Règlement de base de l'UE sur la protection des données (DSGVO) - le temps presse

Le 25 mai 2018, le règlement de base européen sur la protection des données (DSGVO) deviendra directement applicable. Le règlement réglemente le traitement des données à caractère personnel et s'applique bien au-delà de l'UE. D'une part, les entreprises suisses ayant une succursale dans l'UE sont concernées (art. 3 al. 1 ODSGVO). Toutefois, conformément au principe du marché, l'ordonnance s'applique également aux entreprises qui offrent des biens ou des services aux personnes concernées dans l'UE (art. 3, al. 2a) ou qui observent le comportement des personnes concernées dans l'UE (art. 3, al. 2b). Sur la base de ce règlement global, les estimations supposent que jusqu'à ¾, toutes les entreprises suisses seront concernées. En outre, la révision en cours de la loi fédérale sur la protection des données (LPD) devrait intégrer de nombreux éléments de l'ODSGV.

L'UE est sérieuse : si les nouvelles ré­gle­men­ta­tions ne sont pas respectées, les entreprises devront s'attendre à des amendes élevées allant jusqu'à 4% de leur chiffre d'affaires annuel global, soit 20 millions d'euros.

Il ne reste donc pas beaucoup de temps pour se préparer à l'ODSGVO. Voici quelques-unes des questions clés auxquelles les entreprises doivent répondre:

• Dans quelle mesure et dans quelles régions sommes-nous touchés par l'ODSGVO?
• Nos processus garantissent-ils les droits des personnes concernées, par exemple le droit à l'information (art. 15 ODSGVO), à la rectification (art. 16), à la suppression (art. 17) ou à la transmission de données (art. 20)?
• Avons-nous une liste des activités de traitement au sens de l'art. 30 LOPD?
• Avons-nous besoin d'un délégué à la protection des données conformément à l'art. 37 ODSGVO ?
• Avons-nous besoin d'un représentant de l'UE conformément à l'art. 27 ODSGVO?
• Avons-nous pris les mesures techniques et or­ga­ni­sa­tion­nelles appropriées pour garantir la sécurité des données personnelles conformément à l'art. 32 ODSGVO?
• Nos processus et systèmes garantissent-ils la protection des données grâce à la conception technologique et à des préréglages conviviaux en matière de protection des données (art. 25 ODSGVO)?
• En cas de violation de la protection des données personnelles, sommes-nous en mesure d'informer les autorités de contrôle (art. 33 ODSGVO) dans les 72 heures ou, en cas de risque élevé, les personnes concernées (art. 34 ODSGV)?
• Quand devons-nous procéder à une étude d'impact sur la protection des données (art. 35, 36 ODSGVO)?

En tant que société suisse indépendante de conseil en technologies de l'information, Eraneos peut aider les entreprises et les organisations à mettre en œuvre les mesures suivantes pour répondre aux exigences de l'ODSGVO de l'UE:

• Réalisation d'une évaluation de l'état de préparation afin d'identifier les principaux risques et d'établir un ordre de priorité des domaines d'action.
• Établissement d'un inventaire des données en vue de l'iden­ti­fi­ca­tion des zones touchées et de l'éta­blis­se­ment d'une liste des activités de traitement (art. 30 ODSGVO)
• Analyse des processus et conception des processus en ce qui concerne les droits à l'information, la suppression, le portage (art. 12-21), la protection de la vie privée par conception et par défaut (art. 25) ou l'évaluation des incidences sur la protection des données (art. 35)
• Évaluation des sous-traitants conformément à l'article 28 de l'OSDVO de l'UE (article 28)
• Audit de sécurité informatique et analyse des risques d'atteinte à la protection des données (art. 32)

Si vous avez des questions ou des préoccupations à ce sujet, veuillez contacter Adrian Marti, responsable de la cybersécurité et de la confi­den­tia­lité (adrian.marti@awk.ch, +41 58 411 97 67).