Protection des données
Nous vous assistons en matière de protection des données.
Ce que nous faisons
Mis en conformité à LPD et RGPD
Audit de votre site internet ou de votre société afin de les mettre en conformité avec la nouvelle loi sur la protection des données de 2023 et le RGPD
Externalisation (outsourcing)
Conseil en matière d’outsourcing, de sous-traitement de données personnelles et de transfert des données à l’étranger
Conseil en protection des données
Conseil général en matière de protection des données (LPD et RGPD)
Conseil en droit du travail et en droit contractuel
Rédaction de contrats avec les sous-traitants, de conditions générales
Litige en protection des données
Conseil en cas de litige en matière de protection des données (droit d’accès, traitement illicite de données personnelles, etc.)
Représentation et défense devant les tribunaux (action en cessation de l’atteinte, action en interdiction de l’atteinte, constatation du caractère illicite de l’atteinte, prétentions en dommages et intérêts et en tort moral, prétentions en remise de gain)
Démarches en lien avec le Préposé fédéral à la protection des données (PFPDT) ou les préposés cantonaux
Conformité à la nouvelle loi sur la protection des données (nLPD)
Qui est concerné ?
99% des entreprises sont concernées. En tant qu’administrateur d’une SA, associé-gérant d’une Sàrl, dirigeant, CEO d’une société, vous avez la responsabilité de mettre votre entreprise en conformité avec la nouvelle loi sur la protection des données
Pourquoi ?
Il est presque impossible pour une entreprise de ne pas traiter des données personnelles, que cela soit de ses clients ou de ses employés. Une donnée personnelle est par exemple un prénom, un nom, une photo, une adresse mail, un numéro de téléphone, une adresse IP
A partir de quand ?
La nouvelle loi sur la protection des données (nLPD) entre en vigueur le 1er septembre 2023
Qu’est-ce que je risque ?
En cas de violation de certaines obligations de protection des données que vous traitez, vous risquez (en tant que personne physique) jusqu’à CHF 250’000.- d’amende. La responsabilité de l’entreprise est subsidiaire
Comment faire ?
Les étapes de la mise en conformité à la nouvelle loi sur la protection des données
Cartographie des traitements de données :
– Commencez par établir une liste de toutes les données que vous traitez, des traitements que vous opérez, du cycle de vie des données, des buts des traitements, des personnes qui ont accès aux données, des sous-traitants à qui vous communiquez ces données, etc.
– Déterminez quelles sont les mesures techniques que vous avez déjà mises en place pour protéger les données (chiffrement, sauvegarde, etc.) et quelles sont les mesures organisationnelles que vous avez déjà mises en place (gestion des accès, gestion des incidents de cybersécurité, etc.)
Un aide-mémoire est à votre disposition ici pour effectuer ce travail. Ce modèle vous permet d’établir ensuite quelles sont vos obligations en matière de protection des données. Il peut être transmis à nos avocats et experts afin qu’ils se chargent de déterminer quels sont vos obligations et vous assistent dans votre mise en conformité
Mise en conformité générale et implémentation de mesures organisationnelles :
– Désignez un responsable de traitement à l’interne ou/et un DPO (délégué à la protection des données)
– Déterminez le type de données traitées (données sensibles, profilage à risque élevé ou non, etc.) et respectez les obligations spécifiques au type de données traitées (mise en œuvre d’une analyse d’impact, consentement, etc.)
– Déterminez s’il y a un transfert de données à l’étranger et assurez-vous que le transfert est légal
– Déterminez si le traitement de données est licite, proportionnel et nécessaire au sens de la LPD
– Déterminez la durée de conservation des données et si elle est licite
– Rédigez des contrats avec vos sous-traitants pour vous assurer qu’ils respectent la LPD
– Fournissez aux personnes concernées par le traitement des informations sur leur droit d’accès, de rectification, d’effacement et de portabilité
– Déterminez qui a accès aux données et limiter au besoin les accès
– Prévoyez à l’avance une marche à suivre pour gérer des incidents de sécurité et des violation en matière de protection des données
– Intégrez la protection des données dans vos projets
– Prévoyez une politique de protection des données (une pour les clients et une pour vos employés)
– etc.
