La protection des données
Quels effets la loi a-t-elle sur les entreprises?
6 février 2023 agvs-upsa.ch – La nouvelle loi sur la protection des données vise à faire en sorte que les entreprises prennent conscience de leurs responsabilités et traitent les données avec soin. Cornelia Stengel, directrice de l’Association Suisse des Sociétés de Leasing, recommande aux entreprises de faire un état des lieux et d’aborder le sujet sans tarder.
Source: Istock
kro. Madame Stengel, la nouvelle loi sur la protection des données entrera en vigueur dans huit mois. Le temps qu’il reste d’ici là est-il suffisant pour une préparation sérieuse si l’entreprise n’a encore rien fait ?
Cornelia Stengel: Le temps qu’il reste sera suffisant pour la grande majorité des membres de l’UPSA s’ils abordent le sujet avec un certain sérieux, car dans la plupart des cas, il n’y a pas de situation complexe, le nombre de collaborateurs, de fournisseurs et de clients est limité et il est peu probable que des données particulièrement sensibles soient concernées. En outre, même ceux qui ne se sont pas encore penchés en détail sur la révision totale de la loi sur la protection des données peuvent souvent recourir à des structures existantes, car de nombreuses règles sont déjà en vigueur et nombre de données ont déjà été enregistrées par les partenaires commerciaux comme les importateurs, les sociétés de leasing, etc., avec les garagistes.
Comment une entreprise doit-elle se préparer, idéalement ? Quelles sont les premières étapes à franchir ?
L’élément le plus important pour se préparer à l’entrée en vigueur de la nouvelle loi est un état des lieux du traitement des données personnelles, qu’on pourrait appeler un « inventaire du traitement ». Celui-ci énumère en particulier les données personnelles qui sont collectées, enregistrées, modifiées, transmises, supprimées ou autrement traitées au sein de l’entreprise et à quelles fins. Un tel inventaire n’est pas obligatoire pour toutes les entreprises, mais il facilite l’évaluation des risques et la définition des mesures nécessaires. On peut s’appuyer dessus, par exemple, pour rédiger ou remanier une déclaration de protection des données. En outre, un tel inventaire indique avec quels tiers des contrats de traitement des mandats doivent éventuellement encore être conclus.
La nouvelle réglementation du traitement des données des clients peut-elle également nécessiter des mesures organisationnelles, c’est-à-dire des processus internes au sein d’une entreprise ?
Oui, le traitement des données des clients et d’autres données personnelles peut nécessiter des mesures organisationnelles au sein d’une entreprise, en particulier si la protection des données n’a pas été suffisamment prise en compte jusqu’à présent. Les mesures organisationnelles et techniques nécessaires pour garantir une protection adéquate des données dépendent fortement de la situation de l’entreprise. Parmi ces mesures, on peut citer la mise en place d’une infrastructure informatique ordonnée avec une conservation sûre des données et un contrôle des accès aux domaines où les données personnelles sont traitées.
Le mot d’ordre est le suivant : de l’apprenti au directeur, tous les collaborateurs doivent être sensibilisés au thème de la protection des données. Quelle est la meilleure façon de procéder ?
Un moyen de sensibiliser tous les collaborateurs au thème de la protection des données est d’organiser des formations et des ateliers comme ceux proposés par l’UPSA Business Academy. Les collaborateurs peuvent ainsi apprendre comment garantir la protection des données au sein de l’entreprise et quelles sont leurs responsabilités à cet égard. Il est également utile de leur fournir régulièrement des informations sur ce thème et d’attirer leur attention sur les évolutions et les changements actuels dans ce domaine. En outre, il peut être utile d’élaborer une politique de confidentialité et de veiller à ce que tous les collaborateurs la connaissent et s’y conforment. Un autre aspect important, si ce n’est le plus important, est que les dirigeants de l’entreprise considèrent la protection des données comme une question essentielle et qu’ils se comportent eux-mêmes de manière exemplaire. Si les cadres prennent le sujet au sérieux et respectent les prescriptions en vigueur, cela a également un impact sur les autres collaborateurs.
L’un des défis de la gestion des données est de savoir combien d’entre elles sont nécessaires. Comment une entreprise peut-elle le déterminer ?
Dans la législation sur la protection des données, le principe de proportionnalité, selon lequel seules les données personnelles nécessaires et permettant d’atteindre l’objectif prévu peuvent être traitées, s’applique. Cela doit être vérifié séparément et concrètement pour chaque activité de traitement et il convient de renoncer à la collecte ou au traitement de données inutiles. À titre d’exemple : souvent, seule une adresse e-mail est nécessaire pour l’envoi d’une newsletter. Il n’est pas nécessaire de collecter d’autres informations, telles que la civilité ou le nom, pour l’expédition, et il ne convient donc pas de collecter de telles données. Un autre aspect de cette question est la durée de conservation des données personnelles. Là aussi, la loi sur la protection des données exige que les données personnelles soient supprimées dès qu’elles ne sont plus nécessaires à la réalisation de l’objectif du traitement. Toutefois, ce devoir de suppression peut entrer en conflit avec d’autres nécessités, comme les obligations légales de conservation, notamment à des fins de preuve, ou d’autres intérêts privés prédominants. À cet égard, il pourrait être utile d’élaborer une directive sur la durée de conservation des données personnelles.
