FAQ sur la protection des données en Suisse : des questions vraiment confuses et des réponses claires

Sommaire

Généralités

Nos réponses aux questions générales sur la protection des données :

Qui est concerné par la LPD et la nLPD?

Les données personnelles sont toutes les informations qui permettent de déterminer ou d’identifier une personne physique. Outre les données générales telles que le nom, l’adresse, la date de naissance, l’adresse e-mail, la profession et la nationalité, il s’agit également de données personnelles sensibles, qui nécessitent une protection accrue et sont donc soumises à des règles plus strictes en matière de traitement des données. L’adresse IP est également une donnée personnelle.

Que signifient données personnelles ?

Que signifient données personnelles sensibles ?

Outre les données personnelles générales, il existe également des données sensibles. Il s’agit des données relatives aux convictions religieuses, philosophiques, opinions politiques ou appartenance syndicale, des données relatives à la santé, des données relatives à la sphère intime ou à l’origine raciale ou ethnique, des données biométriques et génétiques, des données relatives aux poursuites administratives et pénales et des données relatives aux mesures d’aide sociale. Ces catégories de données sont considérées comme sensibles par le législateur lors de leur traitement.

Conseiller à la protection des données

Nos réponses aux questions sur l’obligation de désignation et les tâches du conseiller à la protection des données :

Qui doit désigner un conseiller à la protection des données ?

La désignation d’un conseiller à la protection des données est facultative, mais elle présente des avantages pour les entreprises dont les opérations de traitement des données sont complexes.

Quelles sont les avantages d’un conseiller à la protection des données externe par rapport à un conseiller à la protection des données désigné en interne ?

Pour décider s’il convient de désigner un conseiller interne ou externe en la matière, il faut tenir compte de facteurs tels que l’expertise, la responsabilité, la résiliation et les coûts. Un conseiller en protection des données externe dispose d’une solide expertise. Il est toujours au fait des derniers développements en matière de droit de la protection des données. Par ailleurs, il minimise le risque de responsabilité de l’entreprise. Il ne bénéficie d’aucune protection particulière contre le licenciement. Les délais de résiliation du mandat sont réglés par contrat. Les coûts liés au service externe du conseiller en protection des données doivent être comparés aux coûts du salaire et des frais de formation et de perfectionnement dans le cas d’une nomination interne.

Combien coûte un conseiller à la protection des données externe par rapport à une nomination interne ?

Lors de la nomination d’un conseiller à la protection des données externe, différents coûts sont d’abord engagés pour l’évaluation initiale. Chez OBSECOM GmbH, la première étape consiste généralement en une évaluation approfondie, qui est facturée séparément. Les modalités de la collaboration sont ensuite convenues par un forfait mensuel. Le montant de ce forfait dépend du besoin de conseil de l’entreprise. En revanche, un conseiller interne à la protection des données doit être formé et suivre des formations continues, ce qui engendre des coûts récurrents. Le coût total d’un conseiller externe en protection des données sera donc probablement moins élevé à long terme.

Quels sont les avantages de la désignation d’un conseiller à la protection des données ?

Le conseiller à la protection des données est le point de contact pour les personnes concernées et les autorités de surveillance. Il collabore avec l’équipe de conformité de l’entreprise, conseille la direction et les employés sur les questions de protection des données et veille à ce que la protection des données soit prise en compte dans toutes les mesures de conformité. Il vérifie le traitement des données personnelles et recommande des mesures correctives. Si une évaluation d’impact sur la protection des données doit être effectuée pour les traitements de données à risque, l’entreprise peut se passer de la consultation du PFPDT si elle a fait appel à un conseiller en protection des données.

Que faut-il prendre en compte lors de la nomination d’un conseiller externe à la protection des données ?

