La pérennité d’une PME repose en grande partie sur les données qu’elle collecte. Or, ces informations sont particulièrement sensibles, car elles touchent à la vie privée des clients comme des employés. Leur exploitation malveillante, à la suite d’un vol ou d’une fuite, peut entraîner des préjudices importants pour les personnes concernées. Bien que le RGPD soit souvent évoqué en matière de protection des données, les entreprises suisses sont principalement soumises à la nLPD. Toutefois, le RGPD peut s’appliquer dans certains cas spécifiques. Quelles sont alors les obligations de conformité RGPD pour les entreprises à Lausanne ? Découvrez-les à travers l’article.
Rédiger une politique de confidentialité transparente
La première obligation en matière de protection des données pour les entreprises suisses est de fournir une information claire sur l’identité du responsable de traitement et les buts visés. Toute entreprise qui collecte des informations sur ses clients ou sur ses employés doit expliquer clairement ce qu’elle en fait.
En effet, la première démarche est d’observer les pratiques internes. Prenez le temps d’identifier les différents points de collecte et de noter la nature des informations enregistrées. Tout internaute qui consulte votre site doit comprendre rapidement pourquoi vous demandez certaines informations et ce que vous en faites. Utilisez donc un langage direct.
Pour n’avoir à écoper d’aucune sanction allant dans ce sens, vous pouvez vous faire accompagner par Me Mirko Giorgini, avocat à Lausanne. Son cabinet d’avocats réunit des professionnels qualifiés pour résoudre les questions juridiques, même les plus complexes.
Limiter la collecte aux seules données strictement nécessaires
La deuxième obligation pour toutes les PME qui opèrent sur le territoire suisse est de limiter la collecte aux seules données strictement nécessaires. Elle concerne notamment celles qui ont l’habitude de stocker des informations « au cas où ».
La loi impose aux PME de ne garder que ce qui est utile pour réaliser une tâche précise. Si vous gérez une newsletter, avez-vous réellement besoin de connaître la date de naissance ou l’adresse postale de vos abonnés ? Probablement pas. Limitez-vous à l’adresse e-mail et au prénom pour la personnalisation.
Cela dit, vous devez faire un grand ménage dans vos formulaires de contact. Chaque fois que vous créez un formulaire ou que vous enregistrez une information, demandez-vous si cette donnée est réellement indispensable. Si la réponse n’est pas évidente, il est préférable de ne pas la collecter. Cette discipline réduit immédiatement vos risques juridiques et techniques.
Déployer des mesures techniques et organisationnelles pour sécuriser les données
Si vous collectez toutes sortes d’informations sur vos prospects, vous devez également en prendre soin. Cette responsabilité concerne aussi bien les outils informatiques que l’organisation interne.
Pour une PME, en effet, la première des choses à faire est de sécuriser l’accès aux systèmes informatiques. Chaque collaborateur doit disposer d’un compte personnel afin que les actions soient identifiables. En complément, il est recommandé d’utiliser des mots de passe robustes et de les renouveler régulièrement. Vous pouvez également activer une authentification à deux facteurs lorsque les logiciels le permettent.
Les ordinateurs et les serveurs doivent aussi être correctement protégés. Pour cela, vous avez besoin d’un antivirus à jour et d’un pare-feu bien configuré. De même, les mises à jour des logiciels doivent être installées sans délai, car elles corrigent souvent des failles exploitées par les pirates informatiques. Par ailleurs, les données doivent être copiées régulièrement sur un support sécurisé afin de pouvoir être restaurées en cas de problème.
Permettre aux personnes concernées d’exercer leurs droits
En matière de gestion des données en entreprise, le RGPD et la nLPD placent l’individu au centre du jeu. Toute personne dont les données sont traitées par une entreprise peut demander à consulter ces informations, à les corriger ou à en obtenir la suppression.
En termes plus clairs, vos clients et vos employés ont le pouvoir sur toutes les informations qui sont les leurs. Ils peuvent vous demander des comptes à tout moment. Aussi, vous avez l’obligation de leur répondre gratuitement, en principe sous trente jours. Si les données sont fausses, vous devez les corriger sans tarder. S’ils demandent la suppression de leurs données et que vous n’avez plus de raison légale de garder leurs traces, vous devez tout supprimer.
Pour ces raisons, créez un canal simple, comme une adresse électronique dédiée, pour recevoir les demandes. Répondez dans les délais prescrits par la législation.
Documenter le traitement des données via un registre des activités
La conformité aux règles de protection des données repose également sur la capacité de l’entreprise à justifier ses pratiques. D’où la nécessité de documenter le traitement des données via un registre des activités, conformément à la loi.
Ce document recense l’ensemble des opérations qui impliquent des données personnelles. Il décrit les types d’informations collectées, les raisons de leur utilisation et la durée pendant laquelle elles sont conservées. Pour une PME, c’est en quelque sorte le journal de bord de conformité.
Dans ce registre, listez chaque activité qui utilise des données personnelles :
- Recrutement ;
- Gestion des salaires ;
- Suivi des ventes ;
- Prospection commerciale ;
- Support client, etc.
Pour chaque ligne, indiquez qui est responsable, quelles données sont utilisées, pourquoi, et combien de temps vous les gardez. Précisez aussi les mesures de sécurité que vous avez mises en place pour chaque cas.
Signaler sans délai toute violation de données au PFPDT en cas d’incident
Lorsqu’une entreprise traite des données personnelles, elle assume également la responsabilité de réagir rapidement en cas de problème. Une violation de données peut survenir dans de nombreuses situations. Il peut s’agir :
- D’un ordinateur perdu ;
- D’accès non autorisé à la base de données ;
- D’un piratage informatique ;
- D’un e-mail envoyé à la mauvaise personne ;
Peu importe la situation, il y a une conduite à tenir. La législation suisse impose d’informer l’autorité compétente lorsque l’incident présente un risque pour les personnes concernées. Cet avertissement doit intervenir dans les meilleurs délais.
De ce fait, préparez un protocole de crise que chaque collaborateur peut activer instantanément. Désignez un responsable chargé de documenter les faits, les mesures de remédiation prises et les motifs de la notification. Pour vous accompagner dans ces démarches, vous pouvez faire appel à un cabinet spécialisé comme Giorgini avocats.
