Contact




    Conformité LPD

    Mise en conformité à la loi fédérale sur la protection des données (LPD)

    La LPD a été créée et récemment mise à jour pour protéger les données personnelles des individus et réglementer leur traitement par les organisations. Elle vise donc à responsabiliser les entreprises dans le traitement des données des personnes.

    La mise en conformité à la LPD revêt une importance capitale pour les entreprises, tant sur le plan légal que sur celui de la confiance et de la réputation. Pour les entreprises, cela signifie qu’elles doivent mettre en place des mesures et des procédures appropriées pour garantir la confidentialité, l’intégrité et la disponibilité des données personnelles qu’elles collectent, traitent et stockent.

    Nous contacter

    Qu’est ce que la LPD?

    La nouvelle LPD est entrée en vigueur le 1er septembre 2023.

    Cette loi confère aux personnes de nouveaux droits en matière de protection des données personnelles et crée de nouvelles responsabilités pour les organisations en ce qui concerne la confidentialité et la sécurité des données.

    La loi suisse, sur la protection des données, redevient donc compatible avec le Règlement général sur la protection des données (RGPD) de l’UE.

    Les cinq principales problématiques liées 
à la protection des données pour les PME

    meanquest-sequal-lpd-five-problematics-pictogram-data-security

    La sécurisation des données

    En tant que PME, par où commence-t-on lorsqu’on souhaite protéger les données qu’on traite?

    meanquest-sequal-lpd-five-problematics-pictogram-compliance-demonstration

    La démonstration de la conformité

    Comment une PME peut-elle démontrer qu’elle traite des données conformément à la législation sur la protection des données?

    meanquest-sequal-lpd-five-problematics-pictogram-securing-sme-budgets

    La sécurisation selon le budget de la PME

    Quelle charge de salaire une PME doit-elle assumer si elle doit engager un Responsable de la sécurité de l’information?

    meanquest-sequal-lpd-five-problematics-pictogram-access-necessary-tools

    L’accès à tous les outils de sécurité nécessaires

    Quelles ressources supplémentaires faut-il encore allouer pour trouver les différents outils permettant de faire de la sécurité de l’information de bout en bout?

    meanquest-sequal-lpd-five-problematics-pictogram-certification-obtaining

    L’obtention de certifications

    Quelle certification une PME peut-elle décrocher lorsqu’elle s’investit dans la sécurité de l’information?

    Qui est concerné?

    Toute organisation qui traite des données personnelles, donc quasiment toutes, doit prendre toutes les mesures nécessaires pour protéger suffisamment les données à caractère personnel qu'elle traite. Elle doit:

    • Respecter les droits des personnes concernées (droit d’accès, droit à l’oubli, droit à la portabilité, etc.)
    • Veiller à ce que les données soient en permanence exactes ou les supprimer le cas échéant
    • Veiller à ce que seuls les traitements nécessaires à la réalisation de la finalité poursuivie soient effectués
    • Limiter l’accès aux données à caractère personnel aux personnes y habilitées (autorisation)
    • Protéger les données aussi longtemps qu’elles existent

    En quoi consiste la mise en conformité LPD pour les entreprises? Quel est l’impact?

    La protection des données consiste à protéger toute information concernant une personne physique identifiée ou identifiable, notamment les noms, dates de naissance, photographies, adresses électroniques et numéros de téléphone. D’autres informations telles que des adresses IP et le contenu de communications se rapportant à des utilisateurs finaux de services de communication ou fournies par ces derniers sont également considérées comme des données à caractère personnel.

    L’impact de la mise en conformité à la LPD sur les entreprises est significatif. Cela implique souvent des investissements en termes de ressources humaines, de formation et de technologie pour mettre en place les mesures de sécurité et les processus nécessaires. Ensuite, cela peut également nécessiter une révision des politiques et des pratiques en matière de protection des données, ainsi que des contrats avec les tiers traitant des données au nom de l’entreprise.

