Quelles sont les mesures à prendre (liste non exhaustive) ?
- Les entreprises devraient désigner le plus rapidement possible une personne responsable de la protection des données. En d'autres termes, il convient de clarifier les responsabilités, notamment en ce qui concerne les dispositions pénales. Les infractions à la nLPD qui peuvent faire l'objet de sanctions pénales sont très limitées : https://www.vischer.com/know-how/blog/wie-strafbarkeit-unter-dem-neuen-datenschutzgesetz-vermieden-wird/
- Les principes de la protection des données sont restés inchangés : Légitimité d'une collecte de données, bonne foi, caractère reconnaissable de la collecte et de la finalité, affectation, proportionnalité, exactitude des données et sécurité des données. Dans le contexte du droit du travail en particulier, il faut tenir compte du fait que l'employeur ne peut traiter que les données sur les candidats ou les collaborateurs qui sont absolument nécessaires pour leur aptitude ou pour l'exécution de la relation de travail (p. ex. décompte avec la caisse de compensation). En d'autres termes, plus les données sont sensibles en termes d'atteinte à la personnalité de la personne concernée, plus les précautions à prendre pour éviter cette atteinte sont importantes.
- Parmi les nouvelles obligations figure notamment l'établissement d'un registre des activités de traitement, appelé "inventaire des données". En termes simples, l'entreprise doit déterminer qui traite quelles données et dans quel but. Important : les entreprises de moins de 250 collaborateurs sont dispensées de ce processus fastidieux si elles ne traitent pas de données personnelles sensibles à grande échelle. Cela ne devrait pas être le cas pour les membres de notre association. Une analyse d'impact sur la protection des données n'est donc pas nécessaire. Si l'entreprise constate qu'elle ne traite pas de données sensibles, elle devrait tout de même documenter cet état de fait.
- Il existe en outre une obligation de notification en cas de violation de la sécurité des données (p. ex. divulgation à des personnes non autorisées, perte de données, cyber-attaque, etc.) La personne responsable de la protection des données au sein de l'entreprise doit en informer le Préposé fédéral à la protection des données et à la transparence (PFPDT) "dans les meilleurs délais" (au sens de "en temps réel"). Une déclaration est par exemple nécessaire en cas de perte de données non cryptées concernant les collaborateurs (dossier personnel avec qualifications et données salariales).
Où puis-je obtenir des informations et des documents ?
- www.sgv-usam.ch/datenschutz (mit Vorlagen)
- https://www.sgv-usam.ch/fr/grands-axes-politiques/politique-%C3%A9conomique/sous-pages/nouveau-droit-de-la-protection-des-donn%C3%A9es (avec des documents)
- https://www.economiesuisse.ch/de/artikel/datenschutz-eine-uebersicht-zum-neuen-gesetz (Q&A)
- https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/grundlagen/ndsg.html (Website des eidg. Datenschutzbeauftragen und Öffentlichkeitsbeauftragter)