Data : mesures concrètes à mettre en œuvre

ment aux nouvelles règles de protection des données ;

• é valuer la situation actuelle en dressant un registre de traitement des données, soit une liste des données traitées dans le cadre de l’activité de l’entreprise ;

• rédiger des directives sur le traitement des données au sein de l’entreprise et contrôler (ou modifier) les déclarations sur la protection des données (site web, contrats, contenus publicitaires, etc.) ;

La révision totale vise à adapter la LPD (nLPD) aux nouvelles conditions technologiques et sociales. Il est en particulier question d’améliorer et de renforcer la transparence du traitement des données et l’autodétermination des personnes concernées à l’égard de leurs données, ce qui entraîne des obligations supplémentaires pour les entreprises dès le 1er septembre de cette année.

1 S eules les données des personnes physiques sont couvertes, et non plus celles des personnes morales (sociétés commerciales, associations).

2 L’actuelle définition des données sensibles est étendue aux données génétiques et aux données biométriques lorsqu’elles identifient une personne physique de manière univoque.

3 L es principes de protection dès la conception et protection par défaut introduits exigent des entreprises l’adoption de mesures techniques et organisationnelles appropriées pour garantir le respect des prescriptions de la nLPD dès la conception ou la création de nouvelles technologies permettant le traitement de données. Ces mesures pourraient notamment consister à réduire à un minimum le traitement des données à caractère personnel, à « pseudonymiser » ces dernières dès que possible, à bien gérer les droits d’accès ou encore à permettre à la personne concernée de contrôler le traitement de ses données.

4 En cas de risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées, des analyses d’impacts doivent être menées.

5 L e devoir d’informer est étendu : l a collecte de toutes les données personnelles, et non plus uniquement celle de données sensibles, exige une information préalable de la personne concernée. Concrètement, l’identité et les coordonnées du responsable du traitement devront être communiquées, de même que la finalité du traitement et, le cas échéant, les destinataires des données personnelles.

6 L a tenue d’un registre des activités de traitement devient obligatoire, une exception étant toutefois prévue pour les entreprises de moins de 250 employés dont le traitement des données présente un risque limité d’atteinte à la personnalité des personnes concernées.

7 L e Préposé fédéral à la protection des données peut, d’office ou sur dénonciation, mener des enquêtes si des indices suffisants font penser qu’un traitement de données pourrait être contraire à des dispositions de la nLPD. Il peut ordonner la modification, la suspension ou la cessation de tout ou partie du traitement ainsi que l’effacement des données, ce qui constitue un risque important pour l’entreprise, en plus du risque de déficit d’image. Si, contrairement aux autorités européennes, le Préposé n’a pas de pouvoir de sanction, il a en revanche la possibilité de dénoncer des infractions à la nLPD aux autorités cantonales de poursuite pénale.

Les entreprises suisses doivent mettre en œuvre différentes mesures pour se conformer à la nLPD. Il s’agit en particulier de :

• former et sensibiliser les collaborateurs ainsi que le(s) responsable(s) de traite -

• a nalyser les contrats avec les sous-traitants, afin de vérifier que la sécurité des données soit assurée et ajouter, le cas échéant, des clauses en la matière ;

• opter pour un modèle d’organisation de l’entreprise avec ou sans conseiller à la protection des données ; c as échéant, désigner un conseiller à la protection des données, interne ou externe à l’entreprise, et publier ses coordonnées ;

• a ssurer la sécurité des données par des mesures techniques et organisationnelles appropriées, notamment en mettant régulièrement à jour les droits d’accès ;

• revoir les pays vers lesquels les données sont transmises, y compris pour une simple sauvegarde sur le cloud ;

• mettre en œuvre une procédure de signalement des violations de la protection des données ;

• définir un processus permettant de centraliser et gérer les réponses aux requêtes des personnes concernés ;

• déterminer les durées de conservation des données.