    De plus, il est important que tous les employés comprennent l’importance de protéger les données personnelles. Des formations régulières aident à intégrer cette culture de protection des données dans l’entreprise. Tous ceux qui manipulent des données personnelles doivent être conscients de ce qui est autorisé et de ce qui ne l’est pas et avoir conscience des impacts.

    On comprend donc que lorsqu’on parle de protection des données, cela implique un travail global et au sens large de toute l’entreprise.

    Où en êtes-vous avec votre conformité LPD?
    Les bonnes questions à se poser

    • Possédez-vous une charte, une politique ou une directive concernant le traitement des données personnelles?
    • Est-ce que ces engagements et règles sont bien communiqués, autant à l’interne qu’à l’externe?
    • Formez-vous et sensibilisez-vous régulièrement vos utilisateurs à la protection des données?
    • Disposez-vous d’une procédure de réponse aux incidents et est-elle à jour?
    • Disposez-vous d’une politique de sauvegardes et effectuez-vous des tests régulièrement?
    • Réalisez-vous régulièrement des audits de gouvernance des données et de sécurité technique?
    • Disposez-vous d’une politique de contrôle de la conformité de vos sous-traitants?
    • Disposez-vous d’un budget lié à la protection des données et à la sécurité de l’information?
    • Avez-vous évalué si vous êtes dans l’obligation de tenir à jour un registre des traitements de données?
    • Avez-vous évalué la nécessité de nommer un Conseiller à la protection des données (DPO)?

    Réalisez un audit pour évaluer la conformité de votre organisation à la LPD

    Où en êtes-vous avec votre conformité LPD?

    L’audit est un examen approfondi visant à évaluer la conformité de votre organisation à la LPD et la sécurité de votre système d’information, mettant en lumière d’éventuelles failles ou dysfonctionnements pouvant compromettre vos activités.

    Domaines audités

    Avantages

    Obtenez un état des lieux de la conformité de votre organisation à la LPD. Identifiez les potentielles vulnérabilités présentes au sein de votre entreprise. Bénéficiez de recommandations pragmatiques.

    Téléchargez notre brochure pour en savoir plus

    Délégué à la protection des données (DPO): interne ou externe?

    Le délégué à la protection des données, également connu sous le nom de DPO, joue un rôle crucial dans la garantie de la conformité de l’entreprise aux lois et réglementations sur la protection des données, comme la LPD ou le RGPD.

    Il est chargé de conseiller l’entreprise pour s’assurer que ses pratiques dans le traitement des données respectent les exigences légales. Il surveille les activités de traitement des données, mène des audits et des évaluations d’impact, et sert de point de contact pour les autorités de contrôle.

    Vous pouvez, soit nommer une personne à l’interne, soit choisir de faire appel à un conseiller externe spécialisé en protection des données pour réaliser un audit de conformité.

    Chez Meanquest, nous pouvons vous mettre à disposition un DPO as-a-service, selon la fréquence que vous souhaitez pour vous assister dans vos démarches. Il sera notamment chargé des tâches suivantes:

    • Évaluer votre niveau de conformité actuel.
    • Vous accompagner dans vos démarches de mise en conformité.
    • Former et sensibiliser vos utilisateurs.
    • Établir les contrats et contrôles nécessaires auprès des fournisseurs.
    • Gérer les formalités en cas de violation des données personnelles.
    • Être l’interlocuteur dédié auprès des prospects, clients et autorités.

    Contrairement à une personne à l’interne qui va assurer le rôle de DPO, le spécialiste externe dispose de l’expérience acquise en travaillant avec plusieurs organisations de différentes natures et tailles. En outre, externaliser le rôle de DPO permet d’éviter toute situation de conflit d’intérêts, notamment en termes de hiérarchie ou d’accumulation des rôles (vitesse des opérations Vs sécurité).

    En savoir plus sur notre offre "DPO-as-a-service"

    FAQ

    Qu’entend-on par « données personnelles »?

