Nouvelle loi sur la protection des
Ces documents sont nécessaires
5 juin 2023 agvs-upsa.ch – La révision de la loi suisse sur la protection des données (LPD) entrera en vigueur le 1er septembre 2023. D’importantes dispositions relatives à la documentation sur le traitement des données personnelles y ont été modifiées. À l’avenir, les entrepreneurs devront s’attendre à pouvoir recevoir des amendes et à devoir respecter des obligations plus strictes. C’est pourquoi les exigences en matière de documentation, d’information et de diligence doivent être vérifiées et adaptées avant l’entrée en vigueur de la loi révisée. Cet article présente les principaux documents essentiels pour sa mise en œuvre.
Une question de préparation : la nouvelle loi sur la protection des données doit être abordée suffisamment tôt. Photo : Istock.
tp. D’une part, il existe des prescriptions légales et des recommandations organisationnelles. D’autre part, les importateurs ou les partenaires financiers imposent leurs propres directives aux garagistes. La documentation peut également contribuer à alléger la responsabilité d’une personne ou d’un garage qui doit se défendre contre des accusations de manquement à ses obligations en matière de protection des données.
Tahir Pardhan, AGVS
Quels sont les principaux documents disponibles pour la protection des données ?
Ils sont cités ci-après : la première partie présente les documents dont l’absence ou la non-exhaustivité risque de donner lieu à une sanction pénale, et la deuxième les documents importants pour l’organisation interne et pouvant servir de décharge en cas d’incident.
Première Partie
Déclaration de protection des données : avant la collecte et le traitement des données, elle informe généralement du cadre y relatif, c’est-à-dire de la manière dont les données sont collectées, traitées, transmises, etc. Les documents relatifs à la protection des données doivent figurer non seulement sur les sites web, mais également près des caméras de surveillance et sur les contrats conclus avec les fournisseurs ou les clients. Ainsi, la plupart du temps, les dispositions complémentaires doivent être jointes aux documents de distribution et aux documents contractuels.
Déclaration de protection des données pour les collaborateurs : les collaborateurs sont aussi concernés par la protection des données et doivent être formellement informés, car l’employeur traite des données personnelles, y compris des données particulièrement sensibles, par exemple dans le cadre des contrats de travail. L’information vise à garantir la licéité du traitement des données personnelles des collaborateurs. En complément, d’autres conventions peuvent être conclues, que seuls les collaborateurs d’un service particulier doivent signer, par exemple.
Modalités de traitement des mandats : certaines entreprises délèguent le traitement des données personnelles à des partenaires externes. Un tel mandat doit faire l’objet d’un contrat rédigé en détail et définissant clairement, notamment, les responsabilités.
Évaluation de l’impact sur la protection des données : vérification documentée préalable de tout traitement de données envisagé présentant un risque élevé pour les libertés, comme en cas d’utilisation de nouvelles technologies ou de volumes importants de données.
Documentation des mesures techniques et organisationnelles : il s’agit d’un document exhaustif qui contient toutes les mesures visant à assurer la protection du traitement des données à caractère personnel. L’art. 8 en lien avec les art. 1 et suivants de la LPD précise les mesures minimales de sécurité des données. La documentation écrite des garanties suffisantes (mesures techniques et organisationnelles) est requise dans le cadre de la vérification du traitement des mandats.
Volker Dohr, Impunix
Deuxième partie
Liste des activités de traitement : à partir de 250 collaborateurs, un registre des activités de traitement (art. 12) est obligatoire. Il reste fortement recommandé pour un nombre plus réduit de collaborateurs.
Il s’agit d’une liste interne de toutes les activités de traitement des données à caractère personnel, qui doit être tenue à la fois par le responsable du traitement et par son sous-traitant. Le registre constitue une base essentielle pour une documentation structurée sur la protection des données et un outil important, en particulier pour le contrôle de la protection des données. Il doit être présenté à la demande d’une autorité de contrôle.
Documentation de formation : en l’absence d’une formation appropriée pour tous les collaborateurs qui sont en contact avec des données personnelles, il peut y avoir des lacunes dans la protection des données. Cela peut conduire à une violation des principes fondamentaux ou constituer une menace pour la sécurité des données. C’est pourquoi les collaborateurs devraient être régulièrement formés sur la base d’exemples concrets.
Concept/directive sur la protection des données : il s’agit d’un document très complet qui résume toutes les mesures de protection des données d’une entreprise et informe sur l’évaluation de la licéité de leur traitement. Il joue un rôle central dans la gestion de la protection des données et constitue l’un des documents les plus importants.