Plus une entreprise traite une grande quantité de données et/ou des données sensibles (en lien avec la religion, la santé, les activités politiques, etc.), plus les exigences seront importantes. Pour les sociétés qui ne se sont pas déjà adaptées au Règlement européen sur la protection des données (RGPD) datant de 2018, la mise en conformité avec la nLPD prendra du temps et nécessitera généralement des expertises juridiques et techniques, d’où l’importance d’une action concrète urgente.

SECURETUDE organise des formations reconnues par le SECO, l’OFSP et l’AEAI.

• dès le 23.02.2023 SST-CBST 01.23 SANSN2 IAS 01.23 – Secouriste d’entreprise Niveau 2, 3 jours

• dès le 27.02.2023 INC-SPI 01.23 – Spécialiste en protection incendie, 12 jours

• le 16.03.2023 SAN-BLS-AED SRC Complet 01.23 – Massage cardiaque et défibrillateur, cours complet

• le 23.03.2023 SAN-TOP 10 01.23 – Réagir au Top 10 des urgences médicales

• le 05.04.2023 SAN-SAFETY DAY 01.23 –Premiers secours, urgences pédiatriques, lutte contre le feu

20.02.2023

Bex

T. 024 466 52 57 www.securetude.com info@securetude.com

L’Institut Ariaq organise, à Yverdon-les-Bains, les formations suivantes :

• dès le 23.02.2023 ISO 13485, CFR 210 et 211, 21 CFR 820, 2 jours

• d ès le 24.02.2023 Contrôleur qualité TQ1, 12 jours

• d ès le 08.03.2023 Planificateur logistique, 11 jours

23.02.2023

Yverdon-les-Bains

T. 024 423 96 50 www.ariaq.ch natalia.darocha@ariaq.ch

Cursus Formation organise à Prilly une formation intitulée « A doptez les pratiques du coaching avec vos équipes ». Ces trois jours de formation – 01, 02 et 30 mars – vous fourniront les clés de la motivation et du développement de vos collaborateurs.

01, 02 & 30.03.2023

Prilly

T. 021 626 27 21 www.cursus-formation.ch formationmanagement@cursusformation.ch

ASKFOR

Askfor organise une formation pour vous apprendre à raconter votre histoire au monde entier et à transmettre un message ou une idée de manière engageante et mémorable, grâce au storytelling.

28.03.2023

Lausanne

T. 021 981 17 28

Christophe Béguin www.formation-continue-askfor.ch admin@askfor.ch

SCORE Management organise à la CVCI une formation de deux jours – 1er et 15 mai – sur les techniques de vente qui vous apprendront à vendre mieux et plus.

01 & 15.05.2023

Lausanne

T. 078 655 62 30

Eric Bertin www.score-management.ch eric@score-management.ch

BeVisible vous propose d’apprendre à filmer et monter des vidéos d’entreprise avec un smartphone au cours d’un atelier de deux jours organisé au Château de La Sarraz.

• Jour 1 : Apprentissage des techniques de base pour filmer et monter avec un smartphone.

• Jour 2 : Réalisation d’un projet BeSMARTphoneVIDEO de 30, 60 ou 120 secondes.

01.03.2023

Lausanne

T. 078 861 31 00

Philippe Perakis www.bevisible.swiss/bspv-entreprise contact@bevisible.swiss

IMPRESSUM

Editeur

Chambre vaudoise du commerce et de l’industrie (CVCI), avenue d’Ouchy 47, CP 315, 1001 Lausanne

T. 021 613 35 35 cvci@cvci.ch, www.cvci.ch

Rédaction

Zuzanna Adamczewska-Bolle, Laurine Chiarini, Jean-François

Krähenbühl, Romaine Nidegger, Fanny Oberson, Mathieu Piguet et Patrick Zurn.

Gervaise Defago (rédactrice responsable)

Conception

BuxumLunic, avenue Charles Dickens 6, 1006 Lausanne, www.buxumlunic.ch

Imprimeur

Sprint votre imprimeur SA

Acquisition de partenaires

Urbanic Régie publicitaire, avenue Edouard Dapples 54, 1006 Lausanne, T. 079 278 05 94, info@urbanic.ch

Tirage 4500 exemplaires

Parution

Six fois par année