Datenschutz Hero Small

Le catalogue de données, point de départ pour la mise en œuvre de la loi révisée sur la protection des données

11. April 2023 - 
Numérisation

La nouvelle loi sur la protection des données entre en vigueur le 1er septembre 2023. Depuis son adoption par le Parlement, de nombreux articles ont été publiés sur sa mise en œuvre. Alors que le nouveau droit n’est pas difficile à comprendre en théorie, il place de nombreuses entreprises face à la question du premier pas. Notre conseil : commencez par un catalogue de données. Mais de quoi s’agit-il exactement et comment procéder ?

Les deux éléments centraux de la loi sur la protection des données sont la protection des données à caractère personnel et l’information des personnes concernées. Les exigences ont été renforcées dans ces deux domaines. Les mesures à mettre en œuvre dépendent des données collectées et traitées, des systèmes informatiques utilisés à cette fin et du lieu où sont stockées ces données. Chaque entreprise devrait effectuer un état des lieux des données qu’elle traite et consigner ce catalogue de données dans des «listes de traitement».


Quelles données enregistrez-vous ?

Généralement, les entreprises enregistrent plus de données personnelles qu’elles ne l’imaginent. Ces données englobent des informations telles que les données relatives à la clientèle, les jeux de données de la comptabilité financière et du logiciel de déclaration d’impôt, la gestion des documents, les données de candidatures, les décomptes et certificats de salaire des membres du personnel ou de la clientèle, les adresses électroniques dans l’outil de publication des newsletters, les inscriptions dans le formulaire de contact proposé sur le site internet de l’entreprise, les données relatives aux visites sur le site internet, les coordonnées des fournisseurs, etc.

Seulement à partir de 250 collaborateurs et collaboratrices ?

Le législateur a disposé que les entreprises de moins de 250 collaborateurs et collaboratrices ne devaient pas obligatoirement établir une liste de traitement. Toutefois, le rassemblement des données traitées est indispensable afin de garantir la mise en œuvre correcte de la loi sur la protection des données. La liste de traitement peut être établie à l’aide de solutions proposées par des fournisseurs spécialisés. Dans une PME, un document Word ou Excel peut en principe déjà suffire. Généralement, votre association professionnelle propose des modèles correspondants.

Premier pas : établir un catalogue de données

La liste de traitement est une liste ou un aperçu général indiquant quelles données à caractère personnel une entreprise collecte, traite et utilise, à quelle fin et de quelle manière. Dans un premier temps, les entreprises devraient donc rassembler ces informations dans un catalogue de données.

Le catalogue de données comme point de départ

Le catalogue de données permet d’évaluer quelles sont les données particulièrement sensibles et quelles mesures d’ordre technique et organisationnel doivent être prises pour garantir le traitement sûr et la protection de ces données.

Demandez à votre partenaire informatique où sont enregistrées vos données et si vos mesures de sécurité informatiques actuelles sont suffisantes et offrent une protection adéquate. La question du lieu de sauvegarde de vos données est en particulier importante pour l’évaluation des risques liés au droit de la protection des données. Les données ne peuvent être transmises à l’étranger que lorsqu’un niveau de protection adéquat est assuré ou que la protection des données est assurée d’une autre manière, par exemple au moyen de clauses contractuelles correspondantes et du consentement explicite de la personne concernée. La sauvegarde de données personnelles sur des serveurs situés dans des pays ne disposant pas d’un niveau de protection des données approprié, comme les États-Unis, est délicate.

Vous pouvez inscrire dans le catalogue de données quelles sont les données personnelles que vous ne traitez pas seuls, mais éventuellement avec un partenaire externe. En l’espèce, il faut vérifier si les contrats fournisseurs définissent les responsabilités et obligations du partenaire externe en ce qui concerne la protection des données. Si ce n’est pas le cas, les contrats doivent être modifiés en conséquence pour être conformes à la législation sur la protection des données.

Le catalogue de données constitue également la base du respect du devoir d’information. Si, en tant qu’entreprise, vous collectez des données personnelles, vous devez informer à quelles fins vous les traitez, à qui vous les divulguez et si les données vont à l’étranger. Ce devoir d’informer peut être réalisé par une ou plusieurs déclarations de protection des données. Celles-ci doivent non seulement établir une vue d’ensemble des données collectées sur votre site internet, mais également informer sur toutes les données personnelles. Le catalogue de données vous aide à dresser la liste de toutes les données pertinentes dans la déclaration de protection des données (ou, le cas échéant, à les répartir entre plusieurs déclarations de protection des données).

Enregistrez-vous encore ou protégez-vous déjà ?

Afin d’observer les exigences renforcées de la loi révisée sur la protection des données, les entreprises doivent systématiquement se pencher sur leurs collectes de données. Un catalogue de données ou une liste de traitement leur sera utile à cette fin. En plus de les aider à définir les mesures nécessaires, ces listes les aideront à documenter les mesures qu’elles auront mises en œuvre.
 

Auteur

Olivier Buchs

Olivier
 
Buchs

Geschäftsführer TREUHAND|SUISSE Sektion Zürich

Betriebsökonom, lic. oec. publ.

S'inscrire au blog

Vous ne voulez pas manquer d'articles de blog ? Abonnez-vous à notre blog ici.