Résumé de la conférence de Dr Célian Hirsch
Avocat et co-fondateur des sites LawInside.ch et swissprivacy.law
Forum de l’Hôtel Marriott, Tribune du MCEI
Genève, le 21 mars 2024
Entrée en vigueur en septembre 2023, la nouvelle loi sur la protection des données concerne aussi les petites et moyennes entreprises. Son objectif est de garantir la protection de toutes les données personnelles collectées auprès d’une personne. Celle-ci doit être informée du traitement des informations la concernant. Ses données devraient en principe être effacées une fois le traitement terminé. Diverses étapes sont à prendre en compte pour mettre en place cette loi au sein d’une entreprise.
Il s’agit de savoir quelles données existent dans l’entreprise. Qui s’occupent de quoi, et pourquoi on traite ces informations. Il faut établir un registre des activités de traitements. Ce registre est obligatoire, sauf si l’entreprise emploie moins de 250 collaborateurs et que le traitement des données présente un risque limité d’atteinte à la personnalité des personnes concernées. Il faut notamment protéger ces données, évaluer les risques et mettre en place des mesures de sécurités adéquates. La création d’un inventaire pour chaque activité de traitement avec une approche par département/service permet d’avoir une bonne vision de la situation. La loi prévoit la liste des informations minimales que le registre doit contenir comme la description des catégories de personnes concernées et des catégories de données personnelles traitées, les destinataires réguliers de données, les sous-traitants, etc.
Les mesures de sécurité portent sur la confidentialité, la traçabilité et la disponibilité des données. Il s’agit de mettre en place des mesures légales et techniques telles que des pare-feu ou des logiciels mais aussi de sensibiliser et former le personnel. Globalement, une maîtrise totale de toutes les données disponibles au sein de l’entreprise est indispensable. Le processus de gestion en cas d’incidents de sécurité doit être bien défini. Pour éviter la panique, il est nécessaire d’établir des directives sur la manière dont l’entreprise devra réagir à tout incident affectant la sécurité de ses données et de déterminer clairement les rôles et les responsabilités des personnes chargées de répondre à tout incident.
Face à ses clients et à ses employés, l’entreprise a un devoir d’informer qui doit répondre à une série de questions comme : Qui sommes-nous et comment nous contacter ? Quand et comment collectons-nous vos données ? Quelles catégories de données traitons-nous ? Pourquoi traitons-nous vos données ? Quels sont vos droits ? Comment sécurisons-nous vos données ? Où vos données sont-elles stockées ? Combien de temps conservons-nous vos données ? À qui communiquons-nous vos données ?
Les personnes concernées doivent notamment avoir un droit d’accès à leurs données, pouvoir s’opposer à la communication à des tiers de données déterminées ou encore un droit de rectification. Il faut avoir une procédure en place pour être en mesure de répondre à toutes demandes.
Même s’il n’existe aucune obligation pour les entreprises de nommer un conseiller à la protection des données, la désignation d’un responsable principal représente une aide précieuse. Cela permet de sensibiliser et assister les collaborateurs et d’avoir un unique interlocuteur face à l’extérieur. Des séances de formation permettent de faire prendre conscience de la problématique aux collaborateurs et de leur donner les connaissances pour bien réagir.
En présence d’une violation de la sécurité, il faut bien évidemment prendre immédiatement les mesures appropriées afin d’y mettre fin et d’en minimiser les effets. Il faut prévoir une réponse pour stopper l’incident, minimiser les dégâts et tenter de récupérer les données qui auraient fuité. Ensuite, il est nécessaire de consigner dans un document interne la nature de la violation, le type de données concernées, les catégories de personnes touchées, les conséquences probables pour ces dernières et les mesures prises pour y remédier. Il faut annoncer au préposé fédéral à la protection des données les violations entraînant un risque élevé pour les droits fondamentaux d’une personne. Les collaborateurs et les clients concernés doivent aussi être rapidement informés pour leur permettre de prendre les mesures utiles à la sauvegarde de leurs intérêts. La société a un devoir de transparence et doit notamment leur fournir les informations nécessaires pour que les personnes touchées puissent faire valoir leurs droits. La loi prévoit quelques exceptions comme l’obligation légale de garder le secret ou si informer la personne concernée nécessite des efforts disproportionnés. Enfin, une analyse générale permettra de tirer des leçons et améliorer les mesures internes et externes. Les éventuels sous-traitants sont bien sûr également concernés par toutes ces mesures. Leurs contrats doivent tenir compte de cette menace et préciser les dispositions à prendre.
(Résumé Luigino Canal)