Loi sur la protection des données
Des amendes salées menacent
9 mars 2023 agvs-upsa.ch – Le temps presse : la nouvelle loi sur la protection des données entrera en vigueur le 1er septembre prochain. Les membres de l’UPSA et le secrétariat lui-même travaillent à son application. Mais toutes les entreprises ne sont pas encore prêtes, c’est pourquoi l’UPSA leur recommande vivement de prendre le sujet au sérieux et de mettre en œuvre les mesures nécessaires d’ici fin août.
Photo: Istock/Teaser Shutterstock
Kro. «Notre entreprise est encore en cours de préparation et de clarification avec les autorités compétentes et les responsables», déclare Beat Salzmann, propriétaire et directeur du Forellensee-Garage AG à Zweisimmen (BE). «L’information sur la mise en œuvre reste floue», constate-t-il. Beat Salzmann n’est pas le seul à faire face à cette difficulté. La nouvelle loi sur la protection des données, qui entrera en vigueur le 1er septembre de cette année, représente encore un casse-tête pour de nombreux entrepreneurs et directeurs. Et cela ne concerne pas seulement les petites entreprises, mais aussi les moyennes et les grandes. «Nous sommes en train de rassembler le tout et de le mettre en place en interne», déclare par exemple Marc Weber, propriétaire et directeur de l’Ausee-Garage AG à Au-Wädenswil (ZH). Au sein du groupe Binelli aussi, les processus internes sont actuellement revus pour «garantir qu’ils sont conformes à la protection des données», confirme Julian Dubacher, responsable du marketing et de la communication, à la demande d’AUTOINSIDE. Le temps presse, et c’est pourquoi la plupart des entreprises de la branche automobile travaillent sur le sujet, comme l’a relevé Cornelia Stengel dans le numéro de février d’AUTOINSIDE. La directrice de l’Association Suisse des Sociétés de Leasing (ASSL) a indiqué que l’élément le plus important pour se préparer à l’entrée en vigueur de la nouvelle loi est «un état des lieux du traitement des données personnelles».
«Le savoir-faire nécessaire pour répondre aux exigences de la loi sur la protection des données et des importateurs/constructeurs est considérable», explique Volker Dohr, avocat et CEO d’Impunix, une société spécialisée dans la protection des données (voir encadré). Rien que comprendre les fondamentaux et les termes, puis les transmettre à ses collaborateurs, souligne-t-il, est un défi pour la direction. À cela s’ajoutent un ensemble de tâches obligatoires (dont le non-respect peut entraîner des sanctions), telles que la documentation, les déclarations de protection des données, les mesures techniques et organisationnelles, le petit secret professionnel qui concerne désormais tous les collaborateurs, la vérification des contrats de protection des données avec tous les prestataires de services, le suivi des transferts à l’étranger et la réponse correcte aux demandes de renseignements. Plus d’autres tâches (dont le non-respect n’entraîne pas de sanctions) comme l’inventaire de traitement, les directives, les formations, la déclaration de perte de données, l’analyse d’impact en matière de protection des données, le concept de suppression et la protection de la vie privée dès la conception.
«Pour les représentants de marques, c’est encore plus compliqué: outre la nouvelle protection des données, les concessionnaires doivent répondre aux exigences des importateurs, qui sont diverses et s’inspirent le plus souvent du droit de l’UE, et non du droit suisse.» L’ancien chef du service juridique d’Amag attire aussi l’attention sur un autre aspect important: «Il faut tenir compte du fait que la protection des données doit être permanente, et que les connaissances doivent être tenues à jour.» Et cela s’applique à toutes les entreprises membres.
Il s’agit de répondre à une série de questions, principalement trois. Premièrement: Faut-il faire quelque chose? Deuxièmement: Que faut-il faire? Et la question essentielle : Quels sont les risques si, en septembre 2023, je ne remplis pas les exigences en matière de protection des données? «Nous conseillons de prendre ce sujet au sérieux et de mettre en œuvre les mesures nécessaires d’ici fin août, déclare Markus Aegerter, de la direction de l’UPSA. Sans quoi l’on s’expose à des amendes salées.» Les garagistes ont accès à des données sensibles, par exemple dans les contrats de leasing.