Mise en conformité sur le plan technique avec implémentation des mesures de sécurité : (voire not. art. 3 et ss. OPDo)
– Cryptez vos données
– Assurez la confidentialité, la disponibilité et l’intégrité des données
– Selon le type de données traitées, pseudonymisez-les
– Prévoyez des protection contre les risques humains
– Sécurisez vos matériels (ordinateur privé par ex.)
– Assurez-vous de la traçabilité des données (contrôle de la saisie et de la communication, détection et réparation des violations de sécurité)
– Sécurisez vos canaux informatiques (ex. connexion à distance, pare-feu, sonde de détection d’intrusion)
– Assurez-vous de la maintenance et de la sauvegarde de vos systèmes
– Assurez-vous que vous sous-traitants ont mis en place les mesures techniques et organisationnelles suffisantes pour traiter vos données
– Mettez en place des systèmes de lutte contre les logiciels malveillants
– Prévoyez des mesures de contrôle des accès logiques
– Prévoyez des procédures visant à tester et à évaluer régulièrement l’efficacité des mesures prises
– etc.
En cas d’intervention de nos avocats et/ou experts, ils détermineront quelles sont les démarches à entreprendre en fonction des données traitées et vous assisterons pour vous mettre en conformité à la LPD (implémentation de mesures de sécurité, rédaction de contrats, rédaction de politique de confidentialité, analyse d’impact, etc.)
Quelles sont mes obligations ?
Obligation d’informer
Il faut informer la personne concernée de tous les traitements (collecte, communication, analyse, etc.) de ses données personnelles. L’information peut être communiquée par le biais de conditions générales et ne nécessite en principe pas le consentement de la personne
Obligation d’obtenir le consentement de la personne concernée
Vous avez cette obligation notamment en cas de traitement dit de profilage à risque élevé ou encore en cas de certains traitements de données sensibles
Obligation d’annoncer une faille de sécurité
Vous devez annoncer une violation de la sécurité des données au Préposé fédéral à la protection des données et à la transparence (PFPDT) si elle entraîne un risque élevé vraisemblable pour la personnalité de la personne concernée (ex. possibilité d’accéder au compte de la personne concernée, etc.)
Obligation de tenir un registre des activités de traitement
Cette obligation ne s’applique pas au PME dont le traitement des données présente un risque limité d’atteinte à la personnalité (art. 12 al. 5 LPD et art. 24 OPDo)
Exemple de cas dans lesquels vous avez cette obligation : vous faites du profilage à risque élevé, vous traitez des données sensibles à grande échelle
Obligation d’assurer la sécurité des données
Vous et vos sous-traitants doivent assurer la sécurité des données en fonction des risques engendrés par le traitement opéré. Pour un éventail des mesures à entreprendre, voire ci-dessus
Obligations de respecter les principes LPD
Vous avez l’obligation de traiter les données personnelles conformément aux principes de la bonne foi (pas contre la volonté de la personne concernée), de la licéité (le traitement ne doit pas violer une norme légale protégeant la personnalité), de la proportionnalité (le traitement doit être nécessaire pour atteindre l’objectif, il faut utiliser le minimum de données pour atteindre l’objectif), de la finalité (le but du traitement doit être reconnaissable et déterminé), de la transparence et d’exactitude (les données doivent être actuelles, correctes et objectives)
Nos recommandations
Prenez conscience que vous traitez des données personnelles
« Notre entreprise ne traite aucune donnée personnelle ». Nous l’entendons trop souvent alors que cela est illusoire.
