Page d’accueil Connaissances Ressources humaines Droit du travail Nouvelle loi sur la protection des données : axez votre travail en fonction de vos plus grands risques !
Interlocuteur  Claudio Haufgartner Claudio Haufgartner
Chef de secteur
+41 44 384 42 26 +41 44 384 42 26 c.haufgartnernoSpam@swissmem.ch
Partager

Nouvelle loi sur la protection des données : axez votre travail en fonction de vos plus grands risques !

Le 1er septembre 2023, la nouvelle loi sur la protection des données entrera en vigueur en Suisse. Sans délai de transition. Quels sont les changements ? Que doivent absolument faire les entreprises jusqu’à cette date ? Nous avons demandé à notre expert en protection des données, Claudio Haufgartner.

À quoi devons-nous nous attendre avec la nouvelle loi sur la protection des données ?

Claudio Haufgartner : La révision de la loi a pour but d’adapter « l’ancienne » loi sur la protection des données aux nouvelles exigences du monde numérique pour faire en sorte que la protection des données corresponde au Règlement européen sur la protection des données (RGPD). Raison pour laquelle la révision s’est principalement axée sur ce dernier.

Qu’est-ce qui change exactement ?

Les changements concernent d’une part les champs d’application de la loi sur la protection des données. La loi révisée sur la protection des données se limite comme le RGPD à la protection des données des personnes physiques et non plus à la protection des données des personnes juridiques comme jusqu’à présent.

De plus, les entreprises ont d’autres devoirs d’information. Ce qui signifie que les entreprises doivent informer les personnes concernĂ©es de chaque acquisition de donnĂ©es.  Dans la loi actuelle sur la protection des donnĂ©es, cela n’est valable que pour les donnĂ©es personnelles sensibles. Les entreprises avec plus de 250 collaborateurs sont tenues de dresser une liste des activitĂ©s de traitement. Un tel rĂ©pertoire est judicieux du point de vue des rĂ©flexions en matière de Compliance et je le recommande aussi aux entreprises qui ne sont pas tenues de le faire par la loi. 

Pouvez-vous l’expliquer plus précisément ?

Les entreprises doivent pouvoir expliquer dans le dĂ©tail quelles donnĂ©es elles traitent, comment et oĂą elles le font et qui en a la responsabilitĂ©. On ne peut donc plus faire sans dĂ©clarations de confidentialitĂ©. En fonction de la situation, il peut ĂŞtre judicieux de rĂ©diger des dĂ©clarations de confidentialitĂ© pour diverses catĂ©gories de personnes (candidats, clients, fournisseurs, etc.) qui ont aussi un autre besoin d’informations. 

Cela implique un investissement de temps ?

Oui, cela implique un certain investissement de base. Je recommande de rĂ©flĂ©chir dès maintenant aux Ă©tapes nĂ©cessaires d’ici Ă  l’entrĂ©e en vigueur.  Mais il faut aussi rester pragmatique. C’est pourquoi je recommande de se poser la question suivante : oĂą avons-nous les plus grands risques ? Et ce, aussi en vue des dispositions pĂ©nales qui ont Ă©tĂ© redĂ©finies.

Vous avez des questions sur la loi sur la protection des données ? Nous pourrons certainement en clarifier beaucoup dans notre webinaire du 30 mars 2023. Nous sommes aussi à la disposition des entreprises membres de Swissmem pour leurs questions personnelles.

Et si une panne de données a quand même lieu ?

Si on constate une violation de la sĂ©curitĂ© des donnĂ©es dans le sens d’une perte non-intentionnelle ou illicite, d’une suppression ou d’une destruction, etc. des donnĂ©es personnelles, il faut dorĂ©navant le dĂ©clarer au plus vite au PrĂ©posĂ© fĂ©dĂ©ral Ă  la protection des donnĂ©es et Ă  la transparence  (PFPDT).  C’est pourquoi il est Ă  mon avis important de dĂ©finir clairement qui a accès Ă  quelles donnĂ©es et de limiter au strict minimum l’accès aux donnĂ©es personnelles sensibles afin de minimiser les risques d’une violation de la protection de donnĂ©es. 

Avez-vous d’autres recommandations ?

La dĂ©claration de confidentialitĂ© et le rĂ©pertoire du traitement des donnĂ©es constituent une grande partie du travail de fond. Que peut-on encore faire ? RĂ©visez vos contrats avec les gestionnaires de mandat (par ex. partenaire de payrolling externe) et adaptez-les le cas Ă©chĂ©ant. Il faut absolument tenir compte de la protection des donnĂ©es dès la conception (privacy by design) et de la protection des donnĂ©es par dĂ©faut dans la planification, la conception et l’introduction de nouveaux outils numĂ©riques (par ex. applications).

Et pour terminer : les collaborateurs doivent être formés à la politique de confidentialité des données. C’est en premier lieu valable pour le service du personnel, l’informatique, ainsi que pour d’autres collaborateurs qui ont quelque chose à voir avec les données des clients ou des fournisseurs.

Cet article vaut-il la peine d'ĂŞtre lu?

Dernière mise à jour: 16.01.2023