Page d’accueil Connaissances Ressources humaines Droit du travail Nouvelle loi sur la protection des données / recommandations d’action
Interlocuteur  Claudio Haufgartner Claudio Haufgartner
Chef de secteur
+41 44 384 42 26 +41 44 384 42 26 c.haufgartnernoSpam@swissmem.ch
Partager

Nouvelle loi sur la protection des données / recommandations d’action

Nous pensons que la nouvelle loi sur la protection des données entrera en vigueur au cours du deuxième semestre 2022. Par conséquent, nous vous recommandons d’étudier les nouvelles conditions dès maintenant et de procéder aux adaptations nécessaires. D’autant plus, qu’aucun délai de transition n’est prévu.

Vous voulez rester au courant ? Recevez rĂ©gulièrement des informations sur des sujets liĂ©s aux ressources humaines dans la branche et abonnez-vous Ă  notre Newsletter.

Les principes du traitement des données sont comparables à ceux appliqués dans l’ancienne loi sur la protection des données. Une des nouveautés réside dans le fait que le champ d’application de la loi sur la protection des données est limité au traitement des données personnelles des personnes physiques. Le traitement des données des personnes morales n’est plus protégé.

La nouvelle loi durcit notamment l’obligation d’informer et exige une analyse des conséquences du traitement des données qui impliquent des risques élevés pour la personnalité ou les droits fondamentaux de la personne concernée. En outre, il existe une obligation légale de signaler une violation de la sécurité des données au Préposé fédéral à la protection des données et à la transparence (PFPDT). Sur la base du devoir de diligence stipulé dans la loi, nous recommandons de documenter toutes les mesures prises dans ce contexte afin d’éviter de possibles amendes.

En prenant compte de la loi révisée sur la protection des données, les obligations suivantes ont été introduites pour les entreprises.

Obligation d’informer

En vertu de la nouvelle loi sur la protection des données, les entreprises doivent remplir certaines obligations d’informer. Lorsqu’il est question de récolter des données à caractère personnel, des informations doivent être fournies sur l’identité de la personne responsable, le but de l’opération, etc. Il faut également veiller à ce que les droits de la personne concernée soient garantis. Par conséquent, une entreprise doit donc être en mesure de fournir à une personne concernée des informations sur le traitement de ses données personnelles. Cela suppose que l’entreprise sache quelles données personnelles sont traitées et à quelles fins ou si, par exemple, les données sont envoyées à l’étranger. Pour s’assurer que cette exigence soit respectée, nous recommandons d’établir prioritairement un inventaire de tous les traitements de données (répertoire de données). En principe, les répertoires élaborés pour le RGPD peuvent être repris et il suffirait, selon les cas, de les compléter (par exemple, les informations sur le pays en cas de transfert de données à l’étranger).

Dans le cadre de son obligation d’informer, l’entreprise doit également informer la personne concernée sur la récolte de données et - si ces dernières sont transférées à l’étranger - indiquer les pays vers lesquels les données ont été envoyées. Dans ce cas, la nouvelle loi sur la protection des données est considérée comme supérieure au RGPD.

Les exigences liées à la protection des données doivent être prises en considération dès le début (Privacy by Design). De même, il convient de définir et d’appliquer des paramètres de base respectant la protection des données (Privacy by Default). L’objectif est de limiter le traitement des données au minimum nécessaire.

Répertoire des activités liées au traitement des données

Une autre obligation de l’entreprise consiste Ă  crĂ©er et Ă  tenir un registre des activitĂ©s liĂ©es au traitement des donnĂ©es. La nouvelle loi sur la protection des donnĂ©es stipule que tant le responsable du traitement que l’exĂ©cuteur doivent tenir un registre de leurs activitĂ©s de traitement. Une rĂ©ponse Ă  la question de savoir si cette obligation, telle que mentionnĂ©e dans la loi, est en principe applicable Ă  toutes les entreprises ou si des exceptions sont dĂ©finies (p.ex. pour les entreprises <250 collaborateurs) ne sera donnĂ©e que lorsque l’ordonnance correspondante de la loi sur la protection des donnĂ©es sera publiĂ©e. La crĂ©ation d’un tel rĂ©pertoire peut prendre beaucoup de temps Ă©tant donnĂ© que tous les traitements de donnĂ©es personnelles dans l’entreprise doivent ĂŞtre connus et systĂ©matiquement enregistrĂ©s. 

