Comprendre le GDPR et le nFADP
Le RGPD, ou Règlement général sur la protection des données, est entré en vigueur le 25 mai 2018. Son objectif est de protéger les données personnelles et d’empêcher l’exploration massive de données par les entreprises sans le consentement des utilisateurs. Ce règlement s’applique à toute entreprise, y compris celles qui agissent en tant que sous-traitants pour les pays de l’UE.
De même, à partir du 1er septembre 2023, la Suisse a mis en œuvre la nouvelle nouvelle Loi sur la protection des données (nFADP), qui aligne le droit suisse sur le GDPR pour :
✅ Assurer une plus forte protection des données personnelles
✅ S’adapter aux changements technologiques et sociaux
✅ Maintenir le libre échange de données avec l’UE
✅ Renforcer la compétitivité des entreprises Suisses
Qui est concerné ?
🔹 Entreprises traitant des données à caractère personnel
🔹 Sites web utilisant des cookies, des outils de suivi, d’analyse ou des formulaires en ligne
🔹 Entreprises traitant des données de clients de l’UE ou de la Suisse
Qu’est-ce que les données à caractère personnel ?
Les données à caractère personnel désignent toute information permettant d’identifier une personne directement ou indirectement, y compris :
📌 Noms et adresses
📌 Numéros de téléphone et courriels
📌 Adresses IP et identifiants de dispositifs
📌 Empreintes digitales et enregistrements vocaux
📌 Numéros de sécurité sociale
📌 Tout outil de suivi analytique
Conformité et responsabilités
Les organisations et les particuliers doivent :
✔️ Obtenir un consentement explicite avant de collecter des données
✔️ Permettre aux utilisateurs de gérer leurs droits sur les données (accès, modification, suppression)
✔️ Sécuriser les données personnelles avec des mesures de protection appropriées
✔️ Maintenir la transparence dans la collecte et le traitement des données
Principaux changements dans la nouvelle loi fédérale sur la protection des données (nFADP)
- Priorité à la protection
Seules les données des personnes physiques sont protégées, à l’exclusion des données des entités juridiques. - Extension des données sensibles
Les données génétiques et biométriques sont désormais explicitement classées comme données sensibles.
🔹 La protection des données doit être développée dès le départ dans les produits et services.
🔹 La protection de la vie privée des utilisateurs est assurée automatiquement, avec une intervention minimale de l’utilisateur.
🔹 Les entreprises doivent vérifier que les sites web, les outils de marketing et les plateformes sociales respectent les nouvelles normes en matière de protection de la vie privée.
🇪🇺 Différences avec l'UE (GDPR vs. nFADP)
Droit à l'oubli et portabilité des données
Conformément au RGPD, les individus ont le droit à l’oubli. Cela signifie qu’ils peuvent demander la suppression de leurs données personnelles lorsque la vie privée est compromise. De plus, le droit à la portabilité des données donne aux utilisateurs la possibilité de transférer leurs données d’une plateforme en ligne à une autre, par exemple en passant d’un réseau social à un autre.
⚠️ Obligation de notifier les fuites de données
En cas de fuite de données, qu’elle soit due à un piratage, à des vulnérabilités de serveur ou à des failles d’application, les entreprises doivent rapidement informer les utilisateurs.
✅ Pour garantir la conformité, il est essentiel de mettre en œuvre des mesures de sécurité robustes et de maintenir une communication transparente avec les utilisateurs.
Qui est soumis à ces obligations d'information ?
En vertu du RGPD et du nFADP, les entreprises Suisses qui traitent des données personnelles de résidents de l’UE ont des obligations légales spécifiques. Celles-ci s’appliquent notamment aux entreprises qui agissent en tant que sous-traitants ou qui exercent des activités au sein de l’UE.
Entreprise Suisse qui traite des données personnelles pour le compte d’une entreprise de l’UE
🔹 Le GDPR s’applique au traitement des données par une entreprise suisse agissant en tant que sous-traitant d’une entreprise EU.
