+41 (0)22 552 55 65 info@barraudconsulting.com

Quelques paragraphes pour avoir une idée de base du « nouveau » GDPR et comprendre quand et comment le mettre en place.

Vous avez également reçu des dizaines et des dizaines de communications concernant le GDPR. Vous voulez vous adapter, mais ne savez pas par où commencer, car tout le monde raconte des choses différentes ?

Dans cet article, nous avons essayé de mettre de l’ordre dans la nouvelle législation et nous avons enquêté sur les points les plus importants.

Le règlement général sur la protection des données (GDPR) a été adopté en mai 2016 et les entreprises disposaient de deux ans pour s’adapter. Il prévoit la protection efficace des données à caractère personnel, en garantissant un niveau minimum de protection des données au niveau international. En outre, essayer de donner un ordre minimum aux différentes réglementations nationales, chaque pays étant libre d’adopter des règles plus strictes.

Essayons d’analyser certains des principaux aspects qui distinguent le GDPR 

Pour comprendre comment et s’il est nécessaire d’apporter des modifications pour s’adapter au RGPD, la première étape consiste à savoir quelles données à caractère personnel vous traitez et dans quelle situation (dans le jargon technique, nous parlons du registre de traitement).

Afin de procéder à cette étape, que personne ne peut faire pour vous, il est d’abord nécessaire de comprendre ce que l’on entend par données personnelles. La définition légale, assez simple, laisse place à de nombreuses interprétations. Elle reconnaît les données personnelles comme

« des informations qui identifient ou le rendent identifiable, directement ou indirectement, une personne physique et qui peuvent fournir des informations sur ses caractéristiques, ses habitudes, son mode de vie, ses relations personnelles, son statut, la santé, sa situation économique, etc. « 

Pour traiter des données à caractère personnel de tiers, une raison justifiée est requise. Le principal changement apporté par le RGPD dans ce domaine est que cette raison doit être expliquée à la personne concernée et que celle-ci doit être consciente du fait qu’elles ont été collectées ou qu’elles peuvent être collectées.

Chaque citoyen a toute une série de droits, y compris le droit d’accès et le droit à être oublié. Dans le premier cas, l’intéressé a le droit d’obtenir du responsable du traitement la confirmation qu’il existe un traitement en cours de données à caractère personnel concernant sa personne, afin de connaître : les finalités du traitement de ces données, les catégories de données personnelles en question, les destinataires ou les catégories de destinataires auxquels les données personnelles seront communiquées, etc. Dans le second cas, toutefois, la personne concernée a le droit d’obtenir du responsable du traitement la suppression des données à caractère personnel la concernant sans retard injustifié, ce qui oblige le responsable du traitement à supprimer les données pertinentes.

Les données personnelles doivent être protégées par des mesures de sécurité appropriées (de nature technique et organisationnelle), soumises à des ajustements continus. Le cryptage des données est fortement recommandé.

Avec le RGPD, les principes de « confidentialité par conception » et de « confidentialité par défaut » ont été formalisés. Dans le premier cas, nous parlons de l’introduction d’un système de gestion de données à caractère personnel à partir de la conception d’un service ou d’un produit impliquant une collecte de données à caractère personnel. Dans le second cas, le responsable du traitement doit adopter des mesures techniques et organisationnelles appropriées pour garantir que seules les données à caractère personnel nécessaires à chaque finalité du traitement soient traitées. En substance, la confidentialité doit toujours être garantie par défaut.

Le chiffre du délégué à la protection des données (DPO) en Suisse n’est pas obligatoire, car il n’existe pas de conditions minimales pour être un DPO, ce qui n’est cependant pas recommandé aux entreprises de plus de 40 à 50 employés ou systématique et continue les données à caractère sensible (par exemple concernant la santé) de nombreuses personnes ayant un DPO possédant les compétences nécessaires. Les entreprises peuvent décider de faire appel à leur propre délégué à la protection des données en tant que consultant externe, auquel il faut garantir du temps pour leur travail.

Le DPD doit avoir l’indépendance nécessaire : il n’est absolument pas recommandé que le propriétaire d’une entreprise ou plutôt un analyste de systèmes soit simultanément le DPD. En outre, le DPD doit pouvoir effectuer des audits de manière indépendante (évaluations indépendantes pour obtenir des éléments de preuve) et pouvoir imposer des modifications.

La législation sur les RPGD est un processus continu qui exige périodiquement un réexamen des règles de sécurité et une analyse continue de l’accès aux données ou du moment précis de l’accès et des raisons pour lesquelles ces données ont été utilisées.

La formation du personnel joue un rôle central : quiconque a accès aux données à caractère personnel doit suivre régulièrement des cours sur le traitement des données, dispensés par du personnel qualifié. De plus, il sera opportun de réaliser (ou d’avoir effectué) ces formations au moins une fois par an.

En cas de violation (violation de données), le GDPR prévoit la nouvelle obligation de signaler cette violation à l’autorité compétente dans un délai de 72 heures. Comme il arrive souvent en droit, cette obligation n’est pas absolue, mais dépend de cas individuels. Les sanctions peuvent être draconiennes, mais dépendront de la situation objective : ceux qui ont formé leur propre personnel, sont équipés d’un DPO et ont fait l’objet d’audits réguliers au sein de l’entreprise, seront traités très différemment de ceux qui n’ont rien fait, c’est récidiviste et cache la vérité de l’autorité.

Terminons par analyser la situation en Suisse à ce jour. L’adaptation de la norme suisse a été retardée parce que la règle, qui prévoyait une mise en œuvre beaucoup plus stricte que le minimum établi par le GDPR, a été rejetée par les Chambres fédérales. Un nouveau projet est prévu pour 2019, mais cela ne signifie pas que les entreprises suisses ne sont pas déjà tenues de se conformer au GDPR !

À cet égard, il est nécessaire de rappeler qu’une entreprise suisse doit se conformer à la réglementation si :

  • Elle a un bureau en Suisse, mais possède des succursales dans l’Union européenne
  • Elle a un bureau en Suisse, mais vend des produits et / ou des services aux citoyens européens.

le nouveau règlement sera également applicable aux entreprises suisses qui, en cas de violation, peuvent être sanctionnées jusqu’à 20 millions d’euros avec des pénalités correspondant à 4% de leur chiffre d’affaires mondial annuel

Nous sommes prêts à vous aider. Contactez-nous !