L’UPSA souhaite, là aussi, donner le bon exemple et travaille sur l’application technique correcte de la loi sur la protection des données à l’aide d’exemples de cas, en s’appuyant notamment sur des demandes de renseignements fictives. «Sur la base des enseignements tirés de ces cas, un concept de sécurité de l’information et de protection des données (SIPD) a été élaboré. Ce document servira aussi d’aide-mémoire aux collaborateurs et sera régulièrement revu et enrichi», explique Markus Aegerter. Ce concept de SIPD sera maintenant analysé en détail par une société externe et complété si nécessaire. L’UPSA fournit de l’aide et des conseils à ses membres : sur le site Internet de l’association, les garagistes peuvent trouver différentes listes de contrôle ainsi que de nombreux rapports et informations. En outre, l’UPSA propose des webinaires avec Cornelia Stengel, spécialiste reconnue de la protection des données (voir encadré). «Et bien entendu, notre équipe de juristes se tient à votre disposition pour répondre à vos questions», souligne Markus Aegerter.
Tahir Pardhan, du service juridique de l’UPSA, est effectivement très sollicité au sujet de la nouvelle loi. Les demandes des membres de l’association s’accumulent, surtout ces derniers temps. Il répond aux cinq questions les plus fréquemment posées.
Photo: Istock/Teaser Shutterstock
Kro. «Notre entreprise est encore en cours de préparation et de clarification avec les autorités compétentes et les responsables», déclare Beat Salzmann, propriétaire et directeur du Forellensee-Garage AG à Zweisimmen (BE). «L’information sur la mise en œuvre reste floue», constate-t-il. Beat Salzmann n’est pas le seul à faire face à cette difficulté. La nouvelle loi sur la protection des données, qui entrera en vigueur le 1er septembre de cette année, représente encore un casse-tête pour de nombreux entrepreneurs et directeurs. Et cela ne concerne pas seulement les petites entreprises, mais aussi les moyennes et les grandes. «Nous sommes en train de rassembler le tout et de le mettre en place en interne», déclare par exemple Marc Weber, propriétaire et directeur de l’Ausee-Garage AG à Au-Wädenswil (ZH). Au sein du groupe Binelli aussi, les processus internes sont actuellement revus pour «garantir qu’ils sont conformes à la protection des données», confirme Julian Dubacher, responsable du marketing et de la communication, à la demande d’AUTOINSIDE. Le temps presse, et c’est pourquoi la plupart des entreprises de la branche automobile travaillent sur le sujet, comme l’a relevé Cornelia Stengel dans le numéro de février d’AUTOINSIDE. La directrice de l’Association Suisse des Sociétés de Leasing (ASSL) a indiqué que l’élément le plus important pour se préparer à l’entrée en vigueur de la nouvelle loi est «un état des lieux du traitement des données personnelles».
«Le savoir-faire nécessaire pour répondre aux exigences de la loi sur la protection des données et des importateurs/constructeurs est considérable», explique Volker Dohr, avocat et CEO d’Impunix, une société spécialisée dans la protection des données (voir encadré). Rien que comprendre les fondamentaux et les termes, puis les transmettre à ses collaborateurs, souligne-t-il, est un défi pour la direction. À cela s’ajoutent un ensemble de tâches obligatoires (dont le non-respect peut entraîner des sanctions), telles que la documentation, les déclarations de protection des données, les mesures techniques et organisationnelles, le petit secret professionnel qui concerne désormais tous les collaborateurs, la vérification des contrats de protection des données avec tous les prestataires de services, le suivi des transferts à l’étranger et la réponse correcte aux demandes de renseignements. Plus d’autres tâches (dont le non-respect n’entraîne pas de sanctions) comme l’inventaire de traitement, les directives, les formations, la déclaration de perte de données, l’analyse d’impact en matière de protection des données, le concept de suppression et la protection de la vie privée dès la conception.
Un bon conseil: obtenir l’aide d’un professionnel
Interrogé sur les conclusions que le service juridique de l’UPSA tire des questions qui lui ont été posées, Tahir Pardhan répond: «L’application concrète de la nouvelle LPD est très complexe et varie d’une entreprise à l’autre. Il est donc difficile de trouver une solution unique, valable pour toutes.» Compte tenu de la menace de sanctions pénales sous la forme d’amendes, il est vivement conseillé de faire appel à un professionnel pour cette application.
