La Suisse a révisé l’Ordonnance sur la protection des données, entrée en vigueur le 1er septembre 2023. Les modifications entreront en vigueur le 1er décembre 2025.
Les articles 4 et 8 de l’OPD constituent deux éléments essentiels, notamment pour la traçabilité des traitements à haut risque et les transferts internationaux de données.
Article 4 « Journalisation »
Lors de traitements automatisés de données sensibles à grande échelle ou de profilage à risque élevé et lorsque les mesures préventives ne suffisent pas à garantir la protection des données, le responsable du traitement privé et son sous-traitant privé doivent enregistrer les données pertinentes (« journaliser »).
A la suite de la modification, cette journalisation doit inclure l’enregistrement, la modification, la communication, l’effacement et la destruction des données ainsi que l’accès aux données (nouveau texte qui remplace le mot « lecture ».
On parle désormais de « données sensibles, de profilages et de traitements automatisés de données soumis à la directive (UE) 2016/680 » et pas de « données personnelles ».
Il faut désormais évaluer au préalable le risque pour les droits fondamentaux des personnes concernées et déterminer sur cette base, ainsi qu’en tenant compte de l’état des connaissances et des coûts de mise en œuvre, si et dans quelle mesure les opérations précitées doivent être journalisées. Pour l’évaluation du risque, ils tiennent notamment compte du type de données traitées, ainsi que de la finalité, de la nature, de l’étendue et des circonstances du traitement.
L’examen de la journalisation doit être consigné par écrit. Le résultat et le contenu de l’examen doivent être communiqués, sur demande, au Préposé fédéral à la protection des données et à la transparence (PFPDT).
Pour les traitements automatisés de données personnelles planifiés ou ayant débuté avant l’entrée en vigueur de la modification du 29 octobre 2025, l’examen de la journalisation au sens de l’art. 4, al. 2, doit être effectué d’ici au 31 décembre 2026. Si la journalisation s’avère nécessaire, elle doit être mise en œuvre d’ici au 31 décembre 2029. Les traitements automatisés de données sensibles, les profilages et les traitements automatisés de données soumis à la directive (UE) 2016/6803 ne sont pas visés par la présente disposition.
Art.8 « Évaluation du niveau de protection adéquat des données d’un État, d’un territoire, d’un secteur déterminé dans un État, ou d’un organisme international »
Les États, les territoires, les secteurs déterminés dans un État, et les organismes internationaux avec un niveau de protection adéquat sont mentionnés à l’annexe 1.
Le PFPDT est désormais consulté lors de chaque évaluation. Les appréciations effectuées par des organismes internationaux ou des autorités étrangères chargées de la protection des données peuvent être prises en compte.
Recommandations pratiques
– Cartographier les traitements comportant données sensibles ou profilage à haut risque.
– Mettre en place les registres exigés par l’art. 4 OPD.
– Vérifier si les destinataires étrangers figurent dans l’Annexe 1.
– Mettre à jour les politiques internes, procédures, clauses contractuelles.
– Sensibiliser le personnel aux nouvelles obligations.
- 02/12/2025
- https://blog.solver.store/
