RGPD ET LPD: quels conseils pour les entreprises?

 | Paru dans Entreprise romande  | Auteur : Lauren Hostettler
visuel visuel

Neuf mois après la mise en application du Règlement général sur la protection des données (RGPD), une conférence sur ce thème s’est tenue, organisée par la Direction générale du développement économique de la recherche et de l’innovation. Trois intervenants ont établi un premier bilan: Aurélien Rocher, docteur en droit et Manager Tax & Legal chez Deloitte, Vincent Colonna, Senior Manager, Cybersecurity & Privacy chez PWC et Gabriela De Godoy, Cybersecurity & Data Privacy Manager chez EY.

A qui s’applique la législation?

En Suisse, le RGPD s’applique à toutes les entreprises ayant des liens avec l’Union européenne, qu’elles aient un bureau de vente en Europe, qu’elles proposent des biens et des services à des résidents européens ou qu’elles profitent de clients européens en ligne.

Quels sont les devoirs des entreprises?

Obtenir le consentement explicite des individus, documenter les traitements de données, transmettre l’objectif de cette récolte d’informations, assumer la sécurité des données et annoncer tout vol de données dans les septante-deux heures imparties. Vincent Colonna insiste sur le fait que l’organisation doit être responsable du respect des principes de protection des données définis dans le RGPD et être en mesure de montrer qu’ils sont respectés.

Comment identifier les données personnelles?

Les données se répartissent en trois catégories: les données anonymes, personnelles et sensibles. Les premières ne sont pas soumises au RGPD. Les données personnelles sont les informations telles que le nom, le prénom, l’âge, le sexe, l’e-mail, le salaire, l’adresse, etc. Les données sensibles groupent les informations concernant l’origine ethnique, les opinions politiques et religieuses, le passé pénal, la santé, les données génétiques ou le numéro de sécurité sociale. Ces données peuvent être directes (par exemple: le nom de la personne) ou indirectes (par exemple: dans telle entreprise, il y a un employé d’origine japonaise) et structurées ou non.

Comment mettre en oeuvre le principe de responsabilité?

La nomination d’un délégué à la protection des données est la première étape à réaliser. Un responsable est obligatoire pour les institutions publiques et les autorités, mais également pour les entreprises dont les activités de base consistent en un suivi régulier et systématique des personnes à grande échelle ou si l’entreprise traite de données sensibles à grande échelle, par exemple un hôpital. Le délégué aura pour tâche d’informer et de conseiller les employés de l’entreprise, de contrôler le traitement des données. Il sera le point de contact avec les autorités et le public. Il devra avoir un accès privilégié à la direction en cas de problème et être indépendant. Il devra avoir une expertise quant à l’activité de l’entreprise, en informatique et les ressources nécessaires (de temps et financières). Ce poste peut être géré en interne ou en externe. Pour Gabriela De Godoy, il y a beaucoup à faire pour amorcer le processus. Elle rassure en ajoutant que les entreprises, la plupart du temps, ne partent pas de zéro. Souvent, une méthodologie de classement est déjà en place. A noter que le responsable de la protection des données ne peut être tenu personnellement responsable d’éventuels manquements.

Comment intégrer les employés au processus?

Les experts rappellent que l’éducation des employés aux bonnes pratiques est essentielle. Il faut former et informer tous les corps de métiers, pas seulement ceux des technologies de l’information. Standardiser les processus et créer des réflexes pour tous les employés permet de prévenir les erreurs humaines. Aurélien Rocher précise qu’il s’agit d’avoir une bonne «hygiène de vie» des données: éviter d’imprimer une centaine d’exemplaires de documents confidentiels, de laisser traîner des données sensibles, privilégier les e-mails envoyés avec des adresses en copie cachée plutôt que visibles par tous les destinataires, notamment.

Que faire en cas de violation de données?

Il faut d’abord communiquer avec les autorités et les individus concernés. Si le risque est évalué de moyen à élevé, le problème doit être notifié dans les septante-deux heures. Vincent Colonna ajoute qu’il est également important de garder une trace de l’incident et de le classer afin de le présenter en cas de contrôle.

Comment prouver la conformité de l’entreprise?

Afin d’attester de la mise en oeuvre du principe de responsabilité, plusieurs options sont possibles. L’auto-évaluation indique les points mis en pratique et ceux à développer. Il existe des certifications, telles qu’ISO 27001. Les rapports de contrôle sont aussi des moyens de montrer sa conformité aux règles. Les documents utiles pouvant justifier la conformité peuvent être les suivants: preuves de consentements, contrats avec les prestataires et partenaires, requêtes de restriction d’accès aux données et objections à des décisions automatisées.

Quelles sont les mesures de sécurité possibles?

Les mesures de sécurité sont multiples. Elles comprennent les pare-feu, les contrôles d’accès aux disques durs et les mises à jour des logiciels concernant la cybersécurité. Le chiffrement des données et des sauvegardes régulières servent également à protéger les données. Pour Aurélien Rocher, une réflexion sur la suppression et sur un accès restreint aux archives est nécessaire. Si l’entreprise fait appel à des prestataires externes, elle peut demander un audit de ceux-ci. La révision du contrat entre les deux entités est également possible afin d’avoir un cadre précis qui régit chaque partie prenante (par exemple: obligation de confidentialité ou rédaction des modalités en cas de rupture de contrat).


Commerces genevois

Genève se situe en région transfrontalière, le RGPD concerne-t-il donc tous les commerces? Les commerçants seront concernés par la législation s’ils font de la publicité spécifiquement en France, s’ils détiennent une liste de clients français ou si leur site internet affiche des prix en francs suisses et en euros. Dans les cas d’employés frontaliers, ceux-ci ne seront pas soumis au RGPD, car ils ne sont pas la cible des entreprises de biens et de services. Toutefois, les experts s’accordent sur le fait qu’il faudra attendre la révision de la Loi fédérale sur la protection des données (LPD) pour savoir si ces employés seront soumis à un régime spécial.


Découvrez d'autres articles

Santé et sécurité au travail: une marge de progression en Suisse

Santé et sécurité au travail: une marge de progression en Suisse

29 mai 2019 - Paru dans Entreprise romande

La santé et la sécurité au travail contribuent à la qualité de l’emploi.

Lire plus
Le comportement animal est une source d’inspiration pour le management

Le comportement animal est une source d’inspiration pour le management

7 décembre 2018 - Paru dans Entreprise Romande

Le monde animal est une réserve d’inspiration incroyable pour les entreprises. Emmanuel Portanéry, Christine Faraut-van Went et Jean-Marc Poupard en sont convaincus puisqu’ils viennent de sortir un...

Lire plus
Il est possible d’obtenir la réparation du tort moral subi

Il est possible d’obtenir la réparation du tort moral subi

12 octobre 2018 - Paru dans Entreprise Romande

Une personne morale, ou «juridique », c’est-à-dire une société, peut demander en justice – et obtenir le cas échéant – une somme d’argent au titre de réparation du tort moral subi.

Lire plus