Pour plus d’informations
L’UPSA, en collaboration avec l’ASSL, a rassemblé différentes informations qui donnent un aperçu utile du sujet. Vous trouverez les liens correspondants sur le site Internet de l’UPSA. Au cours des prochains mois, les médias de l’UPSA publieront régulièrement des articles sur la nouvelle loi sur la protection des données. L’UPSA organise également un webinaire consacré à cette loi. Les intervenants sont Cornelia Stengel, directrice de l’ASSL et chargée de cours dans plusieurs hautes écoles, Luca Stäuble, avocat et chargé de cours à la Haute école d’économie de Zurich, ainsi que Gaspare Loderer, avocat spécialiste de la protection des données. Le webinaire dure une demi-journée. Prochaines dates: mercredi 10 mai et mercredi 14 juin 2023. Vous trouverez toutes les informations complémentaires à la Business Academy de l’UPSA. Vers l’UPSA Business Academy.
Une aide externe grâce à l’UPSA
Le secrétariat de l’UPSA fait vérifier ses préparatifs internes pour la mise en œuvre de la nouvelle loi sur la protection des données par la société externe Impunix. L’entreprise a développé un «paquet sans soucis» de protection des données, spécialement conçu pour le commerce automobile. En collaboration avec l’UPSA et les importateurs, Impunix garantit une mise en œuvre intégrale à prix fixe et exclut tout risque d’amende ou d’infraction. En vue de l’entrée en vigueur de la nouvelle loi sur la protection des données, plusieurs garagistes collaborent déjà avec Impunix. Patrick Burkhardt, du Schönegg Garage AG à Spiez (BE), déclare par exemple: «Je n’aurais pas eu l’idée de confier le sujet de la protection de nos données à quelqu’un d’autre en Suisse.»
Interrogé sur les conclusions que le service juridique de l’UPSA tire des questions qui lui ont été posées, Tahir Pardhan répond: «L’application concrète de la nouvelle LPD est très complexe et varie d’une entreprise à l’autre. Il est donc difficile de trouver une solution unique, valable pour toutes.» Compte tenu de la menace de sanctions pénales sous la forme d’amendes, il est vivement conseillé de faire appel à un professionnel pour cette application.
Pour plus d’informations
L’UPSA, en collaboration avec l’ASSL, a rassemblé différentes informations qui donnent un aperçu utile du sujet. Vous trouverez les liens correspondants sur le site Internet de l’UPSA. Au cours des prochains mois, les médias de l’UPSA publieront régulièrement des articles sur la nouvelle loi sur la protection des données. L’UPSA organise également un webinaire consacré à cette loi. Les intervenants sont Cornelia Stengel, directrice de l’ASSL et chargée de cours dans plusieurs hautes écoles, Luca Stäuble, avocat et chargé de cours à la Haute école d’économie de Zurich, ainsi que Gaspare Loderer, avocat spécialiste de la protection des données. Le webinaire dure une demi-journée. Prochaines dates: mercredi 10 mai et mercredi 14 juin 2023. Vous trouverez toutes les informations complémentaires à la Business Academy de l’UPSA. Vers l’UPSA Business Academy.
Une aide externe grâce à l’UPSA
Le secrétariat de l’UPSA fait vérifier ses préparatifs internes pour la mise en œuvre de la nouvelle loi sur la protection des données par la société externe Impunix. L’entreprise a développé un «paquet sans soucis» de protection des données, spécialement conçu pour le commerce automobile. En collaboration avec l’UPSA et les importateurs, Impunix garantit une mise en œuvre intégrale à prix fixe et exclut tout risque d’amende ou d’infraction. En vue de l’entrée en vigueur de la nouvelle loi sur la protection des données, plusieurs garagistes collaborent déjà avec Impunix. Patrick Burkhardt, du Schönegg Garage AG à Spiez (BE), déclare par exemple: «Je n’aurais pas eu l’idée de confier le sujet de la protection de nos données à quelqu’un d’autre en Suisse.»
«Pour les représentants de marques, c’est encore plus compliqué: outre la nouvelle protection des données, les concessionnaires doivent répondre aux exigences des importateurs, qui sont diverses et s’inspirent le plus souvent du droit de l’UE, et non du droit suisse.» L’ancien chef du service juridique d’Amag attire aussi l’attention sur un autre aspect important: «Il faut tenir compte du fait que la protection des données doit être permanente, et que les connaissances doivent être tenues à jour.» Et cela s’applique à toutes les entreprises membres.
