Conseiller en protection des données selon Swiss DSG

Quand la revDSG entre-t-elle en vigueur?

Le Parlement suisse a adopté la revDSG le 25 septembre 2020. Pour que la nouvelle loi entre en vigueur, le Conseil fédéral a dû préciser les dispositions au niveau des ordonnances. La consultation à ce sujet s’est terminée le 14 octobre 2021. Il a maintenant été décidé que la revDSG entrera en vigueur le 1er septembre 2023.

Quelles innovations importantes les entreprises doivent-elles envisager?

Art. 9 revDSG – Dispositions contractuelles pour le traitement par les sous-traitants Lors du traitement des données personnelles par les sous-traitants, les entreprises devront s’assurer à l’avenir que les sous-traitants sont en mesure de garantir la sécurité des données. L’externalisation du traitement des données à des sous-traitants ultérieurs nécessitera à l’avenir l’approbation de la personne responsable. Le traitement des données devrait être réglementé sur la base d’accords contractuels avec les sous-traitants.

Art.19 ff revDSG – Nouvelles obligations d’information lors de l’acquisition de données personnelles À l’avenir, lors de l’obtention de données à caractère personnel, les personnes concernées devront être correctement informées des finalités du traitement, de la prise de décision automatisée et des divulgations à l’étranger au moyen d’une déclaration de protection des données. Si des données personnelles sont collectées auprès de tiers, les personnes concernées doivent être informées de la collecte de données dans un délai d’un mois. Les entreprises doivent identifier les activités de traitement pertinentes et créer des déclarations de protection des données appropriées.

Art.25 ff revDSG – Renforcement des droits des personnes concernées Les entreprises doivent mettre en œuvre des processus pour être en mesure de fournir aux personnes concernées des informations sur le traitement des données dans les 30 jours sur demande. En outre, les données personnelles incorrectes peuvent devoir être corrigées, les données devenues inutiles doivent être supprimées et les données personnelles traitées automatiquement doivent être libérées ou, sur demande, transférées.

Art.24 revDSG – Notifications d’atteintes à la sécurité des données À l’avenir, les responsables d’atteintes à la sécurité des données doivent signaler le plus rapidement possible au Conseiller fédéral à la protection des données (FDPIC) si l’atteinte présente un risque élevé pour les personnes concernées. Les organisations doivent mettre en œuvre des processus pour identifier les violations de données et évaluer les exigences en matière de signalement.

Art.60 f revDSG – amendes en cas de violation des obligations légales En cas de violation intentionnelle des devoirs de diligence, d’information et de coopération, les particuliers peuvent être condamnés à une amende pouvant aller jusqu’à 250 000 CHF. Les amendes ne sont généralement pas dirigées contre l’entreprise. Au contraire, la revDSG prévoit une sanction directe des responsables (par exemple, le PDG, le CIO ou d’autres responsables).

Article 10 revDSG – conseiller en protection des données Suisse Les entreprises peuvent nommer un conseiller en protection des données pour les conseiller sur la manière de mettre en œuvre et de se conformer aux réglementations en matière de protection des données. Le conseiller à la protection des données est le point de contact pour les personnes concernées et les autorités de protection des données. Si un délégué à la protection des données est désigné, l’entreprise peut bénéficier de simplifications de certaines obligations déclaratives. OBSECOM GmbH de Stuttgart avec sa filiale suisse à Préverenges (VD) vous conseille en tant que consultant externe en protection des données sur la mise en œuvre de la revDSG.

Quelles exigences de conformité peuvent avoir des conséquences pénales ?

Le non-respect délibéré des nouvelles obligations en matière de protection des données peut à l’avenir être puni pénalement d’une amende pouvant aller jusqu’à 250 000 CHF. Les amendes ne sont généralement pas dirigées contre l’entreprise. Au contraire, la revDSG prévoit une sanction directe des responsables (par exemple, le PDG, le CIO ou d’autres responsables). Afin d’éviter les sanctions, les domaines suivants, entre autres, doivent être mis en œuvre dans le respect de la protection des données:

• Conformité aux exigences minimales de sécurité des données. Les entreprises doivent prendre les mesures techniques et organisationnelles appropriées pour protéger les données. Le Commissaire fédéral à la protection des données et à la transparence (FDPIC) peut consulter les documents pertinents lorsqu’il enquête sur des violations des réglementations sur la protection des données.
• L’externalisation du traitement des données à des sous-traitants doit être réglementée par contrat. Les entreprises doivent s’assurer que les sous-traitants sont en mesure d’assurer la sécurité des données.
• Les données personnelles ne peuvent être divulguées à l’étranger que si des garanties adéquates de protection des données sont respectées.
• Les parties concernées doivent toujours être correctement informées lorsque des données personnelles sont obtenues et qu’une prise de décision automatisée a lieu.
• Sur demande, les entreprises doivent fournir aux personnes concernées des informations sur le traitement de leurs données.

Quels processus de protection des données les entreprises doivent-elles mettre en place?

Dans le cadre de leurs obligations de conformité, les entreprises sont tenues de concevoir des processus de protection des données adaptés. Ceci comprend:

• Établir des mécanismes de détection, d’évaluation et de signalement des violations de données.
• Inclure la protection des données dans la création de nouveaux processus commerciaux et la documenter de manière appropriée afin de pouvoir remplir les répertoires de traitement, les informations des personnes concernées et les obligations de divulgation.
• Définition des responsabilités, sensibilisation des collaborateurs.
• Surveillance, classification et priorisation des mesures de conformité.

Les groupes d’entreprises à orientation internationale doivent déjà respecter des exigences de protection des données comparables pour les sociétés affiliées au sein de l’UE et à l’étranger. La révision de la loi suisse sur la protection des données offre la possibilité d’harmoniser l’organisation de la protection des données au sein du groupe.

Comment les conseillers en protection des données peuvent-ils soutenir la conformité en matière de protection des données?

La nomination d’un consultant en protection des données est facultative en vertu de la revDSG, mais présente des avantages pour les entreprises ayant des exigences de conformité complexes. Le conseiller à la protection des données est le point de contact pour les personnes concernées et les autorités de protection des données. Il travaille avec l’équipe de conformité de l’entreprise, conseille sur les questions de protection des données et veille à ce que la protection des données soit une exigence dans toutes les mesures de conformité. Le conseiller à la protection des données vérifie le traitement des données personnelles et recommande des mesures correctives. Si une analyse d’impact relative à la protection des données doit être effectuée dans le cas d’un traitement de données à risque, le responsable peut s’abstenir de consulter le PFPDT si un conseiller à la protection des données a été impliqué.