Vous voulez rester au courant ? Recevez régulièrement des informations sur des sujets liés aux ressources humaines dans la branche et abonnez-vous à notre Newsletter.
Les principes du traitement des données sont comparables à ceux appliqués dans l’ancienne loi sur la protection des données. Une des nouveautés réside dans le fait que le champ d’application de la loi sur la protection des données est limité au traitement des données personnelles des personnes physiques. Le traitement des données des personnes morales n’est plus protégé.
La nouvelle loi durcit notamment l’obligation d’informer et exige une analyse des conséquences du traitement des données qui impliquent des risques élevés pour la personnalité ou les droits fondamentaux de la personne concernée. En outre, il existe une obligation légale de signaler une violation de la sécurité des données au Préposé fédéral à la protection des données et à la transparence (PFPDT). Sur la base du devoir de diligence stipulé dans la loi, nous recommandons de documenter toutes les mesures prises dans ce contexte afin d’éviter de possibles amendes.
En prenant compte de la loi révisée sur la protection des données, les obligations suivantes ont été introduites pour les entreprises.
Obligation d’informer
En vertu de la nouvelle loi sur la protection des données, les entreprises doivent remplir certaines obligations d’informer. Lorsqu’il est question de récolter des données à caractère personnel, des informations doivent être fournies sur l’identité de la personne responsable, le but de l’opération, etc. Il faut également veiller à ce que les droits de la personne concernée soient garantis. Par conséquent, une entreprise doit donc être en mesure de fournir à une personne concernée des informations sur le traitement de ses données personnelles. Cela suppose que l’entreprise sache quelles données personnelles sont traitées et à quelles fins ou si, par exemple, les données sont envoyées à l’étranger. Pour s’assurer que cette exigence soit respectée, nous recommandons d’établir prioritairement un inventaire de tous les traitements de données (répertoire de données). En principe, les répertoires élaborés pour le RGPD peuvent être repris et il suffirait, selon les cas, de les compléter (par exemple, les informations sur le pays en cas de transfert de données à l’étranger).
Dans le cadre de son obligation d’informer, l’entreprise doit également informer la personne concernée sur la récolte de données et - si ces dernières sont transférées à l’étranger - indiquer les pays vers lesquels les données ont été envoyées. Dans ce cas, la nouvelle loi sur la protection des données est considérée comme supérieure au RGPD.
Les exigences liées à la protection des données doivent être prises en considération dès le début (Privacy by Design). De même, il convient de définir et d’appliquer des paramètres de base respectant la protection des données (Privacy by Default). L’objectif est de limiter le traitement des données au minimum nécessaire.
Répertoire des activités liées au traitement des données
Une autre obligation de l’entreprise consiste à créer et à tenir un registre des activités liées au traitement des données. La nouvelle loi sur la protection des données stipule que tant le responsable du traitement que l’exécuteur doivent tenir un registre de leurs activités de traitement. Une réponse à la question de savoir si cette obligation, telle que mentionnée dans la loi, est en principe applicable à toutes les entreprises ou si des exceptions sont définies (p.ex. pour les entreprises <250 collaborateurs) ne sera donnée que lorsque l’ordonnance correspondante de la loi sur la protection des données sera publiée. La création d’un tel répertoire peut prendre beaucoup de temps étant donné que tous les traitements de données personnelles dans l’entreprise doivent être connus et systématiquement enregistrés.
Procédé en cas de violation de la protection des données
En cas de violation de la protection des données, le PFPDT et la personne concernée doivent être informés.
Compte tenu de l’obligation de signaler les violations de la protection des données ou de pouvoir répondre rapidement aux demandes des personnes concernées en cas de perte, de vol ou d’utilisation abusive de données à caractère personnel, des processus internes doivent être définis. Ces processus devraient permettre de déterminer clairement, en fonction du type d’incident, qui doit prendre les mesures nécessaires et dans quel délai. Dans ce contexte, nous recommandons d’établir des listes de contrôle claires et simples.
VĂ©rifier les contrats
De plus, et jusqu’à ce que la nouvelle loi entre en vigueur, nous recommandons de vérifier les contrats avec les clients, les fournisseurs et les prestataires de services ainsi que les collaborateurs, en tenant compte des dispositions de la nouvelle loi sur la protection des données et de les adapter si nécessaire.
Élaborer ou adapter la déclaration de confidentialité
La loi révisée sur la protection des données met également l’accent sur la transparence et l’information dans le cadre du traitement des données. Outre l’obligation d’informer dans le cadre de la récolte de données, l’entreprise est obligée d’informer les personnes concernées sur les différents aspects du traitement des données. C’est pourquoi, en vue de l’entrée en vigueur de la loi révisée sur la protection des données, il s’agit soit d’élaborer une déclaration de protection des données ou de vérifier les déclarations de protection des données existantes quant à leur conformité avec la nouvelle législation.
Au sein de l’entreprise, il est important que tous les collaborateurs soient informés en conséquent. Cela s’applique en particulier à ceux qui traitent régulièrement des données personnelles.
Voici un bref résumé de quelques mesures fondamentales. Il ne s’agit pas d’une liste exhaustive des mesures nécessaires.
- Tenez compte de la protection des données dès le stade du développement des nouvelles technologies et réduisez au minimum le traitement des données personnelles.
- Élaborez une déclaration de protection des données ou vérifiez la conformité des déclarations de protection des données existantes avec la nouvelle loi sur la protection des données.
- Si vous procédez à un traitement de données présentant un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées, élaborez et appliquez un processus d’analyse des conséquences sur la protection des données.
- Si dans votre entreprise il existe déjà un système d’évaluation des conséquences sur la protection des données, nous vous recommandons de désigner un délégué à la protection des données.
- Nous recommandons de définir un processus de notification des violations de données. Ceci notamment dans le contexte des sanctions associées.
- Documentez toutes les mesures prises pour satisfaire les exigences de diligence. Ceci également en raison d’amendes possibles en cas de non-respect de cette obligation.
Enfin, il convient de noter que les entreprises doivent s’assurer que la sécurité de leurs systèmes et logiciels informatiques répond aux exigences de la nouvelle loi. Il s’agit notamment de mesures techniques et organisationnelles visant à prévenir les cyberattaques, le vol de données, etc.
Pour toute question, Claudio Haufgartner, chef de secteur, Politique patronale, se tient volontiers Ă la disposition des entreprises membres de Swissmem (c.haufgartnernoSpam@swissmem.ch).