Il s’agit de répondre à une série de questions, principalement trois. Premièrement: Faut-il faire quelque chose? Deuxièmement: Que faut-il faire? Et la question essentielle : Quels sont les risques si, en septembre 2023, je ne remplis pas les exigences en matière de protection des données? «Nous conseillons de prendre ce sujet au sérieux et de mettre en œuvre les mesures nécessaires d’ici fin août, déclare Markus Aegerter, de la direction de l’UPSA. Sans quoi l’on s’expose à des amendes salées.» Les garagistes ont accès à des données sensibles, par exemple dans les contrats de leasing.
L’UPSA souhaite, là aussi, donner le bon exemple et travaille sur l’application technique correcte de la loi sur la protection des données à l’aide d’exemples de cas, en s’appuyant notamment sur des demandes de renseignements fictives. «Sur la base des enseignements tirés de ces cas, un concept de sécurité de l’information et de protection des données (SIPD) a été élaboré. Ce document servira aussi d’aide-mémoire aux collaborateurs et sera régulièrement revu et enrichi», explique Markus Aegerter. Ce concept de SIPD sera maintenant analysé en détail par une société externe et complété si nécessaire. L’UPSA fournit de l’aide et des conseils à ses membres : sur le site Internet de l’association, les garagistes peuvent trouver différentes listes de contrôle ainsi que de nombreux rapports et informations. En outre, l’UPSA propose des webinaires avec Cornelia Stengel, spécialiste reconnue de la protection des données (voir encadré). «Et bien entendu, notre équipe de juristes se tient à votre disposition pour répondre à vos questions», souligne Markus Aegerter.
Tahir Pardhan, du service juridique de l’UPSA, est effectivement très sollicité au sujet de la nouvelle loi. Les demandes des membres de l’association s’accumulent, surtout ces derniers temps. Il répond aux cinq questions les plus fréquemment posées.
Le service juridique de l’UPSA s’exprime au sujet de la nouvelle loi sur la protection des données: Les principales questions
La nouvelle loi sur la protection des données réglemente plus clairement le traitement et donc l’utilisation des données des clients. Cela entraîne certaines adaptations significatives. Tahir Pardhan, du service juridique de l’UPSA, répond aux cinq questions les plus fréquemment posées.
Tahir Pardhan, qu’implique la nouvelle loi sur la protection des données?
Tahir Pardhan: Pour satisfaire à ces exigences, les entreprises doivent d’abord vérifier quelles données personnelles elles collectent, traitent et stockent, en documentant leurs processus de traitement des données. Il est également important que les personnes concernées soient informées de manière appropriée du traitement de leurs données, par exemple au moyen d’une déclaration de protection. Mais ce n’est pas suffisant, car la loi contient encore d’autres dispositions.
Peut-on copier la déclaration de protection des données de son importateur?
Il est fortement déconseillé de copier la déclaration de protection des données d’une autre société, en particulier celle de l’importateur. L’importateur est un fournisseur, et n’a pas de processus liés aux clients finaux tels que la vente, le financement ou l’après-vente, de sorte que ceux-ci ne sont pas documentés dans sa déclaration de protection des données. Il est important que chaque entreprise évalue sa propre situation et ses processus internes afin de s’assurer qu’ils sont conformes à la nouvelle LPD. La déclaration de protection des données doit donc être spécifiquement adaptée à votre propre entreprise et à vos processus de traitement des données.
La législation de l’UE en matière de protection des données doit-elle être respectée?
En général, non. Le RGPD de l’UE ne doit être respecté que si des services et des véhicules sont explicitement proposés dans l’espace de l’UE, si des personnes de l’UE sont surveillées de manière ciblée grâce à une analyse du site web, par exemple des cookies, ou si l’entreprise possède une filiale sur le territoire de l’UE ou au Liechtenstein.
Faut-il utiliser une bannière de cookies?