🔹 Elle doit informer l’UE de toute fuite ou pertes de données et respecter les obligations contractuelles prévues par l’accord sur le traitement des données (DPA).
Entreprise suisse traitant des données de résidents de l’UE
🔹 Si une entreprise suisse collecte et traite des données de résidents de l’UE afin de proposer des biens ou des services, même à titre gratuit, le RGPD s’applique.
🔹 L’entreprise doit informer les utilisateurs de la collecte, de l’utilisation et du stockage des données, ainsi que de leurs droits (par exemple, accès, rectification, suppression).
🔹 La transparence et le consentement sont obligatoires avant le traitement des données personnelles.
Le profilage des clients dans l’UE pour les activités commerciales et les ventes est concerné.
🔹 Si une entreprise suisse établit le profil de clients de l’UE, notamment à des fins de marketing ciblé ou de revente de données à des tiers, le GDPR s’applique strictement.
🔹 Un consentement explicite est requis avant le profilage ou la vente de données.
🔹 Les utilisateurs doivent être informés de la manière dont leurs données sont utilisées et avoir le droit de refuser le profilage.
Toute entreprise Suisse qui traite des données personnelles de résidents de l’UE doit se conformer au RGPD, ce qui implique de garantir la transparence, les Droits des utilisateurs et les notifications de fuite de données.
Principes clés de la protection des données
La conformité avec le GDPR et le nFADP exige de la transparence dans le traitement des données. Ci-dessous les principes fondamentaux que les entreprises doivent respecter lorsqu’elles collectent et traitent des données à caractère personnel :
1️⃣ Politique de consentement et d’acceptation (essentiel pour le commerce électronique)
Les utilisateurs doivent accepter explicitement la collecte de données par le biais d’un consentement clair, informé et sans ambiguïté. Pas de cases pré-cochées ni de termes cachés.
2️⃣ Qui traite mes données ?
Votre entreprise doit être clairement identifiée comme responsable du traitement des données, et tout sous-traitant tiers doit être précisé.
3️⃣ Base juridique de la collecte des données
Les entreprises doivent justifier pourquoi elles collectent des données en se fondant sur l’un des motifs juridiques suivants :
✔ Consentement de l’utilisateur (opt-in requis)
✔ Nécessité contractuelle (par exemple, traitement d’une commande)
✔ Obligation légale (par exemple, dossiers fiscaux)
✔ Intérêt légitime (équilibre entre les besoins de l’entreprise et les droits de l’utilisateur)
4️⃣ Objectif de la collecte de données
Expliquez POURQUOI vous collectez des données, que ce soit pour le traitement des transactions, le marketing, la sécurité ou le respect de la Législation.
5️⃣ Types de données personnelles collectées
Précisez QUELLES sont les données collectées, telles que :
📌 Identifiants de base (nom, courriel, téléphone, adresse)
📌 Données sensibles (biométrie, santé, finances)
📌 Identifiants en ligne (adresse IP, cookies, historique de navigation).
6️⃣ Période de conservation des données
Définir la DURÉE de conservation des données et les critères de suppression une fois que leur finalité est remplie.
7️⃣ Transferts internationaux de données
Si vous transférez des données en dehors de la Suisse ou de l’UE, indiquez la destination et les mesures de protection (par exemple, les clauses contractuelles types).
8️⃣ Prise de décision et profilage automatisés
Si vous utilisez l’IA, le ciblage automatisé ou le profilage comportemental, les utilisateurs doivent en être informés et avoir le droit de refuser ou de demander une intervention directe.
9️⃣ Partage de données avec des tiers
Communiquez avec QUI vous partagez des données (par exemple, fournisseurs de paiement, services cloud) et assurez-vous qu’ils se conforment aux Lois sur la protection des données.
