Les consultants d’Osatech sont certifiés et peuvent vous aider à mettre en œuvre le règlement sur la protection des données. Nous réalisons des analyses préliminaires sur le statut de conformité de votre entreprise et planifions avec vous ce qui doit être fait.
Conseil GDPR au Tessin, Suisse
Liens de la Confédération suisse : Loi GDPR
Le 4 mai 2016, les textes du nouveau règlement européen sur la protection des données et de la directive régissant le traitement des données à des fins de prévention et de lutte contre la criminalité ont été publiés au Journal officiel de l’Union européenne. Il s’agit d’une étape historique dans la protection des données qui unit tous les États membres de l’UE.
Le règlement est entré en vigueur le 24 mai 2016, mais n’a trouvé son application concrète que le 25 mai 2018. Un temps d’attente utile pour que les entreprises et les administrations publiques s’organisent et s’adaptent à la nouvelle réglementation. Une empreinte stratégique qui voit la gestion de la protection des données se rapprocher du monde de la sécurité informatique.
L’une des nouveautés du GDPR concerne la création d’une nouvelle figure professionnelle chargée de contrôler le bon traitement des données, le DPO ou délégué à la protection des données, qui sera introduit de manière obligatoire dans l’administration publique et dans les entreprises privées qui traitent des données sensibles.
Les principales innovations introduites par le GDPR comprennent l’ obligation de traiter les données selon lesprincipes « bydesign » et« by default » ; l’obligation de réaliser une analyse d’impact sur la protection des données (DPIA) pour le traitement des données à haut risque ; l’obligation de se conformer à la « violation de données », c’est-à-dire la notification au garant et à la personne concernée de toute fuite ou compromission de données ; l’augmentation des sanctions en cas de violation ; et la pseudonymisation et le cryptage des données.
Comment les PME suisses doivent-elles gérer la nouvelle réglementation ? Il est essentiel que toutes les entreprises se penchent sur cette question, car chaque entreprise, grande ou petite, doit comprendre les bases du GDPR. C’est le seul moyen d’évaluer la marche à suivre dans chaque cas particulier. De même, nous conseillons à tous nos clients d’entamer le processus de mise en conformité avec le GDPR à un stade précoce.
En effet, il faut savoir que même si une entreprise opère exclusivement en Suisse, et n’aurait donc pas à se conformer aux directives européennes, elle sera confrontée à des défis identiques lorsque la nouvelle loi fédérale sur la protection des données entrera en vigueur au plus tard.
Quels sont les risques ? Un entrepreneur doit donc comprendre ce que la nouvelle réglementation signifie réellement pour son entreprise et où les données personnelles sont stockées et traitées. Cela permet de créer un catalogue de mesures correspondant pour mettre progressivement en œuvre les exigences du GDPR. Les entrepreneurs doivent également se demander quels seront les risques de non-respect des directives du GDPR à l’avenir. Il ne s’agit pas d’une bagatelle : en fonction de la violation, des sanctions pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial sont prévues.
Comment s’y conformer ?
Les consultants d’Osatech sont certifiés et peuvent vous aider à mettre en œuvre le règlement sur la protection des données. Grâce aux audits ISA, nous réalisons des analyses préliminaires de l’état de conformité de votre entreprise et planifions avec vous, étape par étape, ce qui doit être fait pour se conformer au règlement.
Lien Confédération suisse : cliquez ici
Qu'est-ce que le GDPR ?
L’acronyme signifie Règlement général sur la protection des données (RGPD) et constitue le nouveau règlement européen sur la protection des données en vigueur depuis le 25 mai 2018.
Que fournit-il ?
Elle réglemente le traitement des données à caractère personnel par les entreprises privées, les administrations publiques et d’autres organisations. (Par traitement, on entend toute activité liée à la collecte, à l’agrégation, à l’extraction, à l’analyse, au stockage et au partage de données). Le GDPR exige que les données personnelles soient stockées et traitées en toute sécurité.
À qui s'adresse-t-elle ?
Le GDPR est conçu pour protéger les données personnelles de toute personne vivant dans l’Union européenne.
Qui est responsable de l'application de la législation ?
L’Union européenne et ses États membres sont responsables de l’application du GDPR. Chaque pays est tenu de mettre en place une autorité publique et indépendante de protection des données (DPA) chargée de faire appliquer le GDPR, de traiter les plaintes des particuliers, d’imposer des sanctions si nécessaire, d’approuver des codes de conduite et de sensibiliser ses citoyens. Les plaintes des particuliers contre les entreprises seront traitées par les autorités de protection des données et les tribunaux nationaux, ainsi que par la Cour de justice de l’Union européenne si nécessaire.
