Exigences de conformité selon la loi suisse révisée sur la protection des données.
La Suisse a modernisé la loi fédérale sur la protection des données (nLPD) et adapté la protection des données aux nouvelles réalités. En outre, cette révision vise à aligner la législation suisse sur les exigences du Règlement général sur la protection des données (RGPD) afin que la Suisse continue d’être reconnue par l’UE comme un pays tiers offrant un niveau de protection des données adéquat, garantissant ainsi la poursuite des transferts de données transfrontaliers. Les entreprises suisses sont tenues de respecter les dispositions légales dès l’entrée en vigueur de la révision de la loi sur la protection des données (nLPD).
Avec la nLPD et la LPD, la protection des données devient un facteur de conformité. Le non-respect des exigences en matière de protection des données expose les entreprises à des risques financiers importants, tels que les amendes de dommages-intérêts de la part des personnes concernées et des amendes imposées par les autorités de contrôle. Afin d’éviter toute action illicite et réduire les risques de responsabilité, il convient de concevoir des mesures de conformité appropriées et de les adapter à la situation de risque de l’entreprise.
Aperçu des exigences de conformité
Aperçu des principales nouvelles obligations de protection des données de la nLPD :
- Respect des exigences minimales en matière de sécurité des données : Les entreprises doivent mettre en place des mesures techniques et organisationnelles appropriées pour protéger les données. Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est autorisé à consulter des documents pertinents lors des enquêtes sur les violations des règles de protection des données
- Réglementation contractuelle de l’externalisation du traitement des données : Les entreprises doivent établir des contrats clairs avec les sous-traitants. Elles doivent également s’assurer que ces sous-traitants sont capables de garantir la sécurité des données.
- Transfert de données personnelles à l’étranger : La communication de données personnelles à l’étranger ne doit avoir lieu que si des garanties adéquates en matière de protection des données sont respectées.
- Information des personnes concernées lors de la collecte de données personnelles et de la prise de décisions automatisées.
- Droit d’accès aux données : les entreprises doivent, sur demande, informer les personnes concernées sur la manière dont leurs données sont traitées.
- Tenu et mise à jour d’un registre des activités de traitement mentionnant les finalités des différents traitements de données, les délais de conservation, les communications de données à l’étranger et les destinataires des données (par exemple, les sous-traitants). Le registre doit être présenté au PFPDT sur demande.
- Réalisation d’analyses d’impact sur la protection des données lorsque le traitement de ces dernières peut entraîner des risques élevés pour les personnes concernées.
- Obligation de notification des violations de la protection des données au PFPDT lorsqu’elles entraînent un risque élevé pour la personne concernée. Une notification doit contenir des informations sur le type de violation, ses conséquences ainsi que les mesures prises ou prévues. En outre, les personnes concernées doivent être informées si cela est nécessaire pour leur protection ou si le PFPDT l’exige.
Dans le cadre de leurs obligations de conformité, les entreprises sont invitées à concevoir des processus de protection des données appropriés. Cela inclut :
- Mise en place des dispositifs de détection, d’évaluation et de notification des violations de la protection des données.
- Intégrer la protection des données dans l’élaboration de nouveaux processus commerciaux et les documenter de manière appropriée afin de pouvoir remplir les listes de traitement, les informations sur les personnes concernées et les obligations d’information.
- Définir les responsabilités, sensibiliser les collaborateurs.
- Suivi, classification et hiérarchisation des mesures de conformité.
Les groupes d’entreprises ayant une orientation internationale doivent respecter des exigences comparables en matière de protection des données pour les sociétés affiliées dans l’UE et à l‘étranger. Dans ce contexte, l’organisation de la protection des données au sein du groupe devrait être harmonisée autant que possible.
Les conseillers en protection des données aident à la mise en conformité
Selon la nLPD la nomination d’un conseiller à la protection des données est facultative, mais présente des avantages pour les entreprises ayant des exigences de conformité complexes Le conseiller à la protection des données est le point de contact pour les personnes concernées et les autorités de contrôle. Il collabore avec l’équipe de conformité de l’entreprise, conseille sur les questions de protection des données et veille à ce que la protection des données soit intégrée dans toutes les mesures de conformité. Il évalue le traitement des données personnelles et recommande des actions correctives. Si une analyse d’impact relative à la protection des données doit être effectuée pour le traitement de données à risque, le responsable peut se dispenser de consulter le PFPDT s’il a fait appel à un conseiller à la protection des données.