    La LPD définit les données personnelles comme « toute information se rapportant à une personne physique identifiée ou identifiable ». En d’autres termes, toute information permettant d’identifier une personne de manière directe (nom, prénom) ou indirecte (numéro de téléphone, plaque d’immatriculation, numéro d’AVS, adresse postale, email, voix, photo…).

    Qu’entend-on par « données sensibles »?

    On entend par données sensibles les données sur les opinions ou activités religieuses, philosophiques, politiques ou syndicales ; la santé, la sphère intime ou l’appartenance à une race; des mesures d’aide sociale; des poursuites ou sanctions pénales et administratives, ou encore les données génétiques et les données biométriques. Ces données représentent un risque particulier donc le traitement sera fait avec plus de précautions.

    Qui est concerné par la LPD?

    La LPD s’applique aux entreprises et aux organisations qui traitent les données personnelles des personnes concernées.

    Quels sont les grands principes de la loi?

    Pour se conformer à la LPD, les organisations doivent notamment respecter les obligations suivantes:

    • Tenir un registre des activités de traitement sauf si l’effectif de l’entreprise est inférieur à 250 salariés ET présente un risque limité d’atteinte à la personnalité.
    • Informer les personnes lors de la collecte de leurs données personnelles.
    • Signaler les violations de la protection des données personnelles (perte des données, utilisation abusive des données, etc.).
    • Établir des mesures appropriées (techniques et organisationnelles) pour garantir la protection des données dès la conception du traitement (principe du privacy by design) ainsi que la protection par défaut des données traitées (principe du privacy by default).
    • Obtenir le consentement des personnes lorsque l’entreprise mène des opérations de profilage avec un risque élevé.
    • Réaliser une analyse d’impact relative à la protection des données « AIPD » en cas de risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées.

    Pourquoi se mettre en conformité?

    Au-delà des sanctions pécuniaires et des poursuites pénales encourues, les entreprises doivent se mobiliser pour mettre en place un plan d’action approprié pour se mettre en conformité à la LPD.

    • Se mettre en règle afin d’éviter des sanctions administratives et pécuniaires (amende personnelle jusqu’à CHF 250’000.-).
    • Éviter la fuite de données qui pourrait atteindre la réputation de votre entreprise.
    • Renforcer la confiance de vos clients et partenaires en montrant que vous vous souciez de leurs données personnelles.
    • Se différencier de vos concurrents pour gagner des parts de marché.
    • Sensibiliser votre personnel au traitement des données (sensibles).
    • Renforcer la sécurité de votre entreprise face aux cyber-attaques.

    Qu’est-ce que la sécurité de l’information?

    La sécurité de l’information est l’ensemble des mesures qui veillent à ce que la confidentialité, l’intégrité et la disponibilité de toutes les formes d’information – tant sous la forme électronique (numérique) que papier – soient maintenues, dans le but d’assurer la continuité des informations et de l’information et de limiter à un niveau acceptable prédéfini les éventuelles conséquences d’incidents en matière de sécurité de l’information.

    Il y a lieu d’entendre par « mesure de gestion » toutes les mesures relatives à la politique, aux procédures, aux directives, aux méthodes et aux structures organisationnelles. Ces mesures peuvent être de nature aussi bien administrative ou technique que juridique ou relever de la gestion.

    Nous contacter

    Contact

    Vous souhaitez en savoir plus sur notre savoir-faire ?

      Restons connectés

      Meanquest SA (siège social)
      Chemin du Dévent 7
      CH-1024 Ecublens
      T +41 58 810 00 00
      info@meanquest.ch

      Meanquest SA
      The Hive, Rte du Nant-d’Avril 150
      CH-1217 Meyrin
      T +41 58 810 00 00
      info@meanquest.ch

      Meanquest SA
      Rte André-Piller 33 G
      CH-1762 Givisiez
      T +41 58 810 00 00
      info@meanquest.ch

      Politique de confidentialité
      © 2024 Meanquest tous droits réservés
      Mentions légales
      Conditions générales