CONSEILLER EN PROTECTION DES DONNÉES SELON SWISS DSG
La Suisse modernise la loi fédérale sur la protection des données (revDSG) et adapte la protection des données aux nouvelles réalités. Depuis son entrée en vigueur, les entreprises suisses sont tenues de se conformer aux dispositions légales. OBSECOM vous accompagne en tant que conseiller en protection des données Suisse pour assurer le respect de vos obligations de conformité.
La loi suisse révisée sur la protection des données
Avec la révision de la loi suisse sur la protection des données (revDSG), le droit de la protection des données en Suisse a été adapté aux nouvelles réalités. En outre, cette révision vise à aligner la législation suisse sur les exigences du Réglement général sur la protection des données (RGPD) afin que la Suisse continue d’être reconnue par l’UE comme un pays tiers offrant un niveau de protection des données adéquat, garantissant ainsi la poursuite des transferts de données transfrontalier.
Les entreprises suisses sont tenues de respecter les dispositions légales dès l’entrée en vigueur de la révision de la loi sur la protection des données (revDSG). Avec la revDSG et le RGPD, la protection des données devient un facteur de conformité essentiel pour les entreprises suisses. Le non-respect des exigences en matière de protection des données expose les entreprises à des risques financiers, tels que les amendes de dommages-intérêts de la part des personnes concernées et des amendes imposées par les autorités de contrôle. Pour éviter tout comportement illégal et réduire les risques de responsabilité, des mesures de conformité appropriées doivent être mises en place et adaptées à la situation de risque de l’entreprise. En tant que conseiller en protection des données Suisse, OBSECOM GmbH vous accompagne pour garantir le respect de vos obligations de conformité.
Quand la revDSG entrera-t-elle en vigueur?
Le Parlement suisse a adopté la revDSG le 25 septembre 2020. La consultation à ce sujet s’est terminée le 14 octobre 2021, la revDSG est entrée en vigueur depuis le 1er septembre 2023.
Quelles innovations importantes les entreprises doivent-elles envisager?
Art. 9 revDSG – Règlementations contractuelles concernant le traitement par des sous-traitants
Lors du traitement des données personnelles par les sous-traitants, les entreprises devront s’assurer que ces derniers sont en mesure de garantir la sécurité des données. A l’avenir, toute externalisation du traitement des données à des sous-traitants nécessitera l’approbation du responsable du traitement. Le traitement des données doit être encadré par des accords contractuels clairs avec les sous-traitants.
Art.19 et suivants revDSG – Nouvelles obligations d’information lors de la collecte de données personnelles
À l’avenir, les personnes concernées doivent être correctement informées lors de la collecte de données personnelles, notamment sur les finalités du traitement, les décisions automatisées et les transferts de données à l’étranger, par le biais d’une déclaration de confidentialité. Si les données personnelles sont collectées auprès de tiers, les personnes concernées doivent être informées dans un délai d’un mois. Les entreprises doivent identifier les activités de traitement pertinentes et élaborer des déclarations de confidentialité appropriées.
Art. 25 et suivants revDSG – Renforcement des droits des personnes concernéesArt.25 ff revDSG
Les entreprises doivent mettre en place des processus permettant de répondre aux demandes des personnes concernées concernant l’accès aux données dans un délai de 30 jours. De plus, elles doivent s’assurer que les données personnelles inexactes sont corrigées, que les données non nécessaires sont supprimées, et que les données traitées de manière automatisée peuvent être fournies ou transférées sur demande.
Art.24 revDSG – Notifications de violations de la sécurité des données
À l’avenir, les entreprises devront signaler sans délai les violations de la sécurité des données au Préposé fédéral à la protection des données (FDPIC) si la violation présente un risque élevé pour les personnes concernées. Les organisations doivent mettre en œuvre des processus pour détecter les violations de données et évaluer les exigences de notification.
Art.60 f revDSG – amendes pour violation des obligations légales
En cas de violation intentionnelle des obligations de diligence, d’information, d’accès et de coopération, des personnes physiques peuvent être condamnés à une amende allant jusqu’à 250 000 CHF. Les amendes ne sont généralement pas infligées à l’entreprise, mais visent directement les personnes responsables (par exemple, le PDG, le CIO ou d’autres responsables).
Article 10 revDSG – conseiller en protection des données Suisse
Les entreprises peuvent nommer un conseiller en protection des données pour les accompagner dans la mise en œuvre et le respect des réglementations en matière de protection des données. Le conseiller à la protection des données sert de point de contact pour les personnes concernées et les autorités de protection des données. Si un conseiller à la protection des données est désigné, l’entreprise peut bénéficier d’allègements concernant certaines obligations de notification. OBSECOM GmbH, basée à Stuttgart avec une succursale en Suisse à Préverenges (VD), vous accompagne en tant que conseiller externe pour la mise en œuvre du revDSG.
Quelles exigences de conformité peuvent avoir des conséquences pénales ?
