Préparez-vous à remettre à plat toutes vos données

La version revisitée de la loi fédérale sur la protection des données entrera en vigueur au plus tôt l’année prochaine. C’est pourtant maintenant que les entreprises doivent se préparer à s’y conformer, car le processus est complexe.

Tous les entrepreneurs suisses ayant des activités à l’étranger se souviennent du branlebas de combat qu’avait déclenché la mise en œuvre du règlement général sur la protection des données européen, en 2018. Les entreprises se sont alors rendu compte qu’elles avaient des obligations relatives à la protection des données. Ce texte de référence en matière de protection des données à caractère personnel aura bientôt son pendant en suisse. La loi sur la protection des données, datant de 1993, a achevé sa longue cure de jouvence parlementaire et doit entrer en vigueur dans le courant de l’an prochain, voir 1^er janvier 2023. Elle a pour but de s’adapter aux réalités sociales et technologiques actuelles et de s’aligner sur les réglementations internationale et européenne plus récente.

Le rôle de cette loi consiste à protéger la personnalité des personnes qui se trouvent derrière les données dont disposent les entreprises. Elle vise à leur rendre la maîtrise. Chacun a le droit de déterminer ce qui peut être fait avec ses données ? Il en existe 2 catégories : les données personnelles simples et celles qui sont dites sensibles. Dans la première on peut trouver tout ce qui permet d’identifier une personne physique, comme nom, prénom, adresse, numéro de téléphone mais aussi les données indirectes, comme numéro AVS, ou dossier chez un médecin. Dans le second figurent notamment les données sur la santé, sur les opinions, l’activité religieuse, politiques et sociales, et nouvellement les données biométriques et génétiques. La nouvelle loi s’applique uniquement aux personnes physiques. Son application recouvre les entreprises qui traitent des données clients, partenaires ou membres.

Conseils aux entreprises

• Etablir un registre des traitements même si l’entreprise compte moins de 250 collaborateurs. Cela permet de faire une cartographie des traitements effectués et de trier et donc éliminer les données accumulées inutilement.
• Mettre en place des directives : quelles données de qui (employés, partenaires, clients) peuvent être collectées et dans quel but. Etablir une politique de protection et d’archivage des données.
• S’assurer des mesures de sécurité pour garantir la confidentialité, la disponibilité et l’intégrité des données collectées, empêcher que les données fuitent ou soient hackées.
• Instaurer une culture de protections des données dans l’entreprise, cela passe par une sensibilisation des collaborateurs.
• Une fois l’entreprise mise en conformité, il faut la maintenir : suivre le cycle des données, prévoir un audit annuel, éliminer ce dont on a plus besoin
• Les entreprises qui traitent beaucoup de données, notamment sensibles, devraient nommer un conseiller à la protection des données.

Source : Demain : Préparez-vous à remettre à plat toutes vos données