Alors que nous nous préparons à la révision de la loi fédérale sur la protection des données (LPD), qui entrera en vigueur le 1er septembre 2023, l'un des aspects clés qui mérite notre attention est l'extension du champ d'application territorial de la LPD. On notera en particulier la nouvelle obligation pour certaines organisations basées en dehors de la Suisse, qui les mandate pour nommer un représentant de la protection des données.

L'importance du contexte

Dans un monde caractérisé par la transformation numérique et les flux de données sans frontières, une réglementation solide en matière de protection des données n'a jamais été aussi cruciale. Le PAFD est une mise à jour de la loi fédérale suisse initiale du 19 juin 1992 et vise à garantir que les réglementations suisses en matière de protection des données s'alignent sur notre réalité numérique moderne. Le PAFD souligne également l'engagement de la Suisse à maintenir son statut d'adéquation avec l'Union européenne (UE), garantissant ainsi des transferts de données transfrontaliers sans heurts.

La portée mondiale de la loi suisse sur la protection des données

Le nouveau PDAF de la Suisse a un champ d'application très large. Notamment, l'influence de la loi dépasse les frontières suisses et s'applique aux "circonstances qui ont un effet en Suisse, même si elles ont été initiées à l'étranger".

Cette compétence élargie reflète l'interconnexion du paysage mondial actuel axé sur les données et la nécessité de veiller à ce que les droits des personnes en matière de données restent intacts, quel que soit l'endroit d'où provient le traitement des données. En outre, la loi actualisée introduit des mesures qui obligent les entités étrangères traitant des données personnelles d'individus en Suisse à se conformer aux mandats de la loi, renforçant ainsi l'engagement à protéger la confidentialité des données au-delà des frontières internationales.

Désignation d'un représentant à la protection des données pour les entités étrangères

L'obligation de désigner un représentant de la protection des données en Suisse s'applique à certaines entités étrangères.

Votre organisation relève de cette compétence si elle répond aux critères suivants :.

• Vous êtes un contrôleur privé.

Les entreprises de transformation ne sont pas tenues de désigner un représentant.

• Votre siège social ou votre domicile est situé en dehors de la Suisse.

La position de la Suisse sur cet aspect est moins directe que dans le cadre du site RGPD, qui stipule que les organisations étrangères ne doivent pas nommer de représentant dans l'UE si elles y disposent d'un "établissement". Dans ce contexte, un établissement "implique l'exercice effectif et réel d'activités par le biais d'arrangements stables". Il peut s'agir d'une succursale ou d'une filiale, mais la forme juridique (c'est-à-dire l'existence ou non d'une personnalité juridique) n'est pas le facteur déterminant, de sorte qu'il peut également s'agir, par exemple, d'un bureau de vente. Dans le cadre du PAFD, il n'y a pas de référence spécifique au terme "établissement" et aucune indication sur le type de "domicile" ou de structure organisationnelle nécessaire en Suisse pour exempter les sociétés étrangères de l'obligation de nommer un représentant.

• Votre traitement est lié à l'offre de biens ou de services à des personnes en Suisse et/ou à la surveillance du comportement de ces personnes.

Comme dans le site RGPD, la surveillance peut prendre la forme d'un suivi ou d'un profilage.

• Vous traitez des données à caractère personnel à grande échelle.

Selon les FAQ des autorités suisses, l'expression "à grande échelle" se rapporte à des situations où le traitement des données n'est pas isolé ou lorsque le traitement des données constitue une partie substantielle des activités menées par la personne ou l'entité en question.

• Vos activités de traitement sont effectuées sur une base régulière.

Les FAQ citent le commerce en ligne comme exemple de traitement régulier, ou lorsque les données à caractère personnel sont utilisées comme "matière première" d'une activité (par exemple, pour les réseaux sociaux). Le traitement n'est pas considéré comme régulier lorsque les données ne sont traitées que pour une durée limitée ou de manière occasionnelle.

• Votre traitement présente un risque élevé pour les personnes.

Les FAQ précisent que cela doit être déterminé au cas par cas. Le risque élevé peut découler de la quantité et du type de données traitées (en particulier s'il s'agit de données sensibles), de la finalité du traitement, de la manière dont les données sont traitées (par exemple, l'utilisation de nouvelles technologies), des transferts potentiels de données à l'étranger et des droits d'accès liés aux données (par exemple, si un nombre important, voire illimité, de personnes peuvent accéder aux données).

Le rôle du représentant de la protection des données

Le délégué à la protection des données est un lien essentiel entre les personnes concernées, les responsables du traitement et le Préposé fédéral à la protection des données et à la transparence (PFPDT).

Le rôle du représentant suisse de la protection des données est le suivant :

• Servir d'intermédiaire pour la communication avec les personnes concernées et le PFPDT.
• Conserver une copie du registre des activités de traitement (ROPA) du responsable du traitement étranger.
• Mettre le ROPA à la disposition de l'OFPIC sur demande.

Dynamique unique d'application de la loi dans le cadre du plan d'action pour le développement de l'agriculture (FADP)

Le PFPDT a le pouvoir d'ordonner aux organisations étrangères de nommer un représentant. En outre, le PFPDT peut collaborer avec des autorités étrangères chargées de la protection des données pour partager des informations ou des données personnelles afin de s'assurer que leurs obligations légales sont remplies, sous certaines conditions. Le non-respect du PAFD peut donner lieu à des amendes, la sanction maximale étant de 250 000 CHF (environ 260 000 EUR). Il est à noter que ces amendes sont qualifiées d'amendes pénales, plutôt que d'amendes administratives, et qu'elles visent généralement des individus plutôt que des organisations. Lorsque les obligations concernent exclusivement les entreprises, la responsabilité pénale incombe aux administrateurs. Cela signifie que les dirigeants de l'entreprise, les membres de l'organe de direction, les associés gérants et les administrateurs portent la responsabilité. Les employés sont exclus. Quelles que soient les circonstances, l'individu en question doit détenir un pouvoir de décision autonome dans un domaine spécifique de l'entreprise. Si la personne responsable au sein d'une organisation ne peut être identifiée au cours d'une enquête, les entreprises peuvent se voir infliger des amendes allant jusqu'à 50 000 CHF (environ 52 400 EUR).

En conclusion

Les avancées progressives de la Suisse en matière de protection des données constituent un cadre dynamique qui transcende les frontières. Au fur et à mesure que le paysage mondial des données évolue, les entités étrangères se retrouvent soumises aux réglementations suisses, ce qui souligne la nécessité d'avoir un représentant de la protection des données. Ce rôle crucial permet non seulement d'assurer la conformité, mais aussi de servir de pont entre les personnes concernées, les responsables du traitement et les organes de contrôle. Avec des amendes et des mécanismes d'application conçus pour protéger la vie privée et la responsabilité, le nouveau paysage de la protection des données invite les organisations internationales à naviguer dans ces eaux complexes tout en défendant les droits fondamentaux des individus. Avec l'entrée en vigueur du PAFD, le domaine de la protection des données s'étendra au-delà de la simple conformité, vers un avenir numérique fiable et responsable.

N'hésitez pas à nous contacter si vous souhaitez discuter plus avant de ce sujet et de ses implications.