La nouvelle loi sur la protection des données
exige que les entreprises protègent encore mieux leurs données clients,
collaborateurs, financières et autres informations sensibles. Cette loi entrera
en vigueur dans quelques mois. Nous vous indiquons ici ce qui va changer et
comment les entreprises doivent procéder.
Déclaration de
protection des données
Avez-vous besoin d’une déclaration de protection des données pour votre site
Internet et/ou vos contrats? Votre devoir d’information naît à partir du moment où vous
saisissez des données personnelles. L’élaboration d’une déclaration de
protection des données est l’une des tâches principales exigées par la nouvelle
loi. Vous trouverez des informations et des modèles de déclaration en ligne.
Définir des normes pour le traitement des données sera très utile en interne, mais aussi en externe (demandes des autorités, procédures juridiques, etc.). Vous devez clarifier des questions de base comme «Qui a accès à quelles données?», «Où les données doivent-elles être stockées?», «Quelles données peuvent être envoyées uniquement sous forme cryptée?». Prévoyez suffisamment de temps pour apporter les réponses nécessaires et faites-vous conseiller.
Les
entreprises de plus de 250 collaborateurs ont l’obligation de tenir un registre de leurs activités de
traitement des données. Mais nous recommandons également un tel
registre aux entreprises plus petites. Il permet de savoir quelles catégories
de données ont été traitées, quand, par qui et comment.
Les personnes concernées (clients, internautes) peuvent demander des
information ou exiger des suppressions. Comme les délais sont courts, il est recommandé d’avoir
un modèle à disposition.
Il y a violation de la protection des données lorsque des données personnelles
sont accidentellement ou illicitement perdues, effacées, détruites, modifiées,
divulguées ou rendues accessibles à des tiers non autorisés. Toute violation doit être notifiée
dans les meilleurs délais au Préposé fédéral à la protection des données. Cela
signifie donc aussi que les entreprises doivent être suffisamment préparées au
niveau technique et organisationnel.
De nombreux services sont utilisés
par des tiers pour diverses fonctions (envoi de courriels et de newsletters,
logiciels du cloud, vidéoconférences, etc.). Vous devez donc vérifier si la
protection des données est garantie dans tous les cas. Ajoutez des clauses de
confidentialité, de traitement des données ou relatives aux procédures de
notification dans les contrats conclus avec vos sous-traitants.
Les données
personnelles qui ne sont plus nécessaires et dont le traitement ne peut plus
être justifié doivent être effacées par l’entreprise. Vous devez tenir compte
de ce point dans vos processus.
La plupart des fournisseurs de
services de cloud et de logiciels ont des serveurs hors de Suisse. Le site du Préposé fédéral à la
protection des données propose une liste des États tiers sûrs qui ne posent pas
de problème. Pour tous les autres pays, États-Unis compris, des clauses
contractuelles supplémentaires et spécifiques sont nécessaires.
Faites vérifier votre infrastructure informatique! Quelles sont
les dispositions supplémentaires à prendre dans le cadre de la nouvelle loi sur
la protection des données? Attention: la technique seule ne suffira pas. En effet, en
matière de cybercriminalité, le maillon faible est souvent l’humain. C’est ici
que vous devez intervenir en fournissant des informations et en prenant des
mesures organisationnelles (p. ex. gestion des mots de passe).
Il existe un
certain nombre de données particulièrement sensibles.
Il s’agit notamment des données biométriques, des informations relatives à la
religion, à la santé, aux procédures judiciaires, à l’appartenance syndicale, à
l’orientation sexuelle, etc. qui exigent une protection particulière.
Le droit à la
portabilité des données permet à la personne concernée d’obtenir ses données
personnelles dans un format électronique courant ou de les faire transférer à
un tiers.
Une entreprise doit dans tous les cas évaluer les risques liés à son traitement des données personnelles. Souvent, une évaluation intuitive des risques suffit. Mais pour certains traitements (p. ex. avec de nouvelles technologies ou par profilage), une réflexion approfondie est nécessaire.
Source: Update FiduciaireSuisse
Ce site web utilise des cookies temporaires. En restant sur ce site web, vous consentez à l'utilisation de ces cookies. Ces cookies seront supprimés de votre navigateur lorsque vous quitterez ce site web. Vous trouverez de plus amples informations sur les cookies et la confidentialité ici : Déclaration de confidentialité.
