LPD

Osatech aide ses clients à se conformer à la législation suisse sur la protection des données, ainsi qu’à la loi européenne, GDPR.

LPD - Loi fédérale sur la protection des données

L’introduction récente de la nouvelle loi fédérale sur la protection des données (LPD) en Suisse a mis l’accent sur les pratiques de gestion des données pour les entreprises.
Cette loi, adoptée en 2020 et dont l’entrée en vigueur est prévue pour septembre 2023, a généré un certain nombre de changements importants dans la manière dont les organisations doivent traiter et protéger les données.

Le RGPD vise à renforcer la protection des données personnelles et de la vie privée des individus en obligeant les entreprises à prendre des mesures strictes pour garantir la sécurité et la transparence du traitement des données.
Parmi ses principaux piliers figurent le renforcement du consentement des utilisateurs et le droit à l’autodétermination en ce qui concerne la gestion de leurs données personnelles.

Changements à apporter aux technologies de l'information

Les entreprises doivent procéder à des ajustements structurels et organisationnels majeurs pour se conformer à la loi sur la protection des données et éviter des amendes et des pénalités importantes.
Il est essentiel que les entreprises commencent à se préparer rapidement, car il n’y a pas de période de transition et les sanctions en cas de non-conformité peuvent être lourdes.

Chez Osatech, nous comprenons l’importance d’aider les entreprises à se conformer au RGPD.
Notre équipe de consultants certifiés est prête à offrir des conseils et un soutien pour aider les entreprises à comprendre les exigences de la loi et à prendre les mesures nécessaires pour s’y conformer.

Depuis l’entrée en vigueur du GDPR, nous nous sommes engagés à aider nos clients à naviguer dans le paysage complexe de la protection des données et de la vie privée numérique.
Nous proposons des services de conseil en matière de RGPD, des examens des processus internes, la formation du personnel et la mise en œuvre de solutions technologiques pour assurer la conformité réglementaire.

En tant que partenaire de confiance, nous veillons à ce que les entreprises soient préparées aux défis posés par la nouvelle loi fédérale sur la protection des données en Suisse.
N’hésitez pas à nous contacter pour plus d’informations et d’assistance sur la conformité à la LPD.
Nous sommes là pour vous aider à protéger vos données et à adopter des pratiques de gestion des données sûres et transparentes.

En savoir plus sur la loi sur la protection des données

La nouvelle loi sur la protection des données entrera en vigueur en septembre 2023, mais comme il n’y a pas de période de transition, il est nécessaire que les entreprises mettent en place dès maintenant les outils nécessaires pour s’y adapter, tant sur le plan conceptuel que sur le plan des ressources humaines et de la technologie.
L’importance et l’actualité du DPA découlent du fait que de plus en plus de données sont traitées et utilisées.
De nombreuses organisations internationales ont renforcé leurs normes en conséquence, à commencer par l’UE avec le GDPR.
Ce dernier a créé une nouvelle norme internationale sur laquelle la Suisse, bien qu’étant un pays tiers, a dû s’aligner.
En effet, le GDPR a une portée extra-territoriale, de sorte que toute entreprise suisse qui traite et utilise les données de personnes résidant dans des pays de l’UE doit s’y conformer. De plus, ce même règlement prévoit que les pays de l’UE ne peuvent transférer des données qu’à des pays jugés sûrs pour les traiter: d’où la nécessité pour la Suisse, qui entretient d’importantes relations commerciales avec l’UE, de mettre à jour sa législation.
Le RGPD apporte une solution équivalente et complémentaire au GDPR, même s’il s’en distingue sur certains points, avec des règles plus strictes et d’autres moins.

Le RGPD remplacera la loi de 1992 actuellement en vigueur et logiquement obsolète, avec une adaptation au contexte technologique et social modifié (Cloud Computing, Big Data, réseaux sociaux, Internet des objets).
L’objectif principal est de permettre l’autodétermination de l’individu quant au traitement et à l’utilisation de ses données et également de réglementer le profilage, c’est-à-dire le traitement automatisé des données pour évaluer certains aspects personnels d’un sujet, tels que la situation économique, l’état de santé, les intérêts, le comportement, la localisation.
Tout cela a été rendu nécessaire par la numérisation, qui a augmenté et compliqué la quantité de données qui sont échangées et entrent en possession des entreprises.

La loi s’applique à tous les cas qui prennent effet en Suisse, même s’ils se produisent à l’étranger, et tous les types d’entreprises, des PME aux plus grandes, doivent s’y conformer au moment de son entrée en vigueur.

Le RGPD couvre le traitement des données des personnes physiques et morales par des personnes privées et des organes fédéraux.
La principale conséquence concerne l’obligation d’obtenir le consentement des personnes concernées lorsqu’il s’agit de données méritant une attention particulière, d’un profilage à haut risque ou de données effectuées par un organe fédéral. En cas de violation de la sécurité des données, y compris les incidents, il y aura une obligation de notification.

