Déclaration de confidentialité pour les entreprises suisses

La déclaration de confidentialité

Dès que vous traitez des données personnelles, vous êtes tenu, en vertu de l’article 19 de la LPD, d’informer les personnes concernées de manière transparente et aussi compréhensible que possible sur la manière dont leurs données sont traitées.

Avec la déclaration de confidentialité, ils informent les personnes concernées par leurs activités de traitement.

La déclaration de confidentialité doit au moins fournir des informations sur les points suivants

• l’identité et les coordonnées de l’entreprise ou de l’organisation (et en particulier d’une personne responsable qui peut également être contactée)
• la nature, la finalité du traitement et la durée de conservation des données personnelles collectées
• Destinataires en cas de transmission à des tiers et finalité de la transmission
• Garanties pour assurer la protection des données en cas de transfert de données à l’étranger
• Droits des personnes concernées et moyens de les exercer

Si vous collectez des données en ligne, vous devez également expliquer ces étapes de traitement et divulguer votre utilisation des cookies et des technologies similaires. Si la déclaration de confidentialité s’adresse à des tiers, elle est généralement publiée sur le site web.

Remarque sur le bandeau des cookies: un bandeau des cookies n’est pas nécessaire pour les sites web suisses – dans la mesure où ils s’adressent aux visiteurs de Suisse. Il suffit d’informer, dans le cadre de la déclaration de protection des données, sur l’utilisation des cookies et sur la manière de s’opposer à leur traitement.

Comme l’entreprise collecte inévitablement des données sur ses collaborateurs, ces derniers doivent également être informés de manière appropriée sur le traitement des données. En règle générale, une déclaration interne de protection des données est rédigée à cet effet et le contrat de travail ou le règlement du personnel y fait référence.

Répertoire de traitement des données

Conformément à l’article 12 de la LPD, les entreprises qui remplissent certaines conditions doivent tenir un registre dans lequel sont consignées toutes les activités de traitement en rapport avec les données personnelles de l’entreprise. En principe, le registre ne doit être tenu que si l’entreprise emploie plus de 250 personnes ou si le traitement des données comporte un risque élevé d’atteinte à la personnalité des personnes concernées (par exemple parce que des données personnelles sensibles sont traitées à grande échelle ou que le profilage est utilisé).

Même si, en tant qu’entreprise, vous ne remplissez pas ces conditions et n’êtes pas tenu de créer un registre, il peut être utile d’en créer un. Dans le cadre de l’établissement de ce registre, vous pouvez vérifier quand vous traitez concrètement des données, dans quel but vous les traitez, combien de temps vous les conservez ou à qui vous les transmettez. En outre, vous devez examiner les mesures que vous avez prises pour garantir la protection de ces données. Vous pouvez ainsi faire directement l’inventaire de vos activités de traitement et vérifier si des mesures doivent être prises dans votre entreprise.

Analyse d’impact sur la protection des données

Conformément à l’article 22 de la LPD, une analyse d’impact sur la protection des données (AIPD) permet d’évaluer les conséquences possibles des traitements de données prévus sur la vie privée et les droits des personnes concernées. L’objectif est de s’assurer que les traitements de données à risque peuvent être identifiés et que les mesures appropriées peuvent être prises et enregistrées.

Concrètement, la réalisation d’une AIPD est nécessaire lorsqu’un traitement de données est susceptible de présenter un risque significatif pour la vie privée ou les droits fondamentaux d’une personne. Ce risque peut résulter de différents facteurs tels que l’utilisation de nouvelles technologies, l’ampleur du traitement des données et la finalité du traitement des données. Un tel risque existe par exemple en cas de traitement à grande échelle de données à caractère personnel particulièrement sensibles et de surveillance systématique de grands espaces publics.

Un exemple pourrait être l’utilisation d’algorithmes d’analyse de données pour surveiller le comportement des utilisateurs sur les médias sociaux et en tirer des conclusions. Cela peut avoir un impact sur la vie privée et la liberté des personnes concernées.

Mesures techniques et organisationnelles

Des mesures techniques et organisationnelles appropriées garantissent que les données à caractère personnel sont protégées de manière adéquate et en fonction des risques – ceci est obligatoire et stipulé dans la LPD à l’article 8. Toutes les activités de traitement doivent être évaluées et il convient de déterminer si les données sont suffisamment protégées à ces étapes. Plus le risque est élevé, plus les mesures à prendre pour protéger les données de manière adéquate sont complètes.

Les mesures prises doivent être régulièrement contrôlées et adaptées si nécessaire. En règle générale, il est conseillé de documenter soigneusement toutes les activités de réduction des risques afin de pouvoir prouver le devoir de diligence de l’entreprise en cas d’urgence.

Organisation interne

La responsabilité du respect de la protection des données incombe à la direction. Celle-ci doit s’assurer, par des mesures organisationnelles, que tous les services et collaborateurs respectent également les lois en vigueur sur la protection des données. A cette fin, vous devez, en tant qu’entreprise, réfléchir à la nomination d’un conseiller en protection des données et à la manière de garantir la mise en œuvre dans les différents services et auprès des collaborateurs eux-mêmes.

