Nouvelle loi sur la protection des données – aperçu des mesures à prendre

Vincent Meylan

La présente check-list expose un condensé non exhaustif des mesures qui doivent être prises par les entreprises pour s’adapter au nouveau droit de la protection des données.

Il convient de préciser que chaque cas doit être examiné selon les circonstances concrètes. La présente check-list a une vocation purement informative et ne saurait représenter un avis de droit.

 

  1. Vérification du champ d’application du nouveau droit de la protection des données, défini par l’art. 2 LPD. A titre d’exemple, la LPD ne s’applique pas au traitement des données de personnes morales (art. 2 al. 1 LPD).
  2. Organisation de la mise en conformité de l’entreprise avec la nouvelle LPD et définition de la responsabilité et de la fonction de chaque collaborateur. Sensibilisation des collaborateurs susceptibles d’opérer un traitement de données.
  3. Etablissement d’un registre des traitements de données personnelles. Un tel registre est obligatoire uniquement si l’entreprise emploie plus de 250 personnes, traite des données personnelles sensibles à grande échelle ou effectue un profilage à haut risque (art. 12 LPD et art. 24 OPDo). Pour les sociétés qui ne sont pas soumises à l’obligation de tenir un registre, il est possible de le faire de manière facultative. Un tel registre permet ainsi une meilleure visibilité au sein de l’entreprise et la possibilité de remplir d’autres obligations légales plus aisément [voir point 4 notamment].
  4. Analyse du traitement de données opéré par l’entreprise (dans l’hypothèse où un registre n’est pas établi). Une telle analyse permet à l’entreprise de savoir précisément quelles données personnelles elle traite, à quel fin et si elles sont communiquées à d’autres personnes, ce qui permet de se conformer aux obligations légales suivantes :
      1. Fournir aux personnes concernées des informations sur l’identité et les coordonnées du responsable du traitement, la finalité du traitement, le cas échéant, les destinataires ou les catégories de destinataires auxquels des données personnelles sont transmises (art. 19ss LPD et 13 OPDo) [voir point 7] ;
      2. Fournir, sur demande d’un particulier, des informations sur le traitement de ses données personnelles (art. 25ss LPD et 16ss OPDo).
  5. Analyse du risque que représente le traitement de données opéré par l’entreprise pour les personnes concernées. Une telle analyse permet de déterminer si l’entreprise est soumise à d’autres obligations légales, dans le cas où le traitement des données représente un risque élevé pour les personnes concernées.
  6. Examen de l’opportunité de nommer un conseiller à la protection des données (ce qui est facultatif pour les particuliers ; art. 10 LPD).
  7. Rédaction d’une déclaration de protection des données à publier sur le site internet de l’entreprise, de manière à permettre aux personnes concernées de pouvoir se renseigner sur la collecte de leurs données (art. 19 LPD et 13 OPDo).
  8. Mise en place de mesures techniques et organisationnelles permettant d’assurer la sécurité informatique des données (art. 8 LPD et 1ss OPDo). L’efficacité de ces mesures doit être suivie tout au long du traitement de données et le cas échéant, les mesures adaptées.
  9. Elaboration de processus internes, permettant de désigner quel collaborateur est responsable de quelles actions, dans le cas où certains évènements surviennent. Il s’agit notamment des évènements suivants :
      1. Violation de la sécurité des données : dans un tel cas, l’entreprise est tenue d’annoncer la violation de la sécurité des données au préposé fédéral à la protection des données et à la transparence (PFPDT) (art. 24 LPD et 15 OPDo) ;
      2. L’obligation d’effacer les données qui ne sont plus nécessaires à la finalité du traitement (art. 6 ch. 4 LPD) ;
      3. Demande d’information par une personne concernées (art. 25 LPD et 16ss OPDo) ;
      4. La remise des données, sous format électronique, à la personne concernée qui en fait la demande (art. 28 LPD et 20ss OPDo).
  10. Revue et éventuelle adaptation des contrats conclus avec les clients, fournisseurs, prestataires de services et les collaborateurs.

 

Il convient enfin d’ajouter que le respect de la nouvelle législation concernant la protection des données doit s’inscrire dans la durée et ne peut consister en une seule et unique opération. Bien au contraire, il conviendra de se tenir informé, de suivre de près les mesures prises par l’entreprise et de les adapter le cas échéant.

Un tel suivi nécessite qu’un processus de vérification de la conformité des mesures prises par l’entreprise avec les règles légales, et le cas échéant de l’adaptation de ces mesures, soit implémenté.

Partager

Vincent Meylan

Vincent Meylan est associé de l’étude LE/AX Avocats. Il est spécialisé en droit des affaires (M&A, droit des sociétés, droit des contrats, gouvernance d'entreprise), en droit bancaire et financier, ainsi qu'en droit de la blockchain et des crypto-monnaies.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *