Loi sur la protection des données
Puis-je encore faire quelque chose ?
21 juillet 2023 agvs-upsa.ch – L'entrée en vigueur de la nouvelle loi sur la protection des données approche à grands pas. Il n'est pas encore trop tard pour s'équiper en vue du 1er septembre 2023. Les experts de l'UPSA répondent aux questions les plus importantes.
srh. Puis-je encore faire quelque chose ?
Oui, maintenant et même après le 1er septembre, vous devrez vérifier en permanence que votre organisation et vos processus sont conformes aux directives de protection des données. Il n’est jamais trop tard pour respecter les lois. Vous devez également former régulièrement vos collaboratrices et collaborateurs actuels et futurs, contrôler le respect de la protection des données par les nouveaux prestataires de services et les y contraindre contractuellement, et vérifier et documenter constamment la sécurité des données.
À quoi dois-je faire attention lors de l’expédition de newsletters ?
À rien ! En effet, contrairement à de nombreuses informations, la loi sur la protection des données révisée ne modifie en rien les prescriptions relatives à l’expédition de newsletters, car l’art. 3, al. 1, let. o LCD les régit déjà. La nouvelle LPD n’y changera rien. Comme jusqu’à présent, vous pouvez envoyer à votre clientèle et aux personnes intéressées de la publicité commerciale pour des produits et des prestations similaires, dès lors que la cliente ou le client vous a communiqué son adresse e-mail et que vous lui permettez de se désabonner dans l’e-mail. Néanmoins, certains importateurs exigent la preuve d’un consentement écrit du client au mailing. Nous estimons cependant que la marque/l’importateur entretient aussi une relation avec le client, si ce n’est la relation principale.
Résumé : il est inutile de solliciter le consentement de la clientèle ou des personnes intéressées. Un message concernant le mode de traitement des données relatives à l’expédition de la newsletter est communiqué à l’aide d’un lien dans l’e-mail menant au site Internet ou à la déclaration de protection des données (attention : toute omission est répréhensible).
Que faire en matière de sécurité des données ?
Une violation de la sécurité des données est également répréhensible si vous n’avez pas pris de mesures ou si celles que vous avez prises sont insuffisantes (art. 8 LPD). Cela peut être le cas lorsque des données personnelles sont perdues, effacées, détruites ou modifiées involontairement ou illégalement, ou lorsqu’elles sont divulguées ou mises à la disposition de tiers non autorisés, en vertu de la définition de l’art. 5 let. h LPDrév. Il est donc nécessaire de prendre des mesures techniques et organisationnelles appropriées pour assurer la sécurité des données, pour autant que celles-ci soient financièrement viables. Ces mesures visent surtout à empêcher des tiers non autorisés d’accéder aux données, de les consulter ou de les influencer.
La protection des données s’applique-t-elle également au personnel de mon entreprise ? Faut-il les former ?
Les principes de la protection des données des collaborateurs du CO, et ceux de la LPD à titre complémentaire, s’appliquent au personnel. Le patron qui veut protéger son entreprise et se prémunir lui-même doit former son personnel. Les collaboratrices et collaborateurs ordinaires ne peuvent rarement être tenus responsables d’une violation de la protection des données, à moins que l’entreprise ne leur ait communiqué des directives lors de formations exhaustives.
Puis-je encore envoyer des invitations, des cartes de vœux et des cartes de Noël à mes clientes et clients ?
Le bon vieux courrier postal n’est soumis à aucune restriction publicitaire s’il est adressé personnellement.
Quel rôle joue le responsable de la protection des données ?
Le responsable est celui qui « décide » du traitement des données, c’est-à-dire le garagiste dans la plupart des cas. Il est tenu de mettre en œuvre les prescriptions de la loi dans son entreprise. En cas de leasing, c’est la société de leasing qui est responsable, puisqu’elle règle le financement conformément aux prescriptions légales.
srh. Puis-je encore faire quelque chose ?
Oui, maintenant et même après le 1er septembre, vous devrez vérifier en permanence que votre organisation et vos processus sont conformes aux directives de protection des données. Il n’est jamais trop tