Droit de la protection des données

Qui est concerné ? 99% des entreprises sont concernées. En tant qu’administrateur d’une SA, associé-gérant d’une Sàrl, dirigeant, CEO d’une société, vous avez la responsabilité de mettre votre entreprise en conformité avec la nouvelle loi sur la protection des données.

Pourquoi ? Il est presque impossible pour une entreprise de ne pas traiter des données personnelles, que cela soit de ses clients ou de ses employés. Une donnée personnelle est par exemple un prénom, un nom, une photo, une adresse mail, un numéro de téléphone, une adresse IP.

Quels sont les risques ? En cas de violation de certaines obligations de protection des données que vous traitez, vous risquez (en tant que personne physique) jusqu’à CHF 250’000.- d’amende. La responsabilité de l’entreprise est subsidiaire.

Obligation d’informer : Il faut informer la personne concernée de tous les traitements (collecte, communication, analyse, etc.) de ses données personnelles. L’information peut être communiquée par le biais de conditions générales et ne nécessite en principe pas le consentement de la personne

Obligation d’obtenir le consentement de la personne concernée : Vous avez cette obligation notamment en cas de traitement dit de profilage à risque élevé ou encore en cas de certains traitements de données sensibles

Obligation d’annoncer une faille de sécurité : Vous devez annoncer une violation de la sécurité des données au Préposé fédéral à la protection des données et à la transparence (PFPDT) si elle entraîne un risque élevé vraisemblable pour la personnalité de la personne concernée (ex. possibilité d’accéder au compte de la personne concernée, etc.)

Obligation de tenir un registre des activités de traitement : Cette obligation ne s’applique pas au PME dont le traitement des données présente un risque limité d’atteinte à la personnalité (art. 12 al. 5 LPD et art. 24 OPDo). Exemple de cas dans lesquels vous avez cette obligation : vous faites du profilage à risque élevé, vous traitez des données sensibles à grande échelle

Obligation d’assurer la sécurité des données : Vous et vos sous-traitants doivent assurer la sécurité des données en fonction des risques engendrés par le traitement opéré.

Obligations de respecter les principes LPD : Vous avez l’obligation de traiter les données personnelles conformément aux principes de la bonne foi (pas contre la volonté de la personne concernée), de la licéité (le traitement ne doit pas violer une norme légale protégeant la personnalité), de la proportionnalité (le traitement doit être nécessaire pour atteindre l’objectif, il faut utiliser le minimum de données pour atteindre l’objectif), de la finalité (le but du traitement doit être reconnaissable et déterminé), de la transparence et d’exactitude (les données doivent être actuelles, correctes et objectives)

Nos recommandations :

Prenez conscience que vous traitez des données personnelles : « Notre entreprise ne traite aucune donnée personnelle ». Nous l’entendons trop souvent alors que cela est illusoire. Traitez-vous des informations sur votre personnel ? Envoyez-vous des newsletters ? Conservez-vous des adresses IP ou MAC ? Enregistrez-vous des vidéos ? Prévoyez-vous un numéro de carte de fidélité ? Détenez-vous des cartes d’identité, des badges d’entrée ou de connexion ? Il s’agit là de traitement de données personnelles. Ainsi, prenez le temps de cartographier toutes les données que vous traitez en retraçant leur cycle de vie (récolte, analyse, conservation) et en déterminant leur support (serveur à distance, cloud, etc.) afin d’avoir une vision globale de votre activité en matière de traitement de données.

Déterminez un responsable de traitement à l’interne : La personne responsable pilotera la mise en conformité et devra s’assurer de le conformité durant toute la vie de l’entreprise. Il sera en charge de veiller à ce que les mesures techniques et organisationnelles soient mises en place et ce de manière continue. Si aucun responsable de traitement n’est désigné, l’administrateur de la société est responsable de tous les traitements opérés et d’éventuelles violations de la Loi sur la protection des données. Étant rappelé que c’est la personne physique qui est responsable du traitement et non l’entreprise qui est susceptible d’être sanctionnée d’une amende pouvant aller jusqu’à CHF 250’000.-.

Ne passez pas à côté de votre mise en conformité : Il est tentant de s’inspirer de la déclaration de protection des données de votre concurrent ou de croire que seule une politique de confidentialité est nécessaire. Mais il en va autrement : chaque entreprise traite différemment les données et la mise en conformité nécessite un vrai travail impliquant l’ensemble de l’entreprise, en mettant en perspective le flux des données, en mettant en place un modèle de protection et de sécurité et en adaptant les textes légaux, les directives ou encore les conditions générales de votre entreprise.

