Qui est concerné ? 99% des entreprises sont concernées. En tant qu’administrateur d’une SA, associé-gérant d’une Sàrl, dirigeant, CEO d’une société, vous avez la responsabilité de mettre votre entreprise en conformité avec la nouvelle loi sur la protection des données.
Pourquoi ? Il est presque impossible pour une entreprise de ne pas traiter des données personnelles, que cela soit de ses clients ou de ses employés. Une donnée personnelle est par exemple un prénom, un nom, une photo, une adresse mail, un numéro de téléphone, une adresse IP.
Quels sont les risques ? En cas de violation de certaines obligations de protection des données que vous traitez, vous risquez (en tant que personne physique) jusqu’à CHF 250’000.- d’amende. La responsabilité de l’entreprise est subsidiaire.
Les étapes de la mise en conformité
1. Cartographie des traitements de données :
– Commencez par établir une liste de toutes les données que vous traitez, des traitements que vous opérez, du cycle de vie des données, des buts des traitements, des personnes qui ont accès aux données, des sous-traitants à qui vous communiquez ces données, etc.
– Déterminez quelles sont les mesures techniques que vous avez déjà mises en place pour protéger les données (chiffrement, sauvegarde, etc.) et quelles sont les mesures organisationnelles que vous avez déjà mises en place (gestion des accès, gestion des incidents de cybersécurité, etc.)
Un aide-mémoire est à votre disposition ici pour effectuer ce travail. Ce modèle vous permet d’établir ensuite quelles sont vos obligations en matière de protection des données. Il peut être transmis à nos avocats et experts afin qu’ils se chargent de déterminer quels sont vos obligations et vous assistent dans votre mise en conformité
2. Mesures organisationnelles :
– Désignez un responsable de traitement à l’interne ou/et un DPO (délégué à la protection des données)
– Déterminez le type de données traitées (données sensibles, profilage à risque élevé ou non, etc.) et respectez les obligations spécifiques au type de données traitées (mise en œuvre d’une analyse d’impact, consentement, etc.)
– Déterminez s’il y a un transfert de données à l’étranger et assurez-vous que le transfert est légal
– Déterminez si le traitement de données est licite, proportionnel et nécessaire au sens de la LPD
– Déterminez la durée de conservation des données et si elle est licite
– Rédigez des contrats avec vos sous-traitants pour vous assurer qu’ils respectent la LPD
– Fournissez aux personnes concernées par le traitement des informations sur leur droit d’accès, de rectification, d’effacement et de portabilité
– Déterminez qui a accès aux données et limiter au besoin les accès
– Prévoyez à l’avance une marche à suivre pour gérer des incidents de sécurité et des violation en matière de protection des données
– Intégrez la protection des données dans vos projets
– Prévoyez une politique de protection des données (une pour les clients et une pour vos employés)
– etc.
3. Mesures de sécurité : (voire not. art. 3 et ss. OPDo)
– Cryptez vos données
– Assurez la confidentialité, la disponibilité et l’intégrité des données
– Selon le type de données traitées, pseudonymisez-les
– Prévoyez des protection contre les risques humains
– Sécurisez vos matériels (ordinateur privé par ex.)
– Assurez-vous de la traçabilité des données (contrôle de la saisie et de la communication, détection et réparation des violations de sécurité)
– Sécurisez vos canaux informatiques (ex. connexion à distance, pare-feu, sonde de détection d’intrusion)
– Assurez-vous de la maintenance et de la sauvegarde de vos systèmes
– Assurez-vous que vous sous-traitants ont mis en place les mesures techniques et organisationnelles suffisantes pour traiter vos données
– Mettez en place des systèmes de lutte contre les logiciels malveillants
– Prévoyez des mesures de contrôle des accès logiques
– Prévoyez des procédures visant à tester et à évaluer régulièrement l’efficacité des mesures prises
– etc.
En cas d’intervention de nos avocats et/ou experts, ils détermineront quelles sont les démarches à entreprendre en fonction des données traitées et vous assisterons pour vous mettre en conformité à la LPD (implémentation de mesures de sécurité, rédaction de contrats, rédaction de politique de confidentialité, analyse d’impact, etc.)