CONSULTANT EN PROTECTION DES DONNÉES SELON SWISS DSG

La Suisse modernise la loi fédérale sur la protection des données (revDSG) et adapte la protection des données à l’évolution des circonstances. Les entreprises suisses doivent se préparer dès maintenant. Dès son entrée en vigueur, les entreprises sont tenues de se conformer aux dispositions légales. En tant que consultant en protection des données, OBSECOM GmbH aide la Suisse à se conformer aux exigences.

La loi suisse révisée sur la protection des données

Avec la revDSG, la loi sur la protection des données en Suisse est adaptée à l’évolution des circonstances. En même temps, la loi révisée doit être alignée sur les exigences du règlement général sur la protection des données (RGPD) afin que la Suisse continue d’être reconnue par l’UE en tant que pays tiers avec un niveau approprié de protection des données et un libre transfert de données à travers les frontières restera possible à l’avenir.

Les entreprises suisses doivent se préparer dès maintenant. Dès son entrée en vigueur, les entreprises sont tenues de se conformer aux dispositions légales. Avec la revDSG et le RGPD, la protection des données devient un facteur de conformité pour les entreprises suisses. Le non-respect des exigences en matière de protection des données peut entraîner des risques financiers liés aux demandes d’indemnisation des personnes concernées et aux amendes des autorités de contrôle. Afin d’éviter les actions illégales de l’entreprise et de réduire les risques de responsabilité, des mesures de conformité appropriées doivent être conçues et adaptées à la situation de risque de l’entreprise. En tant que consultant en protection des données, OBSECOM GmbH aide la Suisse à se conformer aux obligations de conformité.

Datenschutzberater Schweiz

Quand la revDSG entrera-t-elle en vigueur?

Le Parlement suisse a adopté la revDSG le 25 septembre 2020. Pour que la nouvelle loi entre en vigueur, des dispositions au niveau des ordonnances doivent être fixées par le Bundesrat. La consultation à ce sujet s’est terminée le 14 octobre 2021. Selon les annonces du Conseil fédéral, la revDSG doit entrer en vigueur au second semestre 2022.

Quelles innovations importantes les entreprises doivent-elles envisager?

Art. 9 revDSG – Dispositions contractuelles pour le traitement par les sous-traitants
Lors du traitement des données personnelles par les sous-traitants, les entreprises devront s’assurer à l’avenir que les sous-traitants sont en mesure de garantir la sécurité des données. L’externalisation du traitement des données à des sous-traitants ultérieurs nécessitera l’approbation de l’entreprise. Le traitement des données devrait être réglementé sur la base d’accords contractuels avec les sous-traitants.

Art.19 ff revDSG – Nouvelles obligations d’information lors de l’acquisition de données personnelles
Lors de la collecte de données à caractère personnel, les entreprises doivent informer de manière appropriée les personnes concernées des finalités du traitement, de la prise de décision automatisée et des divulgations à l’étranger au moyen d’une déclaration de protection des données. Si des données personnelles sont collectées auprès de tiers, les personnes concernées doivent être informées de la collecte de données dans un délai d’un mois. Les entreprises doivent identifier les activités de traitement pertinentes et créer des déclarations de protection des données appropriées.

Art.25 ff revDSG – Renforcement des droits des personnes concernées
Les entreprises doivent mettre en œuvre des processus pour être en mesure de fournir aux personnes concernées des informations sur le traitement des données dans les 30 jours. En outre, les données personnelles incorrectes peuvent devoir être corrigées, les données devenues inutiles doivent être supprimées et les données personnelles traitées automatiquement doivent être divulguées ou transférées sur demande.

Art.24 revDSG – Notifications de violations de la sécurité des données
À l’avenir, les entreprises devront signaler le plus rapidement possible les violations de la sécurité des données au Commissaire fédéral à la protection des données (FDPIC) si la violation présente un risque élevé pour les personnes concernées. Les organisations doivent mettre en œuvre des processus pour identifier les violations de données et évaluer les exigences en matière de signalement.

Art.60 f revDSG – amendes pour violation des obligations légales

En cas de violation intentionnelle des devoirs de diligence, d’information, demandes d’information et de coopération, les particuliers peuvent être condamnés à une amende pouvant aller jusqu’à 250 000 CHF. Les amendes ne sont généralement pas dirigées contre l’entreprise. Au contraire, la revDSG prévoit une sanction directe des responsables (par exemple, le PDG, le CIO ou d’autres responsables).

Article 10 revDSG – conseiller en protection des données Suisse

Les entreprises peuvent nommer un conseiller en protection des données pour les conseiller sur la manière de mettre en œuvre et de se conformer aux réglementations en matière de protection des données. Le conseiller à la protection des données est le point de contact pour les personnes concernées et les autorités de protection des données. Si un délégué à la protection des données est désigné, l’entreprise peut bénéficier de simplifications de certaines obligations déclaratives.

