Le RGPD et votre entreprise : déjà une obligation dans certains cas

COMMENT FRACTAL-SWISS SA PEUT VOUS AIDER ?

Vous avez sans doute entendu parler de la RGPD et de la LPD. Que recouvrent ces deux acronymes et quelles obligations imposent-elles à une entreprise suisse ?

Le Règlement général sur la protection des données (RGPD, en anglais GDPR) est le nouveau cadre juridique de l’Union européenne et de l’Espace Économique Européen qui gouverne la collecte et le traitement des données à caractère personnel des utilisateurs (UE 2016/679) depuis le 25 mai 2018. Il concerne les entreprises suisses qui recueillent de telles données de personnes membres de l’Union Européenne. Par exemple les hôtels, les banques, les médecins, les fiduciaires, les sociétés avec des clients en UE.

DSC_1202_7

Vos données clients sont-elles bien protégées?

La LPD RS 235.1 est la loi suisse de 1992 qui vise à protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données par des personnes privées et des organes fédéraux. Elle est jugée dépassée et est en révision pour s’aligner avec la RGPD afin d’être en conformité avec l’UE dans le cadre de poursuites pénales notamment et de se rapprocher des exigences « Schengen » du règlement UE 2016/679.  Une loi intermédiaire (LPDS) est en vigueur depuis le 1.3.19, mais ne s’applique pas aux entreprises. Un projet de loi du 28.9.2018 a été déposé pour modifier la LPD.  Toutes les sociétés suisses devront s’y conformer.

Si vous avez des prospects ou des clients en UE, la RGPD peut s’appliquer à vos activités. Si vous avez un site Web collectant certaines données aussi. Si vous êtes sous-traitants d’une entreprise EU qui collecte des données aussi dans certains cas. Et la future LPD s’appliquera également.

Notamment le but du traitement des données sensibles recueillies doit être connue de la personne les déposant. Le saviez-vous ? En tant que « maître du fichier » vous avez des obligations à respecter et à faire savoir que vous les respectez !

Nous pouvons évaluer rapidement si votre entreprise est soumise à la RGPD et vous accompagner pour mettre en place les procédures nécessaires.

Le portail intranet FRACTAL que nous proposons pour améliorer votre organisation et le partage de l’information dans votre entreprise peut en outre vous simplifier la tâche.  

En complément

  • Qu’est-ce que le RGPD ?

L’acronyme RGPD signifie « Règlement Général sur la Protection des Données » (en anglais « General Data Protection Regulation » ou GDPR). Le RGPD encadre le traitement des données personnelles de résidents sur le territoire de l’Union européenne directement ou via des sous-traitants.

  • Le RGPD s'applique-t-il aux entreprises suisses ?

Oui dès l'instant qu'elles traitent des données personnelles de résidents de l'UE ou qu'elles assurent le stockage de données sensibles par exemple sur un site internet de prospection ou de clientèle. Si vous êtes certifié ISO 27001, le RGPD est pratiquement rempli. FRACTAL-SWISS SA vous accompagne avec plaisir vers la certification ISO 27001.

  • Qu’est-ce qu’une donnée sensible ?

Ce sont les données « sensibles du point de vue des libertés et des droits fondamentaux ». Leur traitement est interdit sauf exceptions.

Selon la directive « le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits. »

  • Le RGDP ne traite que de données sensibles ?

Non, le RGPD impose des manières de gérer l’information des données personnelles du point de vue de : l’objectif du traitement, la transparence, et la sécurité. Ce sont avant tout ces points que nous analysons avec vous dans le cas de votre entreprise et nous vous accompagnons pour mettre les procédures et registres nécessaires en place.

  • Avez-vous un DPO/DPD ?

Nous pouvons recevoir aussi une mission de délégation de la fonction de délégué à la protection des données.

  • Qu’est-ce qu’une AIPD ?

L’AIPD est l’acronyme de : analyse d’impact relative à la protection des données. C’est un outil important pour la responsabilisation des organismes : elle les aide non seulement à construire des traitements de données respectueux de la vie privée, mais aussi à démontrer leur conformité au Règlement général sur la protection des données (RGPD). Elle est obligatoire pour les traitements susceptibles d’engendrer des risques élevés.

  • L'AIPD se décompose en trois parties :
  1. Une description détaillée du traitement mis en œuvre, comprenant tant les aspects techniques qu’opérationnels
  2. L’évaluation, de nature plus juridique, de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux (finalité, données et durées de conservation, information et droits des personnes, etc.) non négociables, qui sont fixés par la loi et doivent être respectés, quels que soient les risques ;
  3. L’étude, de nature plus technique, des risques sur la sécurité des données (confidentialité, intégrité et disponibilité) ainsi que leurs impacts potentiels sur la vie privée, qui permet de déterminer les mesures techniques et organisationnelles nécessaires pour protéger les données.

On notera qu’analyse d’impact relative à la protection des données, AIPD (Data Protection Impact Assessment, terme retenu dans le RGPD) et PIA (Privacy Impact Assessment, terme plus commun utilisé dans d’autres régions du monde) sont synonymes.

Jean-Christophe Hadorn

Jean-Christophe Hadorn

Date de la mise en ligne :

mai 10, 2020