Lors du choix d’un conseiller externe à la de protection des données, il convient de tenir compte de ses qualifications professionnelles et en particulier de ses connaissances spécialisées. Le conseiller à la protection des données doit être compétent en droit et en pratique de la protection des données, et se former régulièrement. Ainsi le choix de la personne adéquate est facilité si le conseiller à la protection des données est membre d’associations professionnelles et possède une expertise en droit informatique, en protection des données des employés ou dans d’autres domaines de la protection des données pertinents pour l’entreprise.

Vous trouverez ici de plus amples informations sur les services d’OBSECOM GmbH Conseiller externe à la protection des données suisse.

Violation de la sécurité des données

Nos réponses aux questions sur les violations de la sécurité des données et les obligations de notification:

Quand parle-t-on de violation de la sécurité des données ?

Il y a violation de la sécurité des données (violation de la protection des données) lorsque la sécurité ou la protection des données personnelles n’est pas respectée. Peu importe que cela se produise de manière involontaire ou illégale. Une violation de la protection des données peut par exemple résulter de la perte ou de la destruction de données personnelles, ou de la divulgation ou de l’accès non autorisé de données personnelles à un tiers (par exemple envoi d’un e-mail à un mauvais destinataire, piratage informatique, etc.).

Quand doit-on signaler une violation de la protection des données ?

Toute violation de la protection des données entraînant un risque élevé pour la vie privée ou les droits fondamentaux des personnes concernées doit être signalée. Ce risque doit être soigneusement évalué ainsi que les conséquences, les raisons de la décision et les mesures prises doivent être documentées par écrit et de manière compréhensible. Cette documentation doit être conservée pendant au moins deux ans. En cas d’une telle violation, l’incident doit être signalé le plus rapidement possible au PFPDT. En outre, les personnes concernées doivent être informées si cela est nécessaire pour leur protection.

Quelles sont les conséquences d’une violation de la protection des données ?

Selon la gravité de la violation de la protection des données, les personnes concernées peuvent demander réparation pour le préjudice subi. Si la violation de la protection des données affecte également des personnes au sein de l’UE, les autorités de contrôle de l’UE peuvent infliger une amende. Lors de l’évaluation du montant de l’amende, chaque cas sera examiné individuellement. Il sera notamment tenu compte de la gravité et de la durée de l’infraction, de l’action intentionnelle ou de la négligence du responsable et du type de données personnelles concernées par l’infraction. Le RGPD prévoit des amendes pouvant atteindre 20 millions d’euros, ou pour une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’année précédente.

Obligations d’information

Nos réponses aux questions sur les obligations d’information :

Qu’est-ce qu’une information sur la protection des données et à quoi sert-elle ?

Chaque fois qu’une entreprise collecte, traite, utilise ou transmet des données personnelles à des tiers, elle doit informer les personnes concernées du traitement de ces données au moment de leur collecte. Cette information est fournie par le biais d’une « déclaration de protection des données » (Politique de confidentialité ou « Privacy Notice »). En ce qui concerne le traitement des données sur un site web, l’information sur la protection des données doit en général être facilement accessible sur le site. En fonction des autres finalités pour lesquelles l’entreprise traite des données personnelles, des informations supplémentaires doivent être fournies (par exemple, pour les employés ou les partenaires commerciaux)

Quelles sont les obligations d’information des entreprises vis-à-vis des personnes concernées ?

Les entreprises responsables doivent, au moment de la collecte des données personnelles, informer les personnes concernées sur l’étendue et les finalités du traitement des données. Les personnes concernées peuvent être des clients, des employés, des candidats, mais aussi des partenaires commerciaux potentiels. L’étendue des informations à fournir est régie par l’article 19 de la nLPD. Les informations suivantes doivent au moins être fournies :

Identité et coordonnées du responsable.
Finalité du traitement des données personnelles.
Destinataires ou catégories de destinataires auxquels les données personnelles sont transmises.
Si les données personnelles ne sont pas collectées directement auprès de la personne concernée, les catégories de données doivent également être spécifiées.
Intention de transmettre les données à l’étranger et le cas échéant les garanties qui protègent les droits des personnes concernées dans le pays de destination.