Quoi de neuf ?
1 : Elle accorde aux individus de nouveaux droits (par exemple, le droit de transférer leurs données entre différentes entreprises et services et le droit de demander une copie de leurs données détenues par les entreprises) et oblige les entreprises/organisations à être plus transparentes (par exemple, elles doivent vous informer de l’origine et des finalités du traitement des données qu’elles traitent et elles doivent vous informer si elles vous profilent).
2 : Facilite et rend plus efficace le respect de la loi (par exemple en sanctionnant les entreprises ou en permettant aux citoyens de saisir directement la justice en cas d’infraction).
3 : simplifie les règles en appliquant exactement la même législation dans tous les États membres de l’UE et donne aux entreprises une plus grande flexibilité quant à la manière d’assurer la conformité.
Qu'entend-on par données à caractère personnel ?
Les données personnelles jouent un rôle central dans le GDPR, car le règlement ne s’applique pas indistinctement à toutes les données détenues par les entreprises. En pratique, on entend par données à caractère personnel toute information permettant d’identifier une personne. Étant donné que cette identification peut souvent se faire en regroupant plusieurs informations, la définition des données à caractère personnel est par conséquent assez large. Une pointure de chaussure, un hobby ou une photo, par exemple, peuvent être considérés comme des données à caractère personnel s’il est possible de retrouver la personne à laquelle ces informations appartiennent. Il convient de garder à l’esprit que ce n’est pas nécessairement le responsable du traitement lui-même qui est en mesure de procéder à l’identification.
Qui doit s'y conformer ?
Le règlement s’applique directement et indistinctement dans les 28 pays de l’Union européenne et concerne toutes les entreprises privées, les institutions publiques et les organisations qui détiennent et traitent des données à caractère personnel. Ces entités ont eu plus de deux ans, depuis le 27 avril 2016, pour se conformer au nouveau règlement. Mais il s’applique également aux entreprises et organisations opérant en dehors de l’UE : si une entreprise ou une organisation traite les données personnelles d’individus vivant dans l’UE, elle doit se conformer au GDPR, quel que soit son lieu d’implantation.
Le GDPR s'applique-t-il aux entreprises suisses ?
Oui. Dès qu’une entreprise surveille ou suit le comportement d’un utilisateur sur le territoire de l’UE, le règlement sera activé, quel que soit le lieu d’implantation de l’entreprise.
Qui ne doit pas s'adapter ?
1 : Certains organes de l’État, notamment les services de sécurité nationale, les services répressifs et le pouvoir judiciaire, seront régis par des réglementations nationales distinctes.
2 : Les particuliers sont exemptés s’ils collectent des données pour un « usage personnel ou domestique », par exemple s’ils stockent des contacts personnels dans leur téléphone.
3 : Les églises et les associations religieuses peuvent conserver leurs propres organes de protection des données et leurs propres autorités de contrôle indépendantes, à condition que ces règles soient conformes au GDPR.
Peut-on faire l'objet de sanctions ?
Si vous ne vous conformez pas au GDPR, l’Autorité de protection des données peut vous sanctionner. Cela peut se produire à la suite d’une plainte déposée par un particulier ou d’un contrôle décidé par l’Autorité elle-même. L’autorité de protection des données doit veiller à ce que la sanction soit efficace, proportionnée et dissuasive dans chaque cas. Elle tiendra compte, entre autres, de la nature et de la gravité de l’infraction, du degré de négligence qui y est associé, des mesures prises pour atténuer le préjudice et du budget de l’entreprise ou de l’organisation. Les sanctions peuvent atteindre 4 % du chiffre d’affaires annuel de l’entreprise ou 20 millions d’euros, le montant le plus élevé étant retenu.
D'autres doutes ?
Afin de pouvoir vous assister au mieux, nos consultants ont suivi des centaines d’heures de formation et ont passé avec succès des dizaines d’examens spécifiques. Nous sommes à votre disposition pour vous fournir des explications sur le règlement GDPR ou pour vous accompagner dans votre démarche de certification.
VOUS POURRIEZ ÊTRE INTÉRESSÉ PAR
REGARDS
DEMANDER DES INFORMATIONS
Ce qu'ils disent de nous
Expérience, passion et dévouement. C’est ce qui ressort des propos de nos clients lorsqu’ils parlent d’Osatech.
