Data Protection Company, le pilote de votre conformité
[wpcdt-countdown id= »9″]
La loi sur la protection des données (LPD) concerne toutes les entreprises suisses!
Avec la révision de la loi sur la protection des données (nLPD), des dispositions importantes seront modifiées à partir de 2023. Des règles plus strictes s’appliqueront au traitement des données personnelles.
L’impact de cette nouvelle loi peut être important pour votre entreprise. Les sanctions prévues sont importantes en effet, les contrevenants risquent une amende allant jusqu’à 250 000 francs.
L’objectif principal de cette loi est de renforcer la transparence et la protection des données personnelles des personnes concernées. Dans cette optique, les personnes privées bénéficieront des nouveaux droits suivants:
- le droit d’être informé du traitement de ses données personnelles (art. 25-27 nLPD);
- le droit à la remise ou à la transmission des données personnelles (portabilité des données) (art. 28 et 29 nLPD)
- le droit de ne pas faire l’objet d’une décision individuelle automatisée – c’est-à-dire une décision prise à l’égard d’une personne, par le biais d’algorithmes appliquée à ses données personnelles sans qu’aucun être humain n’intervienne dans le processus (art. 21 nLPD).
Les autres changements par rapport à la loi actuelle sont les suivants:
- Données personnelles: Cette notion est désormais réduite puisqu’elle ne comprend plus les données des personnes morales et exclut ces dernières du champ de protection de la LPD (art. 1 et art. 5, let. a nLPD).
- Données personnelles sensibles: Elles incluent désormais les données génétiques et biométriques (permettant une identification unique) (art. 5, let. c nLPD).
- Responsable du traitement: Il correspond au «maître du fichier» actuel et au «responsable du traitement» selon le RGPD. Il s’agit d’une personne privée (souvent une entreprise) ou d’un organe fédéral qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données personnelles (art. 5, let. j nLPD).
- Extraterritorialité: Extension du champ d’application de la nLPD aux états de fait qui se produisent à l’étranger et qui déploient des effets en Suisse (art. 3, al. 1 nLPD).
- Nomination d’un représentant en Suisse pour des entreprises étrangères: Cette obligation s’applique lorsqu’un responsable du traitement privé a son siège ou son domicile à l’étranger et que celui-ci effectue un traitement de données personnelles concernant des personnes en Suisse et que d’autres conditions sont remplies (art. 14 f. nLPD).
Par ailleurs, notons que votre entreprise doit potentiellement aussi être en conformité avec le règlement européen de protection des données appelé GDPR pour « General Data Protection Regulation » (ou RGPD pour « Règlement Général sur la Protection des Données » en français).
Les entreprises étrangères sont aussi concernées
Etant donné que la nLPD est une loi suisse, vous pourriez en conclure que les entreprises étrangères ne sont pas concernées. Mais cette conclusion serait fausse.
La nLPD sera non seulement applicable aux entreprises basées Suisse, mais aussi aux entreprises basées en Union Européenne, dans la mesure où elles traitent les données personnelles de résidents Suisse concernés :
- pour leurs offres de biens et de services en Suisse;
- pour le suivi du comportement des personnes concernées en Suisse.
Plus généralement, l’extension du champ d’application de la nouvelle loi suisse sur la protection des données (nLPD) s’appliquent aux états de fait qui se produisent à l’étranger et qui déploient des effets en Suisse (art. 3, al. 1 nLPD).
Sanctions
L’impact de ce nouveau règlement peut être important pour votre entreprise. Les sanctions prévues sont importantes en effet, les contrevenants risquent une amende allant jusqu’à 250 000 francs. Contrairement au RGPD, les sanctions prévues par la nLPD ne sont pas dirigées contre l’entreprise fautive, mais contre la personne physique en charge de la protection des données (directeur ou membre du conseil d’administration, par exemple).
Seul un comportement (pouvant être) intentionnel est sanctionné (art. 60 ss. nLPD), toutefois si par exemple aucune disposition n’est prise concernant les devoirs d’informer, les demandes de renseignements, les mesures techniques et organisationnelles ainsi que les transferts de données internationaux, il sera considéré que l’agissement est intentionnel ou du moins que l’entreprise s’accommode de violations de la loi, et des sanctions sont prononçables.
Pourquoi choisir DPC Data Protection Company ?
- Parce que nous sommes la 1ère agence en Suisse Romande créée pour vous accompagner dans votre mise en conformité LPD/nLPD/ GDPR.
- Parce que notre entreprise réunit en une seule entité, des compétences technologiques, organisationnelles et juridiques nécessaires à cette conformité
- Parce que nous sommes une PME suisse et nous aimons travailler avec des PMEs
- Parce que notre approche met au centre votre activité propre ainsi que vos clients
Un accompagnement personnalisé
Data Protection Company vous accompagne à toutes les étapes de mise en conformité :
- Nous faisons une cartographie de vos flux d’information
- Nous analysons vos traitements ainsi que les écarts au regard de la loi en adoptant une démarche de Risk Management par priorité et par criticité
- Nous contrôlons vos sous-traitants, analysons les risques et pouvons établir de nouveaux contrats,
- Nous sensibilisons et formons votre personnel,
- Nous préparons l’ensemble des documents relatifs à votre conformité (Privacy Policy, Data Breach Notification, Charte informatique, Access / Deletetion / Restriction / Portability Request….)
- Nous pouvons être votre DPO externe ou accompagner le vôtre.
- Nous procédons à des Analyses d’Impact (DPIA),
- Nous faisons votre revue annuelle de processus
- Nous pilotons votre mise en conformité,
- Etc.
Nouvelle LPD – Les 10 points clés
- Elle ne s’applique plus aux données des personnes morales. Elle couvre uniquement la protection des données à caractère personnel des individus ou personnes physiques.
- Les données personnelles sensibles intègrent désormais les données génétiques et biométriques (empreintes digitales, ADN, etc.) en plus de l’appartenance syndicale, la santé, les opinions politiques, etc.
- Le « Privacy by Design » (protection des données dès la conception) et le « Privacy by Default » (protection des données par défaut) font partie intégrantes de la loi
- Un conseiller à la protection des données pourra être désigné par une entreprise privée.
- Obligation de faire une analyse d’impact préalable si un traitement de données est susceptible d’engendrer un risque notable pour les droits fondamentaux et de la personnalité des utilisateurs.
- Renforcement de l’obligation d’informer, dans un objectif de transparence et non plus seulement concernant les données sensibles.
- Obligation de tenir un registre de traitement (exemption pour les PME de moins de 250 salariés pour lesquelles le traitement ne présente pas de risque élevé d’atteinte à la personnalité ou aux droits fondamentaux)
- Obligation d’une annonce rapide au PFPDT en cas de violation de la sécurité des données.
- Introduction du concept de profilage. Il se rapporte au traitement automatisé de données personnelles.
- Amende maximale de 250 000 francs suisses en cas de non-respect intentionnel du devoir d’informer, de renseigner ou d’annoncer, et de violation du devoir de diligence ou de discrétion.