Sécurité de vos données et de vos systèmes TI

Sécurité TI et loi sur la protection des données

Votre entreprise est-elle prête pour la législation adaptée en matière de protection des données ?

Avec la nouvelle loi sur la protection des données, les entreprises sont encore plus tenues de protéger au mieux leurs données clients, employés, financières et autres données sensibles. 

Presque toutes les entreprises collectent et traitent des données qui sont concernées par la loi sur la protection des données. Il peut s'agir de l'inscription à la newsletter, du formulaire de contact ou de réservation de rendez-vous sur votre site web ou des données de facturation de vos clients dans votre système. Le 1er septembre 2023, la nouvelle loi sur la protection des données entrera en vigueur. Les documents suivants vous aideront à vous y préparer. 

 

Les principales directives

Avez-vous besoin d'une déclaration de protection des données pour votre site web ou pour les contrats avec vos clients ? Oui, car dès que vous traitez des données personnelles, vous avez un devoir d'information. En vue de la nouvelle loi, l'élaboration d'une déclaration de protection des données est donc une tâche principale.

Consultez par exemple notre déclaration de confidentialité. Cela vous donnera quelques idées sur la manière dont vous pourriez rédiger une déclaration de confidentialité adaptée à vos besoins.

Si vous définissez vos normes pour le traitement des données, cela vous aidera en interne, mais aussi en externe (demandes des autorités, procédures juridiques). Vous clarifiez ainsi des questions pertinentes telles que

  • Quelles données collectons-nous ?
  • Qui a accès à quelles données ?
  • Où les données doivent-elles être archivées ?
  • Quelles données ne peuvent être envoyées que sous forme cryptée ?

Tenir un registre des traitements de données afin de pouvoir suivre quelles catégories de données ont été traitées, quand, par qui et comment.

Vous trouverez plus d'informations à ce sujet dans la liste de contrôle "Liste des activités de traitement".

 

Données sensibles
Il existe un certain nombre de types de données qui sont particulièrement sensibles. Il s'agit notamment des données relatives à la santé, à la religion, aux poursuites pénales, à l'appartenance syndicale, à l'orientation sexuelle, aux données biométriques. Elles doivent faire l'objet d'une protection spécifique.
 

Quand les données doivent-elles être effacées ?
Les données personnelles qui ne sont plus nécessaires et pour lesquelles aucun motif légitime ne peut être prouvé doivent être supprimées par l'entreprise. Vous devez le prévoir dans vos processus.

Les personnes concernées (clients, utilisateurs de sites web) peuvent faire une demande d'information ou de suppression. Comme les délais sont courts, il est recommandé d'avoir un modèle à disposition.

Pour savoir quelles données vous devez fournir, consultez la "Liste de contrôle sur l'obligation de renseignement".

Il y a violation de la protection des données lorsque des données personnelles sont perdues, effacées, détruites ou modifiées de manière involontaire ou illicite ou lorsqu'elles sont divulguées ou rendues accessibles à des personnes non autorisées.

Il existe dans ce contexte des obligations de notification auxquelles il convient d'être préparé sur le plan organisationnel et technique. La violation de la sécurité des données doit être annoncée au Préposé fédéral à la protection des données et à la transparence (PFPDT).

Pour de nombreuses fonctions (envoi d'e-mails et de newsletters, logiciels dans le cloud, vidéoconférences, etc.), des services de tiers sont utilisés. La plupart de ces fournisseurs ont des serveurs en dehors de la Suisse.

Sur le site du Préposé fédéral à la protection des données, vous trouverez une liste des "pays tiers sûrs" qui ne posent pas de problème. Pour tous les autres, ainsi que pour les Etats-Unis, il faut des clauses contractuelles supplémentaires et spécifiques.

Faites contrôler votre infrastructure informatique. Où faut-il prendre des mesures supplémentaires en vue de la nouvelle loi sur la protection des données ? Mais n'oubliez pas : la technique seule ne suffira pas, le point faible en matière de cybercriminalité est souvent l'homme. C'est là que vous devez intervenir en informant et en prenant des mesures organisationnelles (p. ex. gestion des mots de passe).

 

Listes de contrôle

Les listes de contrôle résument les principales bases légales en matière de protection des données ainsi que les (nouvelles) obligations lors du traitement des données.
 

Devenez membre maintenant  Veuillez vous connecter

Informations complémentaires

www.fedlex.admin.ch
Loi fédérale sur la protection des données

www.kmu.admin.ch 
Portail fédéral pour les entreprises (terme de recherche "revDSG")

www.edoeb.admin.ch 
Site officiel du Préposé fédéral à la protection des données

www.economiesuisse.ch 
Guide pour les entreprises (terme de recherche "loi sur la protection des données")

 

Coin juridique du Carrossier sur la protection des données

Intéressé(e) par des informations exclusives sur la branche de la carrosserie et des serruriers sur véhicules?