ainsi que des données relatives à la santé, à la vie privée ou à l'origine raciale, aux procédures ou sanctions pénales ou administratives et aux mesures de protection sociale.

Le représentant sert de pont entre les personnes concernées, les responsables du traitement des données et le Préposé fédéral à la protection des données et à la transparence (PFPDT).

Les responsabilités du délégué suisse à la protection des données sont les suivantes :

• Servir d'intermédiaire pour la communication avec les personnes concernées et le PFPDT.
• Conserver une copie du registre des activités de traitement (ROPA) de l'entreprise étrangère.
• Mettre le ROPA à la disposition de l'OFPIC sur demande.

Bien qu'elles aient pour objectif commun de favoriser la protection des données, elles divergent sur certains points. Par exemple, dans le cadre du PAFD, l'obligation de désigner un représentant s'applique à un ensemble plus restreint de circonstances, en se concentrant particulièrement sur les activités de traitement présentant des risques élevés pour la vie privée. Cette spécificité du champ d'application souligne l'approche unique de la Suisse pour équilibrer la protection des données et les considérations pratiques.

En outre, bien que le représentant serve de point de contact pour les personnes concernées, le responsable du traitement des données reste responsable de l'exécution de l'obligation d'information lors de la collecte des données à caractère personnel. Les personnes concernées ne peuvent exercer leur droit d'accès qu'auprès du responsable du traitement, et non de son représentant.

Les mécanismes d'application du PDAF adoptent une approche unique. Le Préposé fédéral à la protection des données et à la transparence (PFPDT) a le pouvoir d'ordonner aux organisations étrangères de nommer un représentant. En outre, le PFPDT peut collaborer avec des autorités étrangères chargées de la protection des données pour partager des informations ou des données personnelles afin de s'assurer que leurs obligations légales sont respectées, sous certaines conditions.

Le non-respect du PDAF peut donner lieu à des amendes, la sanction maximale étant de 250 000 CHF (environ 260 000 EUR ou 278 000 USD). Il est à noter que ces amendes sont qualifiées d'amendes pénales, plutôt que d'amendes administratives, et qu'elles visent généralement des individus plutôt que des organisations. Lorsque les obligations concernent exclusivement les entreprises, la responsabilité pénale incombe aux administrateurs. Cela signifie que les dirigeants de l'entreprise, les membres de l'organe directeur, les associés gérants et les administrateurs portent la responsabilité. Les employés sont exclus. Quelles que soient les circonstances, l'individu en question doit détenir un pouvoir de décision autonome dans un domaine spécifique de l'entreprise. Si la personne responsable au sein d'une organisation ne peut être identifiée au cours d'une enquête, les entreprises peuvent se voir infliger des amendes allant jusqu'à 50 000 CHF (environ 52 400 EUR ou 56 000 USD).