Il est essentiel que le concept global (système de gestion de la protection des données) soit conçu différemment d’une entreprise à l’autre, chaque entreprise ayant ses propres prestataires de services, importateurs, fournisseurs et sociétés affiliées. C’est la seule manière de garantir une couverture complète. Par conséquent, il est déconseillé de chercher des exemples, des modèles ou des concepts sur Internet voire de les copier.
Obligation de confidentialité : les employés qui traitent des données à caractère personnel dans le cadre de leur activité doivent être tenus au secret. Pour ce faire, ils signent un accord de confidentialité. Enfin et surtout, le « petit secret professionnel », pouvant faire l’objet de sanctions, a été introduit (art. 62).
Troisième partie
Qui est responsable de l’élaboration des documents de protection des données ?
Compte tenu du grand nombre et de la diversité des documents, la responsabilité ne doit pas nécessairement incomber à une seule personne, même si le conseil d’administration ou le directeur constitue le principal responsable du point de vue du droit pénal.
Dans la pratique, le conseiller interne ou externe à la protection des données est étroitement associé à l’élaboration des documents en la matière. Il établit lui-même de nombreux documents ou travaille en étroite coopération avec les collaborateurs des différents secteurs qui recueillent les informations auprès de leurs collègues. Cependant, le conseil d’administration et le directeur doivent toujours participer afin d’identifier à un stade précoce les innovations et les effets de la protection des données sur les processus commerciaux.
Que peut faire un conseiller externe à la protection des données ?
Au début du conseil en matière de protection des données, une tâche essentielle consiste à développer le concept en la matière. À cet égard, le conseiller à la protection des données est responsable et veille, avec le coordinateur interne de la protection des données, à ce que le concept soit mis en œuvre de manière cohérente. Il s’assure en outre que les changements (p. ex. en raison d’influences légales ou de décisions judiciaires) soient pris en compte et que la sécurité des données soit préservée. Le coordinateur interne de la protection des données veille à cette protection pour les nouveaux fournisseurs et prestataires de services, les nouveaux collaborateurs ou lors de la transformation des processus commerciaux, et adapte la mise en œuvre du concept avec le service externe si nécessaire.
Un conseiller externe à la protection des données a déjà mené de nombreux projets de ce type et connaît donc très bien la procédure, la loi et les autorités. Spécialiste expérimenté, il connaît les obstacles potentiels et est en mesure d’élaborer rapidement des solutions fiables.
Une question de préparation : la nouvelle loi sur la protection des données doit être abordée suffisamment tôt. Photo : Istock.
tp. D’une part, il existe des prescriptions légales et des recommandations organisationnelles. D’autre part, les importateurs ou les partenaires financiers imposent leurs propres directives aux garagistes. La documentation peut également contribuer à alléger la responsabilité d’une personne ou d’un garage qui doit se défendre contre des accusations de manquement à ses obligations en matière de protection des données.
Tahir Pardhan, AGVS
Quels sont les principaux documents disponibles pour la protection des données ?
Ils sont cités ci-après : la première partie présente les documents dont l’absence ou la non-exhaustivité risque de donner lieu à une sanction pénale, et la deuxième les documents importants pour l’organisation interne et pouvant servir de décharge en cas d’incident.
Première Partie
Déclaration de protection des données : avant la collecte et le traitement des données, elle informe généralement du cadre y relatif, c’est-à-dire de la manière dont les données sont collectées, traitées, transmises, etc. Les documents relatifs à la protection des données doivent figurer non seulement sur les sites web, mais également près des caméras de surveillance et sur les contrats conclus avec les fournisseurs ou les clients. Ainsi, la plupart du temps, les dispositions complémentaires doivent être jointes aux documents de distribution et aux documents contractuels.
Déclaration de protection des données pour les collaborateurs : les collaborateurs sont aussi concernés par la protection des données et doivent être formellement informés, car l’employeur traite des données personnelles, y compris des données particulièrement sensibles, par exemple dans le cadre des contrats de travail. L’information vise à garantir la licéité du traitement des données personnelles des collaborateurs. En complément, d’autres conventions peuvent être conclues, que seuls les collaborateurs d’un service particulier doivent signer, par exemple.
Modalités de traitement des mandats : certaines entreprises délèguent le traitement des données personnelles à des partenaires externes. Un tel mandat doit faire l’objet d’un contrat rédigé en détail et définissant clairement, notamment, les responsabilités.
Évaluation de l’impact sur la protection des données : vérification documentée préalable de tout traitement de données envisagé présentant un risque élevé pour les libertés, comme en cas d’utilisation de nouvelles technologies ou de volumes importants de données.
