Ce qu'il faut savoir en Suisse sur la protection des données
Au sens du RGPD (règlement général sur la protection des données en Europe) et de la LPD (loi fédérale suisse sur la protection des données), si une entité traite/stock/communique des données (quel que soit le support: informatique, papier, ...) qui permettent d'identifier directement ou indirectement des personnes physiques (personne concernée), il y a obligation d'être conforme aux exigences légales requises.
La protection des données, généralement mal comprise, assimilée uniquement à la sécurité, est en réalité une mise en conformité juridique, administrative, organisationnelle et informatique complexe. Ce processus demande l'élaboration d'une documentation rigoureuse.
La nouvelle LPD (et son ordonnance), en vigueur le 1er septembre 2023.
Sanctions
RGPD
Les autorités de surveillance européennes se montrent d’une certaine sévérité et ont des pouvoirs conséquents pour appliquer leurs sanctions. Celles-ci peuvent s’élever jusqu’à EUR 20 millions ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Le record est une amende de 740 millions EUR à Amazon au Luxembourg.
La liste des sanctions: https://www.enforcementtracker.com/
LPD
Avec la nouvelle loi, le préposé fédéral à la protection des données passe de simple observateur à autorité aux pouvoirs très élargis. Il pourra, avec de bonnes suspicions, mener des investigations intrusives. Les sanctions seront dirigées contre des personnes physiques (direction, employé ayant commis le délit) jusqu’à un montant par personne de CHF 250’000.
« Les sanctions peuvent être des injonctions à détruire certains fichiers.
Hormis d'être en incapacité de payer une amende, devoir détruire son fichier clients
signifie la fin des activités et la faillite.»
Nos services
Représentant dans l'Union
Data Privacy Consulting B.V., basée au Pays-Bas offre ce service à toute entité dont le siège n'est pas dans l'Union européenne. Sachant que, hormis la forte probabilité qu’une société basée en Suisse traite des données personnelles de personnes concernées résidentes de l’Union.
Mise en conformité
Data Privacy Consulting B.V., non seulement, offre divers services digitaux pour que les personnes concernées et les autorités de surveillance puissent contacter des entités, mais propose des mises en conformités complètes et des accompagnements à long terme, via son partenaire suisse STRONGWAY SA,
DPO
Selon certains critères et risques, un délégué à la protection des données (RGPD). Au niveau suisse, certaines conditions obligent à mener des analyses d'impactes et à les soumettre au préposé fédéral à la protection des données et à la transparence (PFPDT). Nommer et enregistrer un conseiller à la protection des donnée auprès du PFPDT permet d'éviter la soumission des analyses d'impactes .
Donnée sensible
Une donnée sensible, au sens des lois sur la protection des données, n’est pas à confondre avec une donnée importante/vitale/secrète. Le mix RGPD et la LPD dresse ce que sont uniquement des données sensibles:
les données sur les opinions ou les activités religieuses, philosophiques, politiques ou syndicales,
les données sur la santé, la sphère intime ou l’origine raciale ou ethnique,
les données génétiques,
les données biométriques identifiant une personne physique de manière univoque,
les données sur des poursuites ou sanctions pénales et administratives,
les données sur des mesures d’aide sociale;
Les données personnelles sensibles sont à la base interdites à exploiter. Leurs traitements demandent une mise en conformité rigoureuse, des finalités bien définies et justifiables, des consentements explicites solides de la part des personnes concernées et peuvent aussi imposer des contraintes plus fortes, notamment la désignation d’un DPO.
Responsable de traitement
Sous-traitant
Le responsable de traitement est l'entité qui décide des finalités de traitement. C'est de par ses activités que des données personnelles doivent être récoltées, traitées, stockées et communiquées.
Le sous-traitant au sens des lois sur la protection des données (à ne pas confondre avec des sous-traitants des activités industrielles, commerciales et de services), est une entité par laquelle les données d'un responsable de traitement sont traitées/stockées/communiquées via ses services, et cela sans que les personnes concernées le savent. L’utilisation de systèmes cloud, software, des plateformes GAFAM en sont quelques exemples parmi d’innombrables.
Quel que soit l’acteur, les obligations de conformité sont quasiment identiques.
Obligations
Les exigences sont nombreuses et complexes, les principales étant:
Analyse d'impact
Selon certains critères et risques, une analyse d'impact doit être effectuée avant tout traitement et lancement d’activité commerciale.