Cela dépend de comment et quand les cookies sont utilisés sur le site. Si seuls des cookies techniquement nécessaires sont utilisés, aucune bannière n’est requise. Cependant, la plupart du temps, des cookies de suivi web tels que Google Analytics sont utilisés, mais ils ne peuvent être activés qu’après une information transparente et adéquate sur le traitement des données. Cela peut être résolu par une bannière de cookies avec une brève explication et un lien vers la déclaration de protection des données ainsi qu’un bouton « Fermer » qui autorise ensuite les cookies de suivi. Il est probable qu’il ne sera pas nécessaire de disposer d’une bannière de cookies avec des options au choix telles que celles que nous connaissons sur les sites web de l’UE. Nous attendons encore les recommandations à ce sujet des autorités et des tribunaux.
Que risque-t-on si l’on n’a pas mis en œuvre les directives de la nouvelle LPD en septembre 2023?
En cas de non-application de la nouvelle LPD, les personnes dont les données personnelles sont traitées risquent de porter plainte et les importateurs peuvent vous attaquer pour violation de contrat. Cela peut entraîner des amendes personnelles pour le responsable de la protection des données. Pour ces raisons, il est essentiel que les garagistes se familiarisent le plus tôt possible avec les exigences de la LPD et envisagent, dans l’idéal, une aide professionnelle pour sa mise en œuvre.
La nouvelle loi sur la protection des données réglemente plus clairement le traitement et donc l’utilisation des données des clients. Cela entraîne certaines adaptations significatives. Tahir Pardhan, du service juridique de l’UPSA, répond aux cinq questions les plus fréquemment posées.
Tahir Pardhan: Pour satisfaire à ces exigences, les entreprises doivent d’abord vérifier quelles données personnelles elles collectent, traitent et stockent, en documentant leurs processus de traitement des données. Il est également important que les personnes concernées soient informées de manière appropriée du traitement de leurs données, par exemple au moyen d’une déclaration de protection. Mais ce n’est pas suffisant, car la loi contient encore d’autres dispositions.
Peut-on copier la déclaration de protection des données de son importateur?
Il est fortement déconseillé de copier la déclaration de protection des données d’une autre société, en particulier celle de l’importateur. L’importateur est un fournisseur, et n’a pas de processus liés aux clients finaux tels que la vente, le financement ou l’après-vente, de sorte que ceux-ci ne sont pas documentés dans sa déclaration de protection des données. Il est important que chaque entreprise évalue sa propre situation et ses processus internes afin de s’assurer qu’ils sont conformes à la nouvelle LPD. La déclaration de protection des données doit donc être spécifiquement adaptée à votre propre entreprise et à vos processus de traitement des données.
La législation de l’UE en matière de protection des données doit-elle être respectée?
En général, non. Le RGPD de l’UE ne doit être respecté que si des services et des véhicules sont explicitement proposés dans l’espace de l’UE, si des personnes de l’UE sont surveillées de manière ciblée grâce à une analyse du site web, par exemple des cookies, ou si l’entreprise possède une filiale sur le territoire de l’UE ou au Liechtenstein.
Faut-il utiliser une bannière de cookies?
Cela dépend de comment et quand les cookies sont utilisés sur le site. Si seuls des cookies techniquement nécessaires sont utilisés, aucune bannière n’est requise. Cependant, la plupart du temps, des cookies de suivi web tels que Google Analytics sont utilisés, mais ils ne peuvent être activés qu’après une information transparente et adéquate sur le traitement des données. Cela peut être résolu par une bannière de cookies avec une brève explication et un lien vers la déclaration de protection des données ainsi qu’un bouton « Fermer » qui autorise ensuite les cookies de suivi. Il est probable qu’il ne sera pas nécessaire de disposer d’une bannière de cookies avec des options au choix telles que celles que nous connaissons sur les sites web de l’UE. Nous attendons encore les recommandations à ce sujet des autorités et des tribunaux.
Que risque-t-on si l’on n’a pas mis en œuvre les directives de la nouvelle LPD en septembre 2023?
En cas de non-application de la nouvelle LPD, les personnes dont les données personnelles sont traitées risquent de porter plainte et les importateurs peuvent vous attaquer pour violation de contrat. Cela peut entraîner des amendes personnelles pour le responsable de la protection des données. Pour ces raisons, il est essentiel que les garagistes se familiarisent le plus tôt possible avec les exigences de la LPD et envisagent, dans l’idéal, une aide professionnelle pour sa mise en œuvre.
Ajouter un commentaire
Commentaires