La violation intentionnelle des nouvelles obligations en matière de protection des données peut désormais être sanctionnée pénalement par une amende pouvant aller jusqu’à 250 000 CHF. En général les amendes ne sont pas infligées à l’entreprise, mais directement aux personnes responsables (par exemple, le PDG, le CIO ou d’autres responsables). Pour éviter ces sanctions, les domaines suivants devraient être mis en œuvre de manière conforme à la protection des données :
- Respect des exigences minimales en matière de sécurité des données :Les entreprises doivent mettre en place des mesures techniques et organisationnelles appropriées pour protéger les données. Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est autorisé à consulter des documents pertinents lors des enquêtes sur les violations des règles de protection des données.
- Réglementation contractuelle de l’externalisation du traitement des données : Les entreprises doivent établir des contrats clairs avec les sous-traitants. Elles doivent également s’assurer que ces sous-traitants sont capables de garantir la sécurité des données.
- Transfert de données personnelles à l’étranger : La communication de données personnelles à l’étranger ne doit avoir lieu que si des garanties adéquates en matière de protection des données sont respectées.
- Information des personnes concernées lors de la collecte de données personnelles et de la prise de décisions automatisées : Les personnes concernées doivent être correctement informées lors de la collecte de leurs données personnelles et lorsqu’elles sont soumises à une prise de décision automatisée
- Droit d’accès aux données : les entreprises doivent, sur demande, informer les personnes concernées sur la manière dont leurs données sont traitées.Sur demande, les entreprises doivent fournir aux personnes concernées des informations sur le traitement de leurs données.
Quels processus de protection des données les entreprises doivent-elles mettre en place?
Dans le cadre de leurs obligations de conformité, les entreprises sont tenues de mettre en place des processus de protection des données adaptés. Cela inclut :
- Mise en place de procédures pour détecter, évaluer et signaler les violations de donnéess.
- Intégration de la protection des données dans la création de nouveaux processus commerciaux : s’assurer que la protection des données soit intégrée dès la conception de nouveaux processus et bien documentée, afin de répondre aux exigences concernant les registres de traitement, les informations aux personnes concernées et les obligations d’accès.
- Définir les responsabilités, sensibiliser les collaborateurs.
- Surveillance, classification et priorisation des mesures de conformité.
Les groupes d’entreprises ayant une orientation internationale doivent déjà prendre en compte des exigences de protection des données comparables pour les sociétés affiliées au sein de l’UE et à l’étranger. La révision de la loi suisse sur la protection des données offre l’opportunité d’harmoniser l’organisation de la protection des données au sein du groupe.
Comment les conseillers en protection des données peuvent-ils aider à la conformité en matière de protection des données ?
Selon la loi revDSG la nomination d’un consultant en protection des données est facultative, mais présente des avantages pour les entreprises ayant des exigences de conformité complexes. Le conseiller à la protection des données est le point de contact pour les personnes concernées et les autorités de protection des données. Il collabore avec l’équipe de conformité de l’entreprise, conseille sur les questions de protection des données et veille à ce que la protection des données soit intégrée dans toutes les mesures de conformité. Le conseiller en protection des données évalue le traitement des données personnelles et recommande des actions correctives. Si une analyse d’impact relative à la protection des données doit être effectuée pour le traitement de données à risque, le responsable peut se dispenser de consulter le PFPDT s’il a fait appel à un conseiller à la protection des données.
Services d’OBSECOM GmbH pour les entreprises suisses
L’équipe d’OBSECOM GmbH vous conseillera sur le respect de vos exigences en tant que consultant externe en protection des données en Suisse. Nous proposons des services complets, allant de l’audit et de l’adaptation de tous les processus de traitement de l’entreprise à la création des documents essentiels tels que les registres de traitements, en passant par l’assistance continue jusqu’à la nomination d’un conseiller en protection des données. Nous accompagnons des clients dans l’UE, len Suisse, laux États-Unis et en Asie. Notre spécialité est de conseiller des entreprises ayant une orientation internationale et des transferts de données internationaux.
Nos atouts en tant que consultants externes en protection des données :
- Expertise en droit suisse sur la protection des données, ainsi qu’en droit européen et international sur la protection des données.
- Conseil personnalisé avec des interlocuteurs qualifiés
- Conseil pour la mise en œuvre de sujets spécifiques (par exemple, caisses de pension, commissions du personnel, protection des données des employés)
- Formation et sensibilisation des employés
- Expertise particulière den matière de transfert international de données
- Représentation de responsables du traitement et des sous-traitants non établis en Suisse
- Conception et mise en œuvre de politiques de gouvernance de l’information et de processus ITIL dans votre organisation.
- Conseils multilingues en allemand, français et anglais.
Nous serons heureux de vous accompagner – votre personne de contact
FLORIAN WUTTKE Délégué à la protection des données (GDDCert. EU) Délégué à la protection des données certifié BCS/ISEB (Royaume-Uni) Délégué à la protection des données certifié (GDDcert. EU)Florian Wuttke est votre interlocuteur compétent pour les questions concernant la revDSG. Il est spécialisé dans les sujets liés à la divulgation de données personnelles à l’étranger et possède une vaste expérience de la légitimité des transferts internationaux de données entre l’UE, les États-Unis et d’autres pays non membres de l’UE.En savoir plus sur Florian Wuttke |