En option, d’autres informations peuvent être fournies dans un souci de transparence :

Les coordonnées du conseiller à la protection des données.
Informations sur la durée de conservation des données personnelles.
Information sur les droits des personnes concernées : information, rectification, effacement et limitation du traitement, ainsi que portabilité des données et droit d’opposition.

Y a-t-il des exceptions à l’obligation d’informer prévue par la législation sur la protection des données ?

Oui, selon l’article 19 de la nLPD, il n’est pas nécessaire de fournir à nouveau une information si la personne concernée dispose déjà de l’information, si le traitement est prévu par la loi, si le responsable est légalement tenu à la confidentialité ou s’il peut faire valoir le privilège des médias. En outre, il n’est pas nécessaire d’informer une personne sur le traitement des données par des tiers si cela s’avère impossible ou si cela exige des efforts disproportionnés.

Quelles sont les obligations d’information à respecter lors de l’envoi d’une newsletter ?

Lors de l’envoi d’une newsletter, les obligations d’information prévues par la LPD doivent être respectées, car des données personnelles sont traitées. Le destinataire d’une newsletter doit être informé en conséquence du traitement des données personnelles qu’il a fournies. Etant donné que l’inscription à la newsletter repose généralement sur le consentement du destinataire, l’information doit contenir toutes les données pertinentes afin de permettre au destinataire de prendre une décision libre et éclairée. Dans l’idéal, l’information sur la protection des données décrit comment les données de l’utilisateur sont traitées dans le cadre de l’envoi de la newsletter et par quels services externes. L’information sur la protection des données doit pouvoir être consultée au moment de la collecte des données (lors de l’inscription à la newsletter) et peut ensuite être rendue accessible lors de chaque envoi de la newsletter au moyen d’un lien intégré dans l’e-mail.

Une politique de confidentialité est-elle nécessaire pour une page Facebook ?

Si une page Facebook publique (page d’entreprise Facebook) est exploitée, des données personnelles sont également traitées (par ex. statistiques web / Facebook-Insights, formulaires de contact ou sondages). Par conséquent, une politique de confidentialité doit être publiée. Cela peut se faire via un menu, un onglet de page, ou une entrée dans la section des applications. Il est possible d’intégrer soit le texte complet, soit un lien vers un document externe (par ex. vers le site web de l’entreprise). Le gestionnaire de la page est conjointement responsable avec Facebook du traitement des données dans le cadre de la page. Ainsi, les deux parties doivent informer sur la manière dont elles traitent les données. En particulier, la déclaration de confidentialité doit inclure des indications sur le service auquel les personnes concernées peuvent s’adresser si elles souhaitent faire valoir leurs droits.

Autres obligations

Nos réponses aux questions sur les autres obligations en matière de protection des données :

Qu’est-ce qu’un sous-traitant ?

Un sous-traitant est une personne physique ou morale (une entreprise), un organe fédéral ou un autre organisme qui traite des données personnelles pour le compte du responsable du traitement. Le sous-traitant ne doit traiter les données personnelles transmises qu’à la demande du responsable et sur la base d’un contrat. Le sous-traitant doit mettre en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données. Les prestataires de services informatiques, les fournisseurs de cloud ou les entreprises de destruction de documents sont des exemples de sous-traitants.

Quand un contrat de sous-traitance doit-il être conclu ?

Un contrat de sous-traitance doit toujours être conclu lorsqu’un prestataire externe accède à des données personnelles et les traite sur instruction du responsable du traitement.

Qu’est-ce que le registre des activités de traitement ?

Selon la nLPD, tout organisme qui traite des données personnelles est tenu de consigner et de documenter les activités de traitement dans un registre. L’article 12 de la nLPD précise les informations que ce registre doit contenir. Le registre doit contenir entre autres les informations suivantes : Les finalités du traitement, la description des catégories de personnes concernées, les catégories de destinataires, le transfert de données à l’étranger, les délais de conservation et une description générale des mesures techniques et organisationnelles mises en place.