Documentation des mesures techniques et organisationnelles : il s’agit d’un document exhaustif qui contient toutes les mesures visant à assurer la protection du traitement des données à caractère personnel. L’art. 8 en lien avec les art. 1 et suivants de la LPD précise les mesures minimales de sécurité des données. La documentation écrite des garanties suffisantes (mesures techniques et organisationnelles) est requise dans le cadre de la vérification du traitement des mandats.
Volker Dohr, Impunix
Deuxième partie
Liste des activités de traitement : à partir de 250 collaborateurs, un registre des activités de traitement (art. 12) est obligatoire. Il reste fortement recommandé pour un nombre plus réduit de collaborateurs.
Il s’agit d’une liste interne de toutes les activités de traitement des données à caractère personnel, qui doit être tenue à la fois par le responsable du traitement et par son sous-traitant. Le registre constitue une base essentielle pour une documentation structurée sur la protection des données et un outil important, en particulier pour le contrôle de la protection des données. Il doit être présenté à la demande d’une autorité de contrôle.
Documentation de formation : en l’absence d’une formation appropriée pour tous les collaborateurs qui sont en contact avec des données personnelles, il peut y avoir des lacunes dans la protection des données. Cela peut conduire à une violation des principes fondamentaux ou constituer une menace pour la sécurité des données. C’est pourquoi les collaborateurs devraient être régulièrement formés sur la base d’exemples concrets.
Concept/directive sur la protection des données : il s’agit d’un document très complet qui résume toutes les mesures de protection des données d’une entreprise et informe sur l’évaluation de la licéité de leur traitement. Il joue un rôle central dans la gestion de la protection des données et constitue l’un des documents les plus importants.
Il est essentiel que le concept global (système de gestion de la protection des données) soit conçu différemment d’une entreprise à l’autre, chaque entreprise ayant ses propres prestataires de services, importateurs, fournisseurs et sociétés affiliées. C’est la seule manière de garantir une couverture complète. Par conséquent, il est déconseillé de chercher des exemples, des modèles ou des concepts sur Internet voire de les copier.
Obligation de confidentialité : les employés qui traitent des données à caractère personnel dans le cadre de leur activité doivent être tenus au secret. Pour ce faire, ils signent un accord de confidentialité. Enfin et surtout, le « petit secret professionnel », pouvant faire l’objet de sanctions, a été introduit (art. 62).
Troisième partie
Qui est responsable de l’élaboration des documents de protection des données ?
Compte tenu du grand nombre et de la diversité des documents, la responsabilité ne doit pas nécessairement incomber à une seule personne, même si le conseil d’administration ou le directeur constitue le principal responsable du point de vue du droit pénal.
Dans la pratique, le conseiller interne ou externe à la protection des données est étroitement associé à l’élaboration des documents en la matière. Il établit lui-même de nombreux documents ou travaille en étroite coopération avec les collaborateurs des différents secteurs qui recueillent les informations auprès de leurs collègues. Cependant, le conseil d’administration et le directeur doivent toujours participer afin d’identifier à un stade précoce les innovations et les effets de la protection des données sur les processus commerciaux.
Que peut faire un conseiller externe à la protection des données ?
Au début du conseil en matière de protection des données, une tâche essentielle consiste à développer le concept en la matière. À cet égard, le conseiller à la protection des données est responsable et veille, avec le coordinateur interne de la protection des données, à ce que le concept soit mis en œuvre de manière cohérente. Il s’assure en outre que les changements (p. ex. en raison d’influences légales ou de décisions judiciaires) soient pris en compte et que la sécurité des données soit préservée. Le coordinateur interne de la protection des données veille à cette protection pour les nouveaux fournisseurs et prestataires de services, les nouveaux collaborateurs ou lors de la transformation des processus commerciaux, et adapte la mise en œuvre du concept avec le service externe si nécessaire.
Un conseiller externe à la protection des données a déjà mené de nombreux projets de ce type et connaît donc très bien la procédure, la loi et les autorités. Spécialiste expérimenté, il connaît les obstacles potentiels et est en mesure d’élaborer rapidement des solutions fiables.
L’UPSA organise également un webinaire consacré à cette loi. Les intervenants sont Cornelia Stengel, directrice de l’ASSL et chargée de cours dans plusieurs hautes écoles, Luca Stäuble, avocat et chargé de cours à la Haute école d’économie de Zurich, ainsi que Gaspare Loderer, avocat spécialiste de la protection des données. Le webinaire dure une demi-journée. Vous trouverez toutes les informations complémentaires à la Business Academy de l’UPSA. Vers l’UPSA Business Academy.
Ajouter un commentaire
Commentaires