🔟 Droits des personnes concernées
Informez les utilisateurs de leurs Droits :
✅ Accéder à leurs données
✅ Rectifier des données inexactes
✅ Supprimer les données (« droit à l’oubli »)
✅ S’opposer au traitement des données
✅ Portabilité des données (transfert de leurs données)
Comment les utilisateurs sont-ils informés des changements apportés à la politique ?
Le respect de ces principes garantit la confiance des utilisateurs dans la manière dont vous traitez leurs données à caractère personnel.
Quelle est la marche à suivre pour appliquer la protection des données dans la pratique ?
Pour garantir la conformité au RGPD et au nFADP, il est essentiel d’adopter une approche proactive dans la gestion des données personnelles. Voici comment mettre en œuvre efficacement les politiques de protection des données dans votre entreprise :
1️⃣ Communication en ligne (site web et plateformes numériques).
✔ Assurez-vous que votre site web et vos services en ligne indiquent clairement comment vous collectez et traitez les données des utilisateurs.
✔ Utilisez des connexions sécurisées (HTTPS, SSL/TLS) pour transférer les données en toute sécurité.
✔ Des bannières de consentement pour les cookies et les outils de suivi doivent être mises en place.
2️⃣ Sensibilisez, informez et formez votre équipe :
✔ Formez vos employés et vos collaborateurs sur l’importance de la protection des données et de la cybersécurité.
✔ Organisez des ateliers sur le traitement sécurisé des données et la reconnaissance des tentatives d’hameçonnage.
✔ Veiller à ce que les politiques internes (POS) s’alignent sur les normes juridiques.
3️⃣ Stockage et transfert sécurisés des données
✔ Ne jamais stocker ou transférer des données personnelles qui sont librement accessibles sur Internet.
✔ Mettez en œuvre la « minimisation » ou anonymisation des données en ne collectant que ce qui est strictement nécessaire.
✔ Utilisez des solutions de stockage cryptées. Mettez à jour régulièrement les correctifs de sécurité.
4️⃣ Soyez prudent avec les bases de données marketing
✔ S’assurer du consentement du client avant d’utiliser ses données à des fins marketing.
✔ Vérifiez également régulièrement la conformité des outils tiers (CRM, outils d’analyse).
✔ Supprimer les données personnelles obsolètes ou inutiles.
5️⃣ Politique de confidentialité et déclaration de protection des données
Votre site web doit inclure :
✔ Une politique de confidentialité détaillant les politiques de collecte, d’utilisation et de conservation des données.
✔ Une déclaration de protection des données couvrant :
- L’utilisation des fichiers et des cookies ;
- Les outils d’analyse (par exemple, Google Analytics, Matomo) ;
- Le traitement des formulaires de contact ;
- Les interactions avec le marketing et les médias sociaux.
Agir de manière efficace
🔹 Révisez vos politiques de collecte de données ;
🔹 Mettez à jour votre site web en y ajoutant une politique de confidentialité claire ;
🔹 Formez votre équipe aux meilleures pratiques en matière de sécurité des données.
Besoin d’un DPO ? Nous avons ce qu’il vous faut
Si votre entreprise n’a pas de délégué à la protection des données (DPO), DIGITALABS peut vous aider à :
✔ Vérifier que vous êtes conforme au RGPD/nFADP.
✔ Mettre en œuvre les bonnes pratiques pour la collecte et le traitement des données.
✔ Définir des politiques internes et des procédures de formation (sensibilisation) du personnel.
Sources externes utiles
- CNIL: GDPR toolkit.
- Fédération des Entreprises Romandes: Découvrir la protection des données. (FR)
- Swiss Confederation: New Federal Act on Data Protection (nFADP). (DE, FR, IT, EN)
- Infomaniak Network SA: Protection of your personal data. (FR, EN, DE, IT, ES)
- ThinkData: Data Protection and Transparency Awareness Service. (FR, EN, DE, IT)
- Preparing for the GDPR: Guide to the GDPR. (PDF)