Cornelia Stengel, directrice de l’Association Suisse des Sociétés de Leasing
Source: Istock
kro. Madame Stengel, la nouvelle loi sur la protection des données entrera en vigueur dans huit mois. Le temps qu’il reste d’ici là est-il suffisant pour une préparation sérieuse si l’entreprise n’a encore rien fait ?
Cornelia Stengel: Le temps qu’il reste sera suffisant pour la grande majorité des membres de l’UPSA s’ils abordent le sujet avec un certain sérieux, car dans la plupart des cas, il n’y a pas de situation complexe, le nombre de collaborateurs, de fournisseurs et de clients est limité et il est peu probable que des données particulièrement sensibles soient concernées. En outre, même ceux qui ne se sont pas encore penchés en détail sur la révision totale de la loi sur la protection des données peuvent souvent recourir à des structures existantes, car de nombreuses règles sont déjà en vigueur et nombre de données ont déjà été enregistrées par les partenaires commerciaux comme les importateurs, les sociétés de leasing, etc., avec les garagistes.
Comment une entreprise doit-elle se préparer, idéalement ? Quelles sont les premières étapes à franchir ?
L’élément le plus important pour se préparer à l’entrée en vigueur de la nouvelle loi est un état des lieux du traitement des données personnelles, qu’on pourrait appeler un « inventaire du traitement ». Celui-ci énumère en particulier les données personnelles qui sont collectées, enregistrées, modifiées, transmises, supprimées ou autrement traitées au sein de l’entreprise et à quelles fins. Un tel inventaire n’est pas obligatoire pour toutes les entreprises, mais il facilite l’évaluation des risques et la définition des mesures nécessaires. On peut s’appuyer dessus, par exemple, pour rédiger ou remanier une déclaration de protection des données. En outre, un tel inventaire indique avec quels tiers des contrats de traitement des mandats doivent éventuellement encore être conclus.
La nouvelle réglementation du traitement des données des clients peut-elle également nécessiter des mesures organisationnelles, c’est-à-dire des processus internes au sein d’une entreprise ?
Oui, le traitement des données des clients et d’autres données personnelles peut nécessiter des mesures organisationnelles au sein d’une entreprise, en particulier si la protection des données n’a pas été suffisamment prise en compte jusqu’à présent. Les mesures organisationnelles et techniques nécessaires pour garantir une protection adéquate des données dépendent fortement de la situation de l’entreprise. Parmi ces mesures, on peut citer la mise en place d’une infrastructure informatique ordonnée avec une conservation sûre des données et un contrôle des accès aux domaines où les données personnelles sont traitées.
Le mot d’ordre est le suivant : de l’apprenti au directeur, tous les collaborateurs doivent être sensibilisés au thème de la protection des données. Quelle est la meilleure façon de procéder ?
Un moyen de sensibiliser tous les collaborateurs au thème de la protection des données est d’organiser des formations et des ateliers comme ceux proposés par l’UPSA Business Academy. Les collaborateurs peuvent ainsi apprendre comment garantir la protection des données au sein de l’entreprise et quelles sont leurs responsabilités à cet égard. Il est également utile de leur fournir régulièrement des informations sur ce thème et d’attirer leur attention sur les évolutions et les changements actuels dans ce domaine. En outre, il peut être utile d’élaborer une politique de confidentialité et de veiller à ce que tous les collaborateurs la connaissent et s’y conforment. Un autre aspect important, si ce n’est le plus important, est que les dirigeants de l’entreprise considèrent la protection des données comme une question essentielle et qu’ils se comportent eux-mêmes de manière exemplaire. Si les cadres prennent le sujet au sérieux et respectent les prescriptions en vigueur, cela a également un impact sur les autres collaborateurs.
L’un des défis de la gestion des données est de savoir combien d’entre elles sont nécessaires. Comment une entreprise peut-elle le déterminer ?
Dans la législation sur la protection des données, le principe de proportionnalité, selon lequel seules les données personnelles nécessaires et permettant d’atteindre l’objectif prévu peuvent être traitées, s’applique. Cela doit être vérifié séparément et concrètement pour chaque activité de traitement et il convient de renoncer à la collecte ou au traitement de données inutiles. À titre d’exemple : souvent, seule une adresse e-mail est nécessaire pour l’envoi d’une newsletter. Il n’est pas nécessaire de collecter d’autres informations, telles que la civilité ou le nom, pour l’expédition, et il ne convient donc pas de collecter de telles données. Un autre aspect de cette question est la durée de conservation des données personnelles. Là aussi, la loi sur la protection des données exige que les données personnelles soient supprimées dès qu’elles ne sont plus nécessaires à la réalisation de l’objectif du traitement. Toutefois, ce devoir de suppression peut entrer en conflit avec d’autres nécessités, comme les obligations légales de conservation, notamment à des fins de preuve, ou d’autres intérêts privés prédominants. À cet égard, il pourrait être utile d’élaborer une directive sur la durée de conservation des données personnelles.
«Le temps qu’il reste est suffisant pour se préparer si l’on aborde le sujet avec un certain sérieux»
Cornelia Stengel, directrice de l’Association Suisse des Sociétés de LeasingVers les cours de l'UPSA Business Academy:
Webinaire - la nouvelle loi suisse sur la protection des données : ce que vous devez maintenant savoir !
Webinaire - la nouvelle loi suisse sur la protection des données : ce que vous devez maintenant savoir !
Ajouter un commentaire
Commentaires