Les personnes concernées pourront donc obtenir des informations sur la manière dont leurs données sont collectées et utilisées.

Contrairement à la loi précédente, les personnes privées sont rendues responsables.
Les personnes privées peuvent être punies d’une amende allant jusqu’à 250 000 francs suisses, les entreprises peuvent être punies d’une amende allant jusqu’à 50 000 francs suisses si l’identification des personnes punissables entraînerait une charge disproportionnée, et d’une amende maximale de 50 000 francs suisses. L’objectif est de responsabiliser les individus, tels que les membres du conseil d’administration et les directeurs.

Les entreprises étrangères qui ne sont pas basées en Suisse mais qui traitent des données de citoyens résidant dans notre pays sont obligées, en vertu de la nouvelle loi, de désigner un représentant dans notre pays.
Pour celles qui sont basées en Suisse, il sera obligatoire de divulguer dans quels pays tiers les données sont divulguées, et il faudra s’assurer que leur traitement est sécurisé conformément à la réglementation (en accordant une attention particulière au cryptage des courriels contenant des données personnelles).

Par rapport à la législation précédente, le DPA restreint le champ des données protégées, d’une part, parce qu’il vise à protéger les données des personnes physiques et moins les données des personnes morales qu’auparavant et, d’autre part, parce qu’il l’élargit en incluant également les données génétiques et biométriques.

Cependant, les obligations d’information des entreprises augmententcar ils devront informer les personnes concernées de manière adéquate sur toute collecte de données (précisant l’identité et les coordonnées du responsable du traitement, la finalité du traitement, les destinataires ou catégories de destinataires, et le pays destinataire en cas d’exportation de données à l’étranger, alors que la loi précédente ne prévoyait l’obligation que pour les données dignes de protection), et tenir un registre des informations prescrites (mais pas nécessairement les collections, celles qui comptent moins de 250 employés et dont l’utilisation des données n’entraîne pas un risque élevé d’infraction à la réglementation sont exemptées).

Les nouveautés concernent le profilage, c’est-à-dire le traitement automatisé de données afin d’évaluer certains aspects personnels d’un individu, tels que sa situation économique, son état de santé, ses intérêts, son comportement, sa localisation, etc. : les entreprises ne seront obligées de demander le consentement que si le risque est élevé, tout comme elles devront effectuer une analyse d’impact documentée sur la protection des données si un traitement de données comporte un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées.

En cas de violation, même accidentelle, de la sécurité des données, une déclaration doit être faite auPFPDT.

Enfin, les entreprises devront prêter attention au privacy by design et au privacy by default, en travaillant également au niveau informatique afin de ne pas utiliser des applications qui, par exemple, demandent le consentement des personnes concernées pour le traitement des données au-delà de ce qui est strictement nécessaire selon des paramètres prédéfinis.
Il s’agit d’un domaine dans lequel OsaTech peut sans aucun doute aider ses clients à trouver les solutions les plus adaptées à leurs besoins dans le respect de la loi.

Il sera également obligatoire de réaliser une analyse d’impact concernant la protection des données personnelles lorsque leur traitement présente un risque élevé.

La loi suisse permet également d’adapter la législation, et donc d’aligner notre pays sur les normes de sécurité exigées par l’UE.
En effet, l’Union européenne n’autorise le transfert de données que vers des pays qu’elle considère comme sûrs en termes de protection des données.
Dans l’ensemble, le RGPD est moins formaliste que le GDPR , mais dans certains cas, il est encore plus strict (par exemple, dans les champs d’application, sur le devoir d’information lors du traitement des données, et dans les définitions des données sensibles).
Le règlement européen sur la protection des données (GDPR), entré en vigueur en 2018, prévoit l’introduction dans les entreprises et les administrations publiques d’une personnalité professionnelle chargée de superviser la bonne gestion des données (DPO ou Data Protection Officer), oblige le traitement des données selon les principes “by design” et “by default”, l’analyse d’impact sur la protection des données (DPIA ) pour le traitement des données à haut risque, et le respect du “Data breach”, c’est-à-dire le signalement au Garante et à la personne concernée de toutes fuites ou compromissions de données.
Elle prévoit également des sanctions accrues en cas de violation, la pseudonymisation et le cryptage des données. Toutes les entreprises suisses qui ont des relations avec l’UE (qu’il s’agisse de clients ou de fournisseurs) ont dû s’adapter, notamment celles qui vendent en ligne par le biais du commerce électronique, alors que seules celles qui opèrent exclusivement en Suisse ont été exemptées.

