Check-list pour les PME: comment se conformer à la loi sur la protection des données

La nouvelle loi sur la protection des données (nLPD) entrera en vigueur le permier septembre 2023. Toutes les entreprises suisses sont concernées. Voici comment elles peuvent s’y préparer.

Toutes les entreprises de Suisse doivent se préparer à la nouvelle loi sur la protection des données (nLPD) qui sera mise en œuvre le permier septembre 2023. Pour les sociétés qui ne se sont pas déjà adaptées au règlement européen sur la protection des données (RGPD) EU-Datenschutzgrundverordnung (DSGVO) datant de 2018, la mise en conformité avec la nouvelle loi suisse prendra du temps et requerra de se tourner vers des personnes ayant des expertises juridiques et techniques en matière de protection des données.

Pour préparer le travail de mise en conformité avec la nLPD, il convient de recenser les données traitées dans le cadre de l’activité et d’analyser les risques encourus. Plus une entreprise traite une grande quantité de données et/ou plus celles-ci sont sensibles (en lien, par exemple, avec la religion, la santé, les poursuites, etc.), plus les exigences seront importantes.

Les 12 commandements de la nLPD

Les PME suisses doivent mettre en œuvre les douze mesures suivantes pour se conformer à la nLPD:

  1. Contrôler et modifier les déclarations sur la protection des données (site web, contrats, contenus publicitaires, etc.),
  2. Rédiger des directives sur le traitement des données au sein de l’entreprise (ou les modifier),
  3. Mettre en place un registre de traitement des données (exception pour les entreprises de moins de 250 employés et ce, en l’absence de risque élevé d’atteinte à la personnalité),
  4. Préparer une marche à suivre pour répondre rapidement aux demandes des personnes concernées (par ex. de renseignements ou de suppression des données),
  5. Mettre en œuvre une procédure de signalement des violations de la protection des données,
  6. Établir un processus pour les analyses d’impact qui sont nécessaires lorsque le traitement des données présente un risque élevé (par ex. en cas de surveillance systématique de grandes parties du domaine public),
  7. Analyser les contrats avec les sous-traitants, pour vérifier si la sécurité des données est assurée et ajouter des clauses en la matière (notamment sur le signalement de toute violation de la protection des données),
  8. Prévoir que toutes les données personnelles soient supprimées ou anonymisées (et ce, dès qu’elles ne sont plus nécessaires au but qui justifiait leur traitement au départ),
  9. Revoir les pays vers lesquels les données sont transmises, y compris pour une simple sauvegarde sur le cloud, (ces pays doivent figurer sur une liste établie par le Conseil fédéral. Dans le cas contraire, des exigences plus poussées s’appliquent),
  10. Assurer la sécurité des données par des mesures techniques et organisationnelles appropriées,
  11. Garantir la remise des données sous format électronique (en cas de traitement automatisé des données, et, en particulier, dans le cadre de la conclusion ou de l’application d’un contrat),
  12. Désigner un conseiller à la protection des données et publier ses coordonnées (l’annonce de cette personne au Préposé fédéral à la protection des données et à la transparence (PFPDT) est recommandée).

Cette liste n’a pas l’ambition d’être la plus exhaustive ou détaillée possible. Il convient de se reporter à la nLPD ainsi qu’à l’ordonnance sur la protection des données pour de plus amples informations. Le site du PFPDT offre également des informations juridiques et techniques vérifiées sur le sujet. EDÖB

 

Sources: Interview publiée le 19.01.2022 sur le Portail PME « Si un vol de données se produit, cela signifie que nous avons déjà échoué », article publié le 19.05.2021 sur le site d’Economisesuisse « Protection des données: tour d’horizon de la nouvelle loi » et article paru le 06.12.2021 sur le site d’Axa « Nouvelle loi sur la protection des données: ce que les entreprises doivent savoir ».