Loi sur la protection des données Où y a-t-il nécessité d’agir?

La révision de la loi sur la protection des données entrera en vigueur à l’automne 2023. Elle contient des modifications importantes qui mènent à un renforcement des dispositions en vigueur.

La révision de la loi sur la protection des données entrera en vigueur à l’automne 2023. Elle contient des modifications importantes qui mènent à un renforcement des dispositions en vigueur. Il reste encore assez de temps pour les entreprises de construction de s’adapter aux modifications.

Trois scènes quotidiennes dans une entreprise de construction: ä la recherche d’un nouveau spécialiste, une entreprise fait son choix tout en conservant le dossier de candidature d’un autre candidat bien qualifié, au cas où elle souhaiterait réembaucher un autre spécialiste. En outre, une célébration d’anniversaire de l’entreprise est imminente et les responsables souhaitent envoyer une invitation aux clients, y compris à Monsieur Meier, qui a remis hier une carte de visite à l’un des responsables. Dans le même temps, un collaborateur sortant demande que toutes les photos qui ont été prises de lui lors d’événements d’entreprise soient effacées.

Ici et dans d’innombrables autres cas, des données personnelles sont traitées. Mais à quoi faut-il veiller et mettre en œuvre d’ici l’entrée en vigueur le 1er septembre 2023 de la loi sur la protection des données (nLPD) entièrement révisée? La révision de la loi sur la protection des données comporte trois changements majeurs, notamment:

  • un niveau supérieur de protection des données,
  • une auto-détermination plus forte des personnes concernées, et
  • plus de responsabilité pour les gestionnaires de données.

La révision de la loi sur la protection des données vise à tenir compte de l’évolution des conditions technologiques et sociales. En alignant la nouvelle loi sur la protection des données sur les règles européennes en matière de protection des données, l’objectif est de garantir que la Suisse continue d’être reconnue comme un pays tiers disposant d’un niveau adéquat de protection des données et qu’un transfert aisé de données entre la Suisse et l’UE reste possible à l’avenir.

Le service juridique de la SSE apportera un soutien ponctuel à ses membres dans la mise en œuvre et commencera pour l’instant par la sensibilisation au droit à la protection des données par des questions et des réponses fondamentales sur la nLPD.

Quels sont les changements les plus importants de la nLPD pour les entreprises de construction?

  • Seules les données de personnes physiques sont désormais protégées par la nLPD.
  • Les principes «Privacy by Design» (protection des données par la technique) et «Privacy by Default» (protection des données par défaut) sont introduits.
  • L’obligation d’information est étendue. Les personnes concernées doivent être informées au préalable du traitement de leurs données.
  • Le droit à l’information des personnes concernées est étendu.
  • Un inventaire des activités de traitement devient obligatoire, sauf pour les entreprises de moins de 250 collaborateurs/trices et dont le traitement des données comporte un faible risque d’atteinte à la personnalité des personnes concernées.
  • En cas de violation de la sécurité des données, une annonce doit être adressée au préposé fédéral à la protection des données et à la transparence (PFPDT).
  • En cas de non-respect délibéré des obligations d’information, de renseignement et d’annonce, en cas de violation des devoirs de diligence et du secret professionnel et en cas de non-respect des décisions du PFPDT, des amendes pour les personnes privées sont désormais encourues. Des amendes peuvent être infligées aux entreprises également.

Liste de contrôle pour les PME: Comment procéder?

    1. Se procurer une vue d’ensemble: En particulier, en ce qui concerne la nouvelle obligation d’information et l’extension de l’obligation de renseigner, les entrepreneurs doivent savoir quelles données personnelles sont traitées, où ou par qui ils les ont reçues et où elles sont stockées. Cela aidera à répondre à une demande de renseignements ou d’effacement d’une personne. Une entreprise doit également savoir à qui et comment elle accorde l’accès à ces données et si oui, à qui elle les communique. Dans l’idéal, il est défini quand archiver et supprimer ces données.
    2. Connaître ses propres risques: Trop de personnes ont-elles accès aux données protégées? Quels sont les risques au sein de l’entreprise, tels que la perte de données personnelles ou l’utilisation abusive de données personnelles sensibles? Si une entreprise ne sait pas quelles données elle détient à quel endroit, elle ne peut pas fournir de renseignements complets lorsqu’une personne concernée la contacte.
    3. Minimiser les risques: Quelles sont les mesures les plus efficaces pour éliminer les points faibles identifiés? Il est possible d’implémenter un concept d’autorisations et de rôles qui définit qui a accès à quelles données et qui peut les traiter de quelle manière. Il peut s’avérer nécessaire de formuler des instructions d’action à l’intention des collaborateurs/trics lorsqu’ils/elles utilisent leurs appareils personnels pour des travaux ou que l’entreprise les équipe en appareils d’entreprise. Une entreprise peut également introduire un répertoire de traitement simple et élaborer des procédures pour répondre rapidement aux demandes des personnes concernées ou instaurer une procédure de signalement des violations de la protection des données. Il peut être utile de clarifier les droits, obligations et risques par contrat avec les partenaires IT.
    4. Sensibiliser et informer: Comment les collaborateurs et les membres de la direction sont-ils informés et instruits? L’introduction d’une directive sur la protection des données qui énonce les principes et les règles de conduite les plus importants peut créer une conception commune de la protection des données. En effet, quiconque connaît les risques peut plus facilement assumer les nouvelles mesures et processus.
    5. Informer: Les entreprises doivent clarifier comment elles souhaitent informer les personnes concernées de ce qu’il advient de leurs données et pourquoi. Une entreprise dispose peut-être déjà d’une déclaration de confidentialité qu’il convient de compléter éventuellement avec les informations suivantes: Qui est responsable de la protection des données? Dans quel but les données sont-elles collectées/traitées? À qui les données sont-elles communiquées? Où les données sont-elles exportées?

A propos de l'auteur

pic

Romina Dietsche

[email protected]

Partager l'article