Quelles exigences de conformité peuvent avoir des conséquences pénales ?/h3>

Le non-respect intentionnel de ces nouvelles obligations en matière de protection des données pourra être puni pénalement d’une amende pouvant aller jusqu’à 250 000 CHF. Les amendes ne sont généralement pas dirigées contre l’entreprise. Au contraire, la revDSG prévoit une sanction directe des responsables (par exemple, le PDG, le CIO ou d’autres responsables):

  • Les entreprises doivent prendre les mesures techniques et organisationnelles appropriées pour protéger les données. Le Commissaire fédéral à la protection des données et à la transparence (FDPIC) peut consulter les documents pertinents lorsqu’il enquête sur des violations des réglementations sur la protection des données.
  • L’externalisation du traitement des données à des sous-traitants doit être réglementée contractuellement. Les entreprises doivent s’assurer que les sous-traitants sont en mesure d’assurer la sécurité des données.
  • Les données personnelles ne peuvent être divulguées à l’étranger que si des garanties de protection des données appropriées sont respectées.
  • Les personnes concernées doivent être informées de manière appropriée lors de la collecte de données personnelles et de la prise de décision automatisée.
  • Sur demande, les entreprises doivent fournir aux personnes concernées des informations sur le traitement de leurs données.

Quels processus de protection des données les entreprises doivent-elles mettre en place?

Dans le cadre de leurs obligations de conformité, les entreprises sont tenues de concevoir des processus de protection des données adaptés. Ceci comprend:

  • Établir des dispositions pour détecter, évaluer et signaler les violations de données.
  • Inclure la protection des données dans la création de nouveaux processus commerciaux et la documenter de manière appropriée afin de pouvoir remplir les registres de traitement, les informations et les demandes d’information.
  • Définir les responsabilités, sensibiliser les collaborateurs.
  • Surveillance, classification et priorisation des mesures de conformité.

Les groupes d’entreprises à orientation internationale doivent respecter des exigences de protection des données comparables pour les sociétés affiliées au sein de l’UE et à l’étranger. L’organisation de la protection des données au sein du groupe doit être harmonisée autant que possible.

Comment les conseillers en protection des données peuvent-ils soutenir la conformité en matière de protection des données ?

La nomination d’un consultant en protection des données est facultative en vertu de la revDSG, mais présente des avantages pour les entreprises ayant des exigences de conformité complexes. Le conseiller à la protection des données est le point de contact pour les personnes concernées et les autorités de protection des données. Il travaille avec l’équipe de conformité de l’entreprise, conseille sur les questions de protection des données et veille à ce que la protection des données soit considérée comme une exigence dans toutes les mesures de conformité. Il contrôle le traitement des données personnelles et recommande des mesures correctives. Si une analyse d’impact relative à la protection des données doit être effectuée dans le cas d’un traitement de données à risque, le responsable peut s’abstenir de consulter le PFPDT si un conseiller à la protection des données a été impliqué.

Services d’OBSECOM GmbH pour les entreprises suisses

L’équipe d’OBSECOM GmbH vous conseillera sur le respect de vos exigences en tant que consultant externe en protection des données en Suisse. Nous fournissons nos services en commençant par l’audit et l’adaptation de tous les processus de traitement de l’entreprise jusqu’à la création des documents pertinents tels que les registres de traitements, en passant par un soutien continu jusqu’à la mise à disposition d’un consultant en protection des données. Nous conseillons des clients dans l’UE, la Suisse, les États-Unis et l’Asie. Notre conseil se concentre sur les entreprises ayant une orientation internationale et des transferts de données internationaux.

Nos atouts en tant que consultants externes en protection des données :

  • Compétent en droit suisse sur la protection des données, ainsi qu’en droit européen et international sur la protection des données.
  • Conseil individuel avec des interlocuteurs qualifiés
  • Conseils sur la mise en œuvre de sujets spécifiques (par exemple, la protection des données des employés)
  • Formation et sensibilisation des employés
  • Expertise particulière dans la divulgation de données personnelles à l’étranger
  • Représentation des responsables du traitement et des sous-traitants non établis dans l’Union
  • Conception et mise en œuvre de politiques de gouvernance de l’information et de processus ITIL dans votre organisation.
  • Conseils multilingues en allemand, français et anglais.

Nous sommes heureux de vous aider – votre personne de contact

Florian Wuttke Datenschutzbeauftragter (GDDCert. EU) FLORIAN WUTTKE
Délégué à la protection des données (GDDCert. EU)
Délégué à la protection des données certifié BCS/ISEB (Royaume-Uni)
Délégué à la protection des données certifié (GDDcert. EU)

Florian Wuttke est votre interlocuteur compétent pour les questions concernant la revDSG. Il est spécialisé dans les sujets liés à la divulgation de données personnelles à l’étranger et possède une vaste expérience de la légitimité des transferts internationaux de données entre l’UE, les États-Unis et d’autres pays non membres de l’UE.

En savoir plus sur Florian Wuttke