5 minute read
« M ême un respect partiel de la loi peut éviter de gros ennuis »
PROPOS RECUEILLIS PAR JEAN-FRANÇOIS KRÄHENBÜHL JEAN-FRANCOIS.KRAHENBUHL@CVCI.CH
Qui est concerné par l’application de cette nouvelle LPD ?
Dans le secteur privé, toute entreprise ou personne physique qui collecte, utilise, communique à d’autres personnes, accède à des données personnelles concernant des êtres humains. Dès lors que toute personne morale ou entreprise individuelle traite des données personnelles concernant ses clients ou employés, la LPD s’appliquera inévitablement à ses activités. En revanche, toutes les obligations prévues dans la loi ne seront pas applicables, et surtout elles ne seront pas toutes applicables de la même manière, avec la même étendue et le même niveau d’exigence.
Quels sont les principes/éléments essentiels qui s’appliqueront dès le 1er septembre prochain ?
Tout d’abord, des principes devront être respectés. Chaque traitement de données doit être réalisé en vue d’attendre un but déterminé à l’avance (principe de finalité), ce but et les moyens pour y parvenir devant d’ailleurs être légaux (principe de licéité). Seule la quantité minimale de données nécessaire pour atteindre le but peut être collectée puis utilisée – ce qui exclut la collecte de données « au cas où on en aurait besoin » –, et elles doivent être anonymisées ou détruites quand on n’en a plus besoin (principe de proportionnalité). Des informations minimales mais détaillées doivent être fournies aux personnes physiques au sujet desquelles on traite des données (principe de transparence). Les données inexactes ou qui ne sont plus à jour doivent être corrigées (principe d’exactitude) et chaque traitement doit faire l’objet de mesures de sécurité adaptées aux risques (principe de sécurité).
La question des risques est centrale dans la LPD. Chaque traitement doit faire l’objet d’une analyse de risques afin de déterminer si des menaces planent sur les individus et leurs droits, si des vulnérabilités existent (dans des outils informatiques, dans des processus, etc.). C’est sur la base d’analyses de risques que les mesures de sécurité pourront être déterminées et devront être mises en œuvre. Cette analyse de risques pourra mener à une analyse d’impact si le risque s’avère élevé ; cette analyse d’impact n’est finalement qu’une analyse de risques aux stéroïdes et dont le contenu est défini dans la loi.
Si des violations de la sécurité se produisent, elles devront être annoncées au Préposé fédéral à la protection des données et à la transparence (PFPDT), voire aux personnes dont les données sont touchées par la violation. Les fuites ou vols de données devront donc, en principe, être annoncés.
Enfin, il ne faut pas oublier que les individus ont des droits (fondamentaux) que la LPD a pour but de protéger, et qu’elle concrétise sous la forme de prétentions qu’ils peuvent faire valoir directement contre l’entreprise, ou au moyen de procédures devant les tribunaux civils. Le plus connu de ces droits est celui qui permet d’exiger une copie complète de toutes les données détenues par l’entreprise et ses sous-traitants.
Quelles sont les mesures prioritaires à mettre en œuvre pour une entreprise ? Tout d’abord, un travail d’introspection est nécessaire. L’entreprise doit savoir quelles données personnelles elle détient, dans quels buts elle les utilise, où elles se trouvent, qui y a accès et pourquoi, à qui elles sont transmises et vers quels pays et quelles sont les mesures de sécurité actuellement en vigueur.
Ce travail permettra de créer un registre des traitements, si l’entreprise est soumise à cette obligation, ou de documenter ses pratiques de manière générale sous une autre forme. Ensuite, un accent particulier devra être mis sur deux aspects juridiques : l ’obligation d’information des individus, et la mise à jour des contrats avec des partenaires et sous-traitants. En parallèle, une réflexion doit être menée sur les aspects relatifs à la sécurité. Que peuvent faire les entreprises pour réduire/minimiser les risques ? Il est important de former et sensibiliser les employés à la sécurité (l’être humain est souvent source d’erreurs, mais il peut aussi être le dernier rempart contre une menace qui parviendrait à vaincre tous les obstacles techniques). Aussi, dans chaque projet, les exigences relatives à la protection des données – en particulier les principes – doivent être analysées et appliquées. En effet, il est moins coûteux de faire juste tout de suite que de corriger ce qui doit l’être plus tard. La direction de l’entreprise doit donner des instructions claires et prendre ses responsabilités. Certes, financièrement le retour d’investissement est nul en protection des données et il ne faut pas croire qu’elle constitue un argument marketing, mais il faut la considérer comme un coût d’opportunité. Face aux menaces criminelles, aux erreurs humaines possibles, aux sanctions pénales ainsi qu’aux mesures que le PFPDT peut imposer aux entreprises, ces dernières doivent prendre conscience que même un respect partiel de la loi peut leur éviter de gros ennuis.