Conseiller à la protection des données

Conformément à l’article 10 de la LPD, un conseiller à la protection des données peut être désigné. Si vous disposez d’un conseiller à la protection des données, il est un conseiller indépendant et l’interlocuteur central de l’entreprise pour toutes les questions relatives à la protection des données. Dans cette fonction, il élabore des directives relatives à la protection des données et est responsable de leur communication, de leur contrôle et de leur respect. Dans ce contexte, le conseiller à la protection des données agit, décide et recommande sans recevoir d’instructions et en toute indépendance.

Responsables de sous-secteurs

Lorsqu’une entreprise atteint une certaine taille, il est difficile de garder une vue d’ensemble de tous les processus commerciaux. Souvent, les chefs de service assument la fonction de premier point de contact pour les employés en cas d’informations et de questions sur la protection des données, ainsi que la surveillance des processus opérationnels dans leur service.

Employés

Pour s’assurer que tous les employés respectent les obligations en matière de protection des données, différentes mesures peuvent être prises pour les former en conséquence. La manière dont les collaborateurs sont informés de manière adéquate est laissée à votre appréciation et dépend également de l’organisation et de la taille de l’entreprise (par exemple, formation sur site ou e-learning).

Les documents ou directives suivants sont considérés comme utiles dans ce contexte :

• Règlement interne sur la protection des données : un règlement interne sur la protection des données peut contenir les informations, les directives et les processus essentiels. Ce document peut également contenir des conseils pratiques sur des cas d’affaires concrets au sein de l’entreprise, de nouveaux outils ou d’autres documents importants relatifs à la protection des données et servir d’ouvrage de référence pour les collaborateurs.
• Guide interne contenant les principales explications: Tous les collaborateurs ne sont pas des experts en matière de protection des données ou n’ont que peu de contacts avec le droit. Si les collaborateurs sont informés sur la protection des données, cela doit se faire de manière simple et compréhensible. Avec un guide interne expliquant les points essentiels de manière compréhensible.
• Accord de confidentialité: si les employés ont accès à des données personnelles, l’entreprise doit s’assurer que ces données sont traitées de manière confidentielle. Cela est particulièrement vrai lorsque, par exemple, des données soumises à un secret professionnel sont traitées. Il est donc recommandé de conclure un accord de confidentialité avec les collaborateurs.

Si les collaborateurs sont bien informés et sensibilisés à la protection des données dans l’entreprise, il y a un autre point important que les entreprises doivent prendre en compte en ce qui concerne les collaborateurs :

• Déclaration de confidentialité interne : les employés doivent être informés des données les concernant qui sont traitées au sein de l’entreprise. En tant qu’entreprise, vous devez donc également rédiger une déclaration de confidentialité interne à l’intention des employés, dans laquelle ces derniers sont informés des raisons et de la manière dont leurs données sont traitées, ainsi que des droits dont ils disposent par rapport à ce traitement.

Accords sur le traitement des commandes

Conformément à l’article 9 de la LPD, le traitement des données peut être délégué à un sous-traitant. Concrètement, les responsables ne peuvent déléguer le traitement de données personnelles à un sous-traitant par le biais d’un accord de traitement de mandat (ou par la loi) que si ce dernier ne traite les données que de la manière dont le responsable serait autorisé à le faire. Dans ce cas, l’entité responsable reste responsable de la protection des données. Il doit donc veiller à ce que le sous-traitant puisse garantir la sécurité des données.

En outre, les données personnelles ne peuvent être traitées dans un premier temps que dans des pays qui peuvent garantir une protection des données équivalente à celle de la Suisse. L’annexe de la LPD contient une liste de pays offrant un niveau de protection des données adéquat, qui est régulièrement mise à jour par le PFPDT. Si un pays ne garantit pas une protection des données adéquate, le niveau de protection des données suisse est considéré comme adéquat.

Demande de renseignements

Conformément à l’article 25 de la LPD, toute personne a le droit d’exiger du responsable du traitement qu’il lui indique si des données personnelles la concernant sont traitées. Si des données personnelles sont traitées, la personne concernée doit en être informée dans tous les cas :

1. quelles données les concernant sont traitées
2. la finalité du traitement
3. la durée de conservation des données
4. l’origine des données
5. s’il s’agit, le cas échéant, d’une décision individuelle automatisée
6. si les données ont été transmises à des tiers, le cas échéant.

L’information doit être fournie dans un délai de 30 jours. Il est donc essentiel d’avoir en permanence une vue d’ensemble des processus de traitement au sein de l’entreprise. Bien qu’un formulaire d’accès ne soit pas obligatoire, il peut garantir un traitement standardisé, conforme à la législation et rapide de l’accès.

Comment s’assurer que toutes les mesures sont mises en œuvre ?

Il est utile de désigner clairement un service au sein de l’entreprise qui sera responsable de l’application des mesures de protection des données en vigueur et qui gardera une vue d’ensemble. Si l’entreprise ne dispose pas de l’expertise ou des ressources nécessaires, il est également possible de désigner un organisme externe qui s’occupera de ces questions. Si vous recherchez des conseils juridiques sur les questions de protection des données, GetYourLaywer peut vous aider à trouver un avocat approprié.