La principale différence entre le DPA et le GDPR est que le premier sanctionne les personnes physiques (avec des amendes allant jusqu’à 250 000 francs) , tout en responsabilisant les dirigeants d’entreprise, tandis que le second impose des amendes pour les violations commises par des personnes morales, pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.

Le RGPD n’impose pas la désignation d’une personne responsable (DPD), contrairement au GDPR.
En cas de désignation selon la norme suisse, l’entreprise obtient dans certains cas une dérogation à l’obligation de consultation préalable du DPD en cas de traitement à haut risque. Le consultant, s’il est nommé, devient la personne de contact pour les questions de protection des données pour les employés, les clients (dans l’exercice de leurs droits en tant que personnes concernées) et les auteurs.

Comme il n’y a pas de période de transition et que l’adaptation suppose une restructuration du concept de protection des données, les entreprises doivent commencer à se conformer au RGPD dès maintenant, en travaillant sous l’angle de la sécurité informatique, des aspects juridiques et de la gestion des données proprement dite.
Chez OsaTech, nous sommes à votre disposition pour des suggestions et des conseils sur la réglementation en matière de confidentialité numérique et sur les processus internes , et nous développons également des partenariats avec des cabinets d’avocats afin de pouvoir proposer des packages combinés. Nous vous conseillons également sur les logiciels et les logiciels de gestion qui sont conformes à la réglementation et qui aident à la gestion des données et à la conformité.
En particulier, les entreprises qui traitent un volume important de données personnelles, comme les entreprises spécialisées dans la vente en ligne ou l’import/export, ainsi que les entreprises qui traitent des données personnelles particulièrement sensibles, comme celles qui traitent des données personnelles relatives aux opinions politiques, à la religion, à la santé, aux données génétiques, aux données raciales, au soutien social, aux poursuites pénales, au profilage, etc. devront travailler rapidement pour se mettre en conformité.
L‘adaptation implique un examen complet de la situation, une évaluation des risques, la sensibilisation des employés et des collaborateurs, une transparence accrue dans le traitement des données, une attention particulière à la sécurité informatique, une organisation et des procédures internes précises et détaillées, l’établissement d’un registre des activités et, si nécessaire, la révision des contrats avec les employés, les collaborateurs et les fournisseurs, ainsi que la déclaration de protection des données sur l’Internet et les documents publicitaires et contractuels.

Les premières étapes impliquent nécessairement la connaissance des données collectées et traitées par chaque entreprise, qui doit donc déterminer quelles données sont traitées, qui les traite, comment, où, à quelles fins, qui en est le destinataire et sur quelles bases de justification le traitement a lieu (loi, consentement ou intérêt public ou privé supérieur), à l’aide de programmes informatiques.

Les données doivent commencer à être traitées à ce stade, si ce n’est déjà fait, conformément à des principes tels que la sécurité, la proportionnalité, la loyauté, le respect de la vie privée dès la conception et par défaut.
Il est également important de trouver et de bloquer toute activité illégale, tout en adaptant ou, si cela n’est pas possible, en détruisant les données (qui doivent être supprimées et anonymisées lorsqu’elles ne sont plus nécessaires).
Il incombe aux entreprises de mettre en place une équipe et des règles pour le traitement efficace et rapide des “violations de données” (failles de sécurité), ainsi que pour le traitement des demandes des personnes concernées telles que la rectification des données, le blocage du traitement, le retrait du consentement, l’accès aux données, la portabilité, etc.

Après avoir décidé de nommer ou non un DPD (qui peut être interne ou externe), il est nécessaire que tous les employés concernés soient formés au traitement des données, avec la création d’un organigramme indiquant clairement le rôle et les responsabilités de chacun. Chacun doit être conscient des risques, des droits et des obligations en matière de protection des données, ainsi que des responsabilités qui y sont associées, afin de créer des procédures internes capables de répondre aux exigences de la loi.
Le responsable du traitement et le sous-traitant doivent tenir un registre de leurs activités, en identifiant tous les processus liés aux activités impliquant des données à caractère personnel.

L’entreprise doit informer toutes les personnes concernées, des employés aux clients, de la manière dont les données qu’ils ont fournies sont traitées et utilisées, et adapter ses systèmes de collecte des consentements à la nouvelle réglementation.

Une analyse d’impact sur la protection des données doit également être réalisée, à l’aide d’un outil informatique.

Les mesures de sécurité informatique visant à prévenir des événements tels que les cyberattaques, le vol ou la perte de données doivent être renforcées.

ÊTES-VOUS CONFORME À LA LPD ? DÉCOUVREZ-LE !

VOUS ETES PEUT ETRE INTÉRESSÉ

CONNAISSANCES

INFORMATIONS REQUISES

Erreur : Formulaire de contact non trouvé !