Ne misez pas que sur la technologie : Afin de garantir la sécurité des données personnelles, il va de soi que des mesures techniques et technologiques sont indispensables. Une entreprise ne peut pas passer à côté des mesures techniques les plus basiques (respect des mises à jour logiciel, implémentation de systèmes de sécurité contre les logiciels malveillants, etc.)- Toutefois, la conformité à la LPD passe aussi et surtout par des mesures organisationnelles au sein de votre entreprise ou encore par la sensibilisation de vos employés. La faille humaine est la principale responsable de perte ou de fuite des données.

Voyez la protection des données comme une opportunité : Les données sont partout dans votre entreprise. Le travail de mise en conformité permet donc d’obtenir une meilleure vision de ce que votre entreprise effectue. Plus encore, offrir une protection stricte des données personnelles de vos clients est un gage de bonne réputation et crée un avantage concurrentiel

A chaque nouveau projet, pensez LPD et RGPD : Protéger les données dès la conception du traitement est une obligation. Penser à la protection des données dès la création d’un projet vous évitera de devoir vous mettre en conformité ultérieurement et de devoir revoir éventuellement votre projet.

Nos avocats et experts forment les équipes ou dirigeants de société en matière de protection des données. Afin d’être conforme à la législation suisse, il convient  d’identifier les faiblesses existantes au sein des systèmes et des processus d’une entreprise. Cela permet de prévoir un programme de formation qui répond aux besoins spécifiques de l’entreprise et d’assurer la formation personnalisée de l’équipe (principes de base de la cybersécurité, sensibilisations aux menaces courantes, gestion des incidents). Nous offrons également des ateliers de gestion de crise et des simulations d’attaques (red teaming) afin d’identifier les failles au sein de l’entreprise et renforcer les réponses de l’équipe à des incidents.

Lorsqu’un incident lié à des données survient, notre équipe d’experts en cybersécurité est prête à intervenir d’urgence directement chez vous pour éradiquer ses causes. Notre processus commence par une détection rapide de l’infection, suivi d’une analyse approfondie pour identifier l’origine de l’intrusion. Cette étape est cruciale pour définir les indicateurs de compromission (IoC) et les indicateurs d’attaque (IoA), essentiels à la compréhension de la menace et à la prévention de futures attaques. Une fois l’infection et son origine clairement identifiées, nous passons au blocage du vecteur d’entrée pour empêcher toute propagation ou récidive de l’attaque. Notre objectif immédiat est l’élimination complète de l’attaque de votre système, suivi du déploiement de protections provisoires pour sécuriser votre infrastructure pendant que nous travaillons sur des solutions plus permanentes. Comprendre que toute interruption peut avoir des répercussions importantes sur votre activité, nous mettons en place un plan de continuité et de reprise d’activité adapté à vos besoins spécifiques. Ce plan vise à minimiser les perturbations et à restaurer rapidement les opérations normales de votre entreprise.Pour clore notre intervention, nous réalisons un reporting détaillé et un debriefing complet. Cette étape est essentielle pour vous informer des actions menées, des leçons apprises et des mesures à prendre pour renforcer votre posture de cybersécurité. Notre objectif est de vous laisser non seulement avec un système nettoyé et sécurisé, mais aussi avec les connaissances et les outils nécessaires pour prévenir les incidents futurs, assurant ainsi une protection durable pour votre entreprise dans le paysage numérique actuel.

Nous procédons à l’introduction des démarches juridiques ou procédures judiciaires nécessaires pour défendre vos intérêts, que ce soit en droit civil ou pénal. Dans le cadre du droit civil, notre approche peut inclure le dépôt d’actions en cessation de l’atteinte ou en réclamation de dommages et intérêts pour les préjudices subis. En ce qui concerne le droit pénal, nous vous assistons dans le dépôt de plainte pénale, étant donné qu’une cyberattaque peut relever de diverses infractions pénales telles que l’accès indu à un système informatique, le vol de données, la détérioration de données, l’escroquerie, le chantage, et la contrainte, parmi d’autres. Nous assurons également le signalement des incidents auprès du Centre national pour la cybersécurité (NCSC), garantissant ainsi que toutes les mesures appropriées sont prises pour atténuer les impacts de l’attaque et prévenir de futures intrusions. Lorsque nécessaire, nous gérons également la notification au Préposé fédéral à la protection des données et à la transparence (PFPDT), veillant à ce que toutes vos obligations réglementaires soient respectées.