Loi sur la protection des données
Dernière chance de boucler sa ceinture
29 août 2023 agvs-upsa.ch – La nouvelle loi sur la protection des données entrera en vigueur le 1er septembre 2023. En principe, tout non-respect sera punissable à partir de cette date. Il est donc important de prendre des mesures à temps afin d’être prêt le cas échéant, car les infractions peuvent coûter très cher.
Ab dem 1. September 2023 gilt in der SChweiz das neue Datenschutzgesetz. Foto:Shutterstock
srh. Ne pas attacher sa ceinture peut entraîner une amende si on se fait prendre. Et en cas d’accident, les prestations d’assurance sont perdues, sans compter le risque d’être gravement blessé. C’est un peu pareil avec la loi sur la protection des données : on peut l’ignorer. Mais en cas d’incident avec des données ou de plainte d’un client, cela coûte cher. Très cher. Les amendes peuvent se monter à CHF 250 000. Celles-ci ne sont pas adressées à l’entreprise, mais à la personne responsable de la protection des données. De plus, cela entraîne une inscription au casier judiciaire. Il reste encore un peu de temps pour prendre les mesures nécessaires pour se protéger des conséquences pénales. Ou, pour reprendre l’image la ceinture : il vaut mieux attacher sa ceinture avant de s’engager sur la route principale.
Les spécialistes de la protection des données d’Impunix, partenaire de l’UPSA, ont compilé dix étapes relatives à la nouvelle loi révisée sur la protection des données. Toute violation intentionnelle des articles marqués en rouge est passible de sanctions. Les autres dispositions peuvent faire l’objet d’une action civile.
Liste des traitements de données
Déclaration de protection des données – DSE
Contrat de sous-traitance – CST
Sécurité des données – Toms & AIPD
Transmission à l’étranger
Droits des personnes concernées
Principes de protection des données
Protection de la vie privée par défaut
Petit secret professionnel
Formation du personnel
Ab dem 1. September 2023 gilt in der SChweiz das neue Datenschutzgesetz. Foto:Shutterstock
srh. Ne pas attacher sa ceinture peut entraîner une amende si on se fait prendre. Et en cas d’accident, les prestations d’assurance sont perdues, sans compter le risque d’être gravement blessé. C’est un peu pareil avec la loi sur la protection des données : on peut l’ignorer. Mais en cas d’incident avec des données ou de plainte d’un client, cela coûte cher. Très cher. Les amendes peuvent se monter à CHF 250 000. Celles-ci ne sont pas adressées à l’entreprise, mais à la personne responsable de la protection des données. De plus, cela entraîne une inscription au casier judiciaire. Il reste encore un peu de temps pour prendre les mesures nécessaires pour se protéger des conséquences pénales. Ou, pour reprendre l’image la ceinture : il vaut mieux attacher sa ceinture avant de s’engager sur la route principale.
Les spécialistes de la protection des données d’Impunix, partenaire de l’UPSA, ont compilé dix étapes relatives à la nouvelle loi révisée sur la protection des données. Toute violation intentionnelle des articles marqués en rouge est passible de sanctions. Les autres dispositions peuvent faire l’objet d’une action civile.
Liste des traitements de données
- Art. 12 Créez une liste des processus et activités dans lesquels votre/vos organisation(s) traite(nt) des données personnelles (p. ex. vente, cookies, marketing, après-vente, location, dépannage, comptabilité, gestion du personnel, e-shop, vidéosurveillance). La liste contient au moins le traitement, le but, les personnes de la catégorie, les données de la catégorie, le destinataire/le responsable du traitement, la durée de conservation, et éventuellement d’autres informations selon les besoins.
- Art. 19 Lorsque vous collectez ou traitez des données personnelles non requises par la loi, vous devez l’indiquer de manière transparente dans la DSE avant le traitement. Le mieux est de mettre la DSE sur le site Internet ainsi que des liens vers celle-ci près des caméras vidéo et dans les contrats (renvoi à la DSE). Pour les candidats et les collaborateurs, une DSE séparée est recommandée dans le règlement du personnel. La DSE contient : vos coordonnées, la finalité du traitement des données, les catégories de destinataires, le transfert à l’étranger (pays), les droits des personnes concernées.
- Art. 9 La plupart des entreprises donnent ou confient l’accès aux données à des tiers, p. ex. à des fournisseurs informatiques, au marketing, etc. Le sous-traitant ne peut faire que ce que vous êtes autorisés à faire. Il faut donc conclure un CST avec les tiers, un contrat qui établit votre souveraineté sur les données et oblige le tiers à respecter la protection et la sécurité des données. Un CST conforme au droit européen avec une référence à la LPD suffit (modèle : p. ex. auprès de la Datenschutzstelle Liechtenstein).