François Charlet, Chief Privacy & Data Protection Officer chez Vaudoise Assurances
Formations Securetude
SECURETUDE organise des formations reconnues par le SECO, l’OFSP et l’AEAI :
• dès le 03.07.2023 SAN-SN2 IAS 02.23 –Secouriste d’entreprise N°2, 3 jours
• le 05.07.2023 SAN-SN2 IAS R 02.23 –Recyclage Secouriste d’entreprise N°2
03.07.2023
Bex
T. 024 466 52 57 www.securetude.com info@securetude.com
Ensa Premiers Secours En Sant Mentale
ensa organise à la CVCI, une formation d’une journée sur « L a santé mentale en entreprise : dialogue sur les premiers secours en santé mentale en entreprise » p our apprendre à être attentif à la santé de vos collègues, à identifier des changements à une stade précoce et à réagir.
07.07.2023
CVCI
T. 076 267 64 04 www.ensa.swiss willema@willemagirardvoice.com
Score Management
SCORE Management organise à la CVCI deux sessions de deux journées de formation sur les techniques de vente pour apprendre à vendre mieux et plus.
24.08.2023 & 06.09.2023
15.11.2023 & 29.11.2023
CVCI
T. 078 655 62 30 www.score-management.ch
Eric Bertin eric@score-management.ch
Institut Ariaq
L’Institut Ariaq organise, à Yverdon-lesBains, des formations reconnues par le SECO, l’OFSP et l’AEAI :
• d ès le 29.08.2023 Contrôleur qualité TQ1, 12 jours
• dès le 06.092023 Chef de projet Six Sigma – Black Belt (Passerelle), 10 jours
• dès le 07.09.2023 Responsable systèmes de management intégrés (SMI) – TQ3, 22 jours
29.08.2023
Yverdon-les-Bains
T. 024 423 96 50 www.ariaq.ch natalia.darocha@ariaq.ch
Webinaires Hr Campus
HR Campus organise un webinaire sur « L a solution Payroll suisse basée sur le cloud » Vous apprendrez comment moderniser rapidement et à moindre coût votre comptabilité salariale.
06.07.2023
T. 079 459 87 14 www.hr-campus.ch patrick.zwahlen@hr-campus.ch
BIOPERF.BIZ
Bioperf.biz vous propose trois webinaires pour développer une trajectoire nature-positive.
• le 28.08.2023 Un élan mondial
• l e 29.08.2023 Des outils concrets et applicables
• le 01.09.2023 Des actions pour toutes les entreprises
28-29.08.2023 & 01.09.2023
T. 079 810 72 44 www.bioperf.biz
Olivier Schär contact@bioperf.biz
IMPRESSUM
Editeur
Chambre vaudoise du commerce et de l’industrie (CVCI), avenue d’Ouchy 47, CP 315, 1001 Lausanne
T. 021 613 35 35 cvci@cvci.ch, www.cvci.ch
Rédaction
Zuzanna Adamczewska-Bolle, Laurine Chiarini, Dara Eap, Jean-François Krähenbühl, Romaine Nidegger, Fanny Oberson, Mathieu Piguet et Patrick Zurn.
Gervaise Defago (rédactrice responsable)
Conception
BuxumLunic, avenue Charles Dickens 6, 1006 Lausanne, www.buxumlunic.ch
Imprimeur
Sprint votre imprimeur SA
Acquisition de partenaires
Urbanic Régie publicitaire, avenue Edouard Dapples 54, 1006 Lausanne, T. 079 278 05 94, info@urbanic.ch
Tirage
4500 exemplaires
Parution
Six fois par année
