Sécurité TI et loi sur la protection des données

Avez-vous besoin d'une déclaration de protection des données pour votre site web ou pour les contrats avec vos clients ? Oui, car dès que vous traitez des données personnelles, vous avez un devoir d'information. En vue de la nouvelle loi, l'élaboration d'une déclaration de protection des données est donc une tâche principale.

Consultez par exemple notre déclaration de confidentialité. Cela vous donnera quelques idées sur la manière dont vous pourriez rédiger une déclaration de confidentialité adaptée à vos besoins.

Si vous définissez vos normes pour le traitement des données, cela vous aidera en interne, mais aussi en externe (demandes des autorités, procédures juridiques). Vous clarifiez ainsi des questions pertinentes telles que

• Quelles données collectons-nous ?
• Qui a accès à quelles données ?
• Où les données doivent-elles être archivées ?
• Quelles données ne peuvent être envoyées que sous forme cryptée ?

Tenir un registre des traitements de données afin de pouvoir suivre quelles catégories de données ont été traitées, quand, par qui et comment.

Vous trouverez plus d'informations à ce sujet dans la liste de contrôle "Liste des activités de traitement".

 

Données sensibles
Il existe un certain nombre de types de données qui sont particulièrement sensibles. Il s'agit notamment des données relatives à la santé, à la religion, aux poursuites pénales, à l'appartenance syndicale, à l'orientation sexuelle, aux données biométriques. Elles doivent faire l'objet d'une protection spécifique.
 

Quand les données doivent-elles être effacées ?
Les données personnelles qui ne sont plus nécessaires et pour lesquelles aucun motif légitime ne peut être prouvé doivent être supprimées par l'entreprise. Vous devez le prévoir dans vos processus.

Les personnes concernées (clients, utilisateurs de sites web) peuvent faire une demande d'information ou de suppression. Comme les délais sont courts, il est recommandé d'avoir un modèle à disposition.

Pour savoir quelles données vous devez fournir, consultez la "Liste de contrôle sur l'obligation de renseignement".

Il y a violation de la protection des données lorsque des données personnelles sont perdues, effacées, détruites ou modifiées de manière involontaire ou illicite ou lorsqu'elles sont divulguées ou rendues accessibles à des personnes non autorisées.

Il existe dans ce contexte des obligations de notification auxquelles il convient d'être préparé sur le plan organisationnel et technique. La violation de la sécurité des données doit être annoncée au Préposé fédéral à la protection des données et à la transparence (PFPDT).

Pour de nombreuses fonctions (envoi d'e-mails et de newsletters, logiciels dans le cloud, vidéoconférences, etc.), des services de tiers sont utilisés. La plupart de ces fournisseurs ont des serveurs en dehors de la Suisse.

Sur le site du Préposé fédéral à la protection des données, vous trouverez une liste des "pays tiers sûrs" qui ne posent pas de problème. Pour tous les autres, ainsi que pour les Etats-Unis, il faut des clauses contractuelles supplémentaires et spécifiques.

Faites contrôler votre infrastructure informatique. Où faut-il prendre des mesures supplémentaires en vue de la nouvelle loi sur la protection des données ? Mais n'oubliez pas : la technique seule ne suffira pas, le point faible en matière de cybercriminalité est souvent l'homme. C'est là que vous devez intervenir en informant et en prenant des mesures organisationnelles (p. ex. gestion des mots de passe).