Procédé en cas de violation de la protection des données

En cas de violation de la protection des données, le PFPDT et la personne concernée doivent être informés.

Compte tenu de l’obligation de signaler les violations de la protection des données ou de pouvoir répondre rapidement aux demandes des personnes concernées en cas de perte, de vol ou d’utilisation abusive de données à caractère personnel, des processus internes doivent être définis. Ces processus devraient permettre de déterminer clairement, en fonction du type d’incident, qui doit prendre les mesures nécessaires et dans quel délai. Dans ce contexte, nous recommandons d’établir des listes de contrôle claires et simples.

VĂ©rifier les contrats

De plus, et jusqu’à ce que la nouvelle loi entre en vigueur, nous recommandons de vérifier les contrats avec les clients, les fournisseurs et les prestataires de services ainsi que les collaborateurs, en tenant compte des dispositions de la nouvelle loi sur la protection des données et de les adapter si nécessaire.

Élaborer ou adapter la déclaration de confidentialité

La loi révisée sur la protection des données met également l’accent sur la transparence et l’information dans le cadre du traitement des données. Outre l’obligation d’informer dans le cadre de la récolte de données, l’entreprise est obligée d’informer les personnes concernées sur les différents aspects du traitement des données. C’est pourquoi, en vue de l’entrée en vigueur de la loi révisée sur la protection des données, il s’agit soit d’élaborer une déclaration de protection des données ou de vérifier les déclarations de protection des données existantes quant à leur conformité avec la nouvelle législation.

Au sein de l’entreprise, il est important que tous les collaborateurs soient informés en conséquent. Cela s’applique en particulier à ceux qui traitent régulièrement des données personnelles.

Voici un bref résumé de quelques mesures fondamentales. Il ne s’agit pas d’une liste exhaustive des mesures nécessaires.

  • Tenez compte de la protection des donnĂ©es dès le stade du dĂ©veloppement des nouvelles technologies et rĂ©duisez au minimum le traitement des donnĂ©es personnelles.
  • Élaborez une dĂ©claration de protection des donnĂ©es ou vĂ©rifiez la conformitĂ© des dĂ©clarations de protection des donnĂ©es existantes avec la nouvelle loi sur la protection des donnĂ©es.
  • Si vous procĂ©dez Ă  un traitement de donnĂ©es prĂ©sentant un risque Ă©levĂ© pour la personnalitĂ© ou les droits fondamentaux des personnes concernĂ©es, Ă©laborez et appliquez un processus d’analyse des consĂ©quences sur la protection des donnĂ©es.
  • Si dans votre entreprise il existe dĂ©jĂ  un système d’évaluation des consĂ©quences sur la protection des donnĂ©es, nous vous recommandons de dĂ©signer un dĂ©lĂ©guĂ© Ă  la protection des donnĂ©es.
  • Nous recommandons de dĂ©finir un processus de notification des violations de donnĂ©es. Ceci notamment dans le contexte des sanctions associĂ©es.
  • Documentez toutes les mesures prises pour satisfaire les exigences de diligence. Ceci Ă©galement en raison d’amendes possibles en cas de non-respect de cette obligation.

Enfin, il convient de noter que les entreprises doivent s’assurer que la sécurité de leurs systèmes et logiciels informatiques répond aux exigences de la nouvelle loi. Il s’agit notamment de mesures techniques et organisationnelles visant à prévenir les cyberattaques, le vol de données, etc.

Pour toute question, Claudio Haufgartner, chef de secteur, Politique patronale, se tient volontiers Ă  la disposition des entreprises membres de Swissmem (c.haufgartnernoSpam@swissmem.ch).

Cet article vaut-il la peine d'ĂŞtre lu?

Manifestations et offres de formation

Nos services Ă  propos de ce sujet

Service juridique pour PME

Swissmem propose un conseil juridique compétent et pragmatique pour les entreprises.

En savoir plus

Pour les entreprises membres

Nos offres de formation exclusives donnent à nos entreprises membres accès aux connaissances…

En savoir plus

Law + more

Conseils en matière de droit du travail et accompagnement de toutes les entreprises au sein et en…

En savoir plus

Ces articles peuvent vous intéresser

Dernière mise à jour: 07.06.2021