Les étapes de la mise en place de la nLPD pour les PME

Public vs Privé

Cécile Kerboas a d’entrée souligné une distinction cruciale : les traitements de données réalisés par les Entités Publiques vaudoises ne relèvent pas de cette nLPD mais de la loi cantonale vaudoise sur la protection des données personnelles de 2007, en cours de révision. Concernées également, les entreprises privées qui se voient confier des tâches publiques par le canton ou une commune. Cette nLPD ne concerne donc que les privés.

La nLPD pas à pas

Gavin Price et Michel Jaccard ont partagé leur savoir-faire en matière de sécurisation informatique adaptée aux besoins des PME. Pour compléter ces connaissances, le site de la PFPDT et myright.ch offrent aux PME une mine d’informations utiles, synthétisée en douze étapes clés*. Des informations supplémentaires et des documents sont disponibles à travers l’article en ligne sur VDJ360.

1. Établir la déclaration de protection des données :

Quelles sont les données traitées ? De quelle manière et dans quel but etc.
Pour le Web  Exemple de déclaration ici

2. Rédiger des directives sur le traitement des données au sein de l’entreprise : comment gérer les données personnelles; à quel service interne s’adresser en cas de besoin; et à quelles conditions.

3. Établir « un registre des activités » de traitement des données.

Non obligatoire pour les entreprises de moins de 250 personnes mais très utile pour répondre à une demande de renseignement. Exemple ici

4. Élaborer un processus permettant de répondre rapidement aux demandes d’accès ou de suppression de données :

Les processus doivent être conçus de façon à indiquer clairement quel service de l’entreprise est chargé de fournir des renseignements et de quelle manière.

5. Introduire une procédure d’annonce des violations de la sécurité des données :

Il doit exister des processus permettant d’annoncer une violation de la sécurité des données. Les incidents sont à rapporter à la PFPDT et aux personnes concernées.

6. Définir un processus pour les analyses d’impact (AIPD) :

Il s’agit d’une analyse des risques qui permettra soit de renoncer à collecter des données risquées, soit de transférer à une entreprise spécialisée.

7. Analyser les contrats avec les sous-traitants :

Vérifier si la sécurité des données est garantie et ajouter des clauses en la matière (notamment sur l’annonce de toute violation de la protection des données).

8. S’assurer que toutes les données personnelles soient supprimées ou anonymisées dès qu’elles ne sont plus nécessaires.

9. Vérifier vers quels pays les données sont transmises.

10. Garantir la sécurité des données par des mesures techniques et organisationnelles appropriées :

Restrictions de l’accès aux données et des limitations de l’accès aux locaux et installations, cryptage. La violation intentionnelle de ces exigences peut être sanctionnée par une amende pouvant aller jusqu’à CHF 250’000.-. Cela montre l’importance accordée à ces mesures.

11. Assurer la portabilité des données :

Définissez un processus pour la remise ou la transmission des données.

12.Vérifier s’il est nécessaire de nommer un conseiller ou une conseillère à la protection des données.

Ressources utiles pour la conformité à la protection des données

Pour une aide personnalisée dans l’application de la nouvelle loi sur la protection des données, les ressources suivantes sont à disposition :

•    Site de la PFPDT : Pour des questions spécifiques, contactez la hotline disponible du lundi au vendredi, de 10h à 12h, au 058 462 43 95.

•    Livre Blanc nLPD de Clusis: Une ressource précieuse qui traite des ajustements nécessaires pour la conformité et suggère par où commencer.

•    Plus de détails sur les 12 étapes*, et, téléchargement possible d’un exemple d’un « registre des activités » en vous rendant sur le même article du VDJ360

•    Pour le Secteur Public : Protection des Données – État de Vaud. La hotline est joignable du lundi au jeudi, de 10h30 à 12h30, au +41 (0) 21 316 40 64.