- Art. 8 Nous protégeons les données personnelles par des mesures techniques et organisationnelles. Techniques : accès avec un compte personnel et « MFA », accès de tiers sur demande et avec piste d’audit, pare-feu, logiciel antivirus, sauvegardes. Organisationnelles : Clean-Desk, Need-to-Know, obligation de protection des données et formations, déchiquetage, etc. Obligation de notification Art. 24 : en cas de perte de données, il faut envisager une notification au PFPDT (edoeb.admin.ch) et, le cas échéant, aux personnes concernées
- Art. 22 Si l’organisation traite de nombreuses données personnelles très sensibles ou particulièrement sensibles et que des erreurs ou d’autres risques sont susceptibles de présenter un risque pour la personne concernée, une analyse d’impact sur la protection des données (AIPD) doit être réalisée et documentée. L’AIPD permet de savoir si les mesures prises pour protéger les données personnelles sont réellement appropriées.
- Art. 16 Ne sont pas des pays étrangers dans lesquels la sécurité n’est pas garantie, et sont donc des pays vers lesquels des données personnelles peuvent être transférées : l’UE, le Royaume-Uni, l’EEE et certains autres pays de la liste des pays. Rappelez-vous que les pays doivent être cités dans la DSE. Dans d’autres pays, les données peuvent être traitées si cela est nécessaire et stipulé dans un contrat au cas par cas, si la personne concernée a renoncé à une protection séparée ou s’il existe des CCS (clauses contractuelles standard de l’UE avec référence à la Suisse).
- Art. 25 ss Nous accordons aux personnes concernées les droits mentionnés dans la DSE, à savoir l’accès à leurs propres données personnelles (pas aux documents) et, sur demande, à d’autres informations. La loi accorde un délai de 30 jours pour l’accès gratuit. Nous devons d’abord identifier la personne qui demande les informations. Attention : un renseignement faux ou incomplet est punissable. Le but du renseignement doit être la protection de la personnalité. Autres droits : rectification de données erronées. L’effacement ne peut être exigé que si nous n’avons pas de meilleur motif ou une obligation légale. Dans le cas d’une décision entièrement automatisée, art. 21, c’est encore une personne qui décide sur demande.
- Art. 6 Nous appliquons les principes relatifs à la protection des données dans nos processus organisationnels : licéité, bonne foi, limitation des finalités, obligation d’effacer les données, exactitude, transparence et sécurité des données. L’organisation documente ces principes et les procédures de respect des obligations de diligence.
- Art. 7 Lorsque nous donnons un choix à une personne concernée, les paramètres de confidentialité et de sécurité d’un système, d’une application ou d’un produit doivent être réglés par défaut sur les options les plus sûres ou les plus respectueuses de la protection des données.
- Art. 62 Les données personnelles transmises à l’organisation doivent être gardées confidentielles, sauf avis contraire de la personne concernée.
- Les collaborateurs sont très importants pour la mise en œuvre et le respect de la protection des données. Les raisons pour lesquelles les collaborateurs doivent être formés à la protection des données sont nombreuses : Éviter les sanctions : les infractions aux lois sur la protection des données peuvent entraîner des amendes personnelles considérables pouvant atteindre CHF 250 000.–.
- Sécurité des données : les collaborateurs formés sont mieux préparés à identifier et à éviter les risques de sécurité potentiels, tels que les attaques de phishing, les mots de passe non sécurisés et autres problèmes de sécurité.
- Confiance des clients : les clients font davantage confiance aux entreprises qui protègent leurs données. De bonnes pratiques en matière de protection des données peuvent contribuer à la satisfaction des client.
Webinaire de l'UPSA Business Academy:
La nouvelle loi suisse sur la protection des données : ce que vous devez maintenant savoir !
La nouvelle loi suisse sur la protection des données : ce que vous devez maintenant savoir !
Conseils
Il est essentiel que les PME examinent attentivement et, le cas échéant, adaptent leurs formulaires de commande et autres outils de collecte de données afin qu’ils soient conformes à la législation en septembre 2023. En tout état de cause, il est recommandé d’analyser minutieusement l’ensemble des données et de clarifier les points suivants :
Dans le domaine de la protection des données, l’UPSA coopère avec l’entreprise spécialisée Impunix, qui vérifie et certifie la mise en œuvre intégrale de la loi suisse sur la protection des données, les directives des importateurs et des constructeurs ainsi que les recommandations de l’UPSA.
Plus d’infos sur : impunix.ch
Il est essentiel que les PME examinent attentivement et, le cas échéant, adaptent leurs formulaires de commande et autres outils de collecte de données afin qu’ils soient conformes à la législation en septembre 2023. En tout état de cause, il est recommandé d’analyser minutieusement l’ensemble des données et de clarifier les points suivants :
- Quelles données sont collectées par qui (clients et employés) ?
- Lesquelles ne sont pas directement liées au service fourni ?
- Quelles données sont considérées comme sensibles ?
- Où sont-elles stockées ?
- La protection des données est-elle suffisante ?
- Qui a accès aux données à l’intérieur ou à l’extérieur de l’entreprise et cet accès est-il vraiment nécessaire ?
- Qui est responsable de la sécurité des données au sein de l’entreprise ? Cette personne est-elle suffisamment formée ?
- Quel processus intervient en cas de fuite de données et qui en est responsable ?
Plus d’infos sur : impunix.ch
Ajouter un commentaire
Commentaires