Dans la newsletter d’aujourd’hui, nous vous informons des nouveautés les plus importantes de la loi révisée sur la protection des données. Nous publierons d’autres articles sur certains points et leurs répercussions sur les entreprises.
Bien que la loi sur la protection des données ait été totalement révisée, elle reste en principe inchangée, c’est-à-dire que la manière dont les entreprises doivent traiter leurs données personnelles ne changera pas.
Ce qui change avec la loi révisée
À l’avenir, il faut tenir des inventaires du traitement des données, il y a une obligation d’annoncer les pertes de données ainsi que tout autre violation des règles de sécurité et une obligation de procéder à des estimations des suites de la protection des données en cas de traitement de données délicates. Les entreprises qui par le passé appliquaient déjà les dispositions connues du RGPD, peuvent par exemple reprendre les inventaires existants du traitement des données ainsi que les estimations des conséquences de la protection des données.
De plus, dans la nouvelle loi sur la protection des données, l’obligation d’informer a été étendue. Ce qui signifie dans la pratique que les entreprises doivent avoir une déclaration de confidentialité qui montre quelles données sont acquises et comment elles sont rendues accessibles aux personnes concernées. Dorénavant, la déclaration de protection des données doit contenir les pays dans lesquels des données sont traitées et les dispositions légales sur lesquelles repose ce traitement des données.
Pour terminer, il faut aussi tenir compte du fait que le catalogue des amendes s’est quelque peu intensifié. Jusqu’à présent, la violation des obligations d’informer, de renseigner ou de collaborer avec le préposé fédéral à la protection des données et à la transparence (PFPDT) pouvaient être sanctionnées. Dorénavant, la violation des dispositions sur l’exportation des données, le fait de ne pas mandater de manière conforme les exécuteurs des commandes et le non-respect des mesures concernant la sécurité des données sont aussi passibles d’une amende.
Recommandation pour la procédure
À quoi doivent s’attendre les entreprises avec la loi révisée sur la protection des données ? Les entreprises qui s’étaient déjà adaptées aux exigences du RGPD n’auront pas de grands changements. Les autres entreprises doivent mettre en place les adaptations et processus correspondants. Bien qu’elles aient suffisamment de temps devant elles, nous leur recommandons de s’y mettre rapidement.
Le mieux, c’est de commencer par élaborer ou réviser votre déclaration de confidentialité. L’important est de bien contrôler que tous les cas sont couverts pour lesquels l’entreprise acquiert des données personnelles. Ce travail fastidieux sert en même temps de base pour l’inventaire dorénavant prescrit des traitements de données.
Réglez les compétences internes en matière de protection des données et introduisez un processus qui définit les compétences en cas de violation de la sécurité des données. N’oubliez pas de déterminer où les mandats sont traités dans l’entreprise et vérifiez que les contrats correspondants ne doivent pas être adaptés.
Nous vous informerons à ce sujet à intervalles réguliers.
Pour toute question, Claudio Haufgartner, chef de secteur, Politique patronale, se tient à la disposition des entreprises membres de Swissmem (c.haufgartnernoSpam@swissmem.ch).