Traitez-vous des informations sur votre personnel ? Envoyez-vous des newsletters ? Conservez-vous des adresses IP ou MAC ? Enregistrez-vous des vidéos ? Prévoyez-vous un numéro de carte de fidélité ? Détenez-vous des cartes d’identité, des badges d’entrée ou de connexion ? Il s’agit là de traitement de données personnelles.
Ainsi, prenez le temps de cartographier toutes les données que vous traitez en retraçant leur cycle de vie (récolte, analyse, conservation) et en déterminant leur support (serveur à distance, cloud, etc.) afin d’avoir une vision globale de votre activité en matière de traitement de données.
Déterminez un responsable de traitement à l’interne
La personne responsable pilotera la mise en conformité et devra s’assurer de le conformité durant toute la vie de l’entreprise. Il sera en charge de veiller à ce que les mesures techniques et organisationnelles soient mises en place et ce de manière continue.
Si aucun responsable de traitement n’est désigné, l’administrateur de la société est responsable de tous les traitements opérés et d’éventuelles violations de la Loi sur la protection des données.
Étant rappelé que c’est la personne physique qui est responsable du traitement et non l’entreprise qui est susceptible d’être sanctionnée d’une amende pouvant aller jusqu’à CHF 250’000.-.
Ne passez pas à côté de votre mise en conformité à la LPD
Il est tentant de s’inspirer de la déclaration de protection des données de votre concurrent ou de croire que seule une politique de confidentialité est nécessaire.
Mais il en va autrement : chaque entreprise traite différemment les données et la mise en conformité nécessite un vrai travail impliquant l’ensemble de l’entreprise, en mettant en perspective le flux des données, en mettant en place un modèle de protection et de sécurité et en adaptant les textes légaux, les directives ou encore les conditions générales de votre entreprise.
Ne misez pas que sur la technologie
Afin de garantir la sécurité des données personnelles, il va de soi que des mesures techniques et technologiques sont indispensables. Une entreprise ne peut pas passer à côté des mesures techniques les plus basiques (respect des mises à jour logiciel, implémentation de systèmes de sécurité contre les logiciels malveillants, etc.)
Toutefois, la conformité à la LPD passe aussi et surtout par des mesures organisationnelles au sein de votre entreprise ou encore par la sensibilisation de vos employés. La faille humaine est la principale responsable de perte ou de fuite des données.
Voyez la LPD comme une opportunité
Les données sont partout dans votre entreprise. Le travail de mise en conformité permet donc d’obtenir une meilleure vision de ce que votre entreprise effectue.
Plus encore, offrir une protection stricte des données personnelles de vos clients est un gage de bonne réputation et crée un avantage concurrentiel.
A chaque nouveau projet, pensez LPD et RGPD !
Protéger les données dès la conception du traitement est une obligation à partir du 1er septembre 2023.
Penser à la protection des données dès la création d’un projet vous évitera de devoir vous mettre en conformité ultérieurement et de devoir revoir éventuellement votre projet.
Pourquoi nous ?
Les avocats de Code+ sont expérimentés et formés en matière de protection des données et de mise en conformité à la nouvelle loi sur la protection des données et du RGPD. En outre, les experts en cybersécurité de Code+ peuvent mettre en oeuvre des audits ou vous conseiller pour mettre en place les mesures de sécurité qui sont nécessaires pour être en conformité avec la nLPD ou le RPGD.
Qui a par exemple fait appel à nous ?
Un laboratoire pharmaceutique
Une boutique e-commerce
Une start-up dans le suivi de développement de l’enfant
Un média en ligne
Le saviez-vous ?
La Loi fédérale sur la protection des données (LPD) entrera en vigueur le 1er septembre 2023.
Plus d’actualités
Contact
Partagez votre projet ou votre problème, nos experts trouverons la meilleure solution, avec une approche pluridisciplinaire.
022 809 57 57
2, rond-point de Plainpalais, 1205 Genève