Représentant dans l'Union
Si une entité qui n’est pas basée dans l’Union Européenne (notamment en Suisse) traite des données personnelles de résidents de l’Union, il a y obligation de nommer un représentant basé dans un des pays de l’Union. Data Privacy Consulting B.V. offre ce service.
DPO
Selon certains critères et risques, un délégué à la protection des données (RGPD), un conseiller à la protection des données (LPD) peut aussi être nommé. Celui-ci ne doit en aucun cas être dans les instances dirigeantes, être à des postes à responsabilité, avoir accès à des infrastructures critiques et avoir des conflits d’intérêts. Il ne peut pas non plus être représentant dans l’Union.
Data privacy by design & by default
Toute la structure organisationnelle et technique qui effectue des traitements sur des données personnelles doit être conçue à la base pour être conforme aux exigences légales. De plus, par défaut, tout doit être interdit, les droits étant ajoutés au fur et à mesure de la finalité des traitements. Traiter des données personnelles inutiles pour l’activité d’une entité est interdit.
Sécurité
La sécurité ne concerne pas seulement l’infrastructure informatique, mais toute l’organisation de l’entreprise. Une porte de bureau ouverte fait partie de ces notions. Cet élément est très complexe à mettre en place, car les habitudes de la plupart des collaborateurs d’une entité doit être remise en cause.
Destinataires
Les personnes (employés, parties-tierces, ..) et entités (partenaires, sous-traitants, …) qui vont avoir accès, traiter ou communiquer des données personnelles doivent être clairement identifiées et leurs rôles respectifs documentés.
Registres des activités de traitements
Tous les traitements d’une entité qui manipule des données personnelles doivent être documentés dans le registre des activités de traitement. Selon la taille d’une société, cela peut être conséquent. Le registre doit notamment mettre en évidence les points suivants: la finalité du traitement: les catégories de personnes concernées et des catégories de données personnelles traitées; les catégories de destinataires; le délai de conservation des données; les mesures visant à garantir la sécurité; en cas de communication de données personnelles à l’étranger, le nom de l’État concerné et les garanties prévues par la loi.
Sous-traitants
Une liste des sous-traitants, ainsi que les registres de traitements impactés doivent être documentés. Un contrat de sous-traitance doit lier le responsable de traitement et le sous-traitant. Ce document n’est en rien le contrat commercial de base qui les lie, mais bel et bien un autre en bonne et due forme. Si un sous-traitant utilise aussi d’autres sous-traitants, il doit le notifier au responsable de traitement, ainsi que tout changement à cette liste.
Registre des violations
Lors de tout incident qui a un impact direct ou indirect sur des données personnelles, mineur ou de grande importance (perte, vol, destruction, communication nom consentie ou illégale, …), il est tenu de l’inscrire dans le registre des violations. Selon les cas, les personnes concernées et les autorités de surveillance devront être averties.
Information aux personnes concernées
Lors de la récolte directe ou indirecte de données personnelles de personnes concernées, il y a obligation de notifier de façon simple un certain nombre d’informations, notamment la finalité du traitement, le type de données, la durée de conservation et les droits des personnes concernées. C’est la Privacy Policy / Politique de confidentialité.
Droits des personnes concernées
Les personnes concernées ont des droits sur leur données personnelles. A moins que certaines dispositions RGPD/LPD ou d’autres loi ne le disent autrement, les personnes concernées peuvent à tout moment exiger: accès, rectification, effacement, limitation, portabilité, opposition, décision individuelle automatisée.
Base légale RGPD
Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:
Consentement;
Exécution d'un contrat auquel la personne concernée est partie;
Obligation légale à laquelle le responsable du traitement est soumis;
Intérêts vitaux de la personne concernée ou d'une autre personne physique;
Mission d'intérêt public;
Intérêts légitimes.
Consentement
Si la base légale est le consentement, toute personne concernée doit donner le donner pour qu’une entité puisse récolter et traiter ses données personnelles. Le consentement est un processus délicat qui va d’une simple case à cocher sur page web ou un sourire de la personne en face de vous (consentement implicite) au contrat signé (consentement explicite). Selon certains critères et risques, le cadre légal impose un consentement explicite. Une documentation est nécessaire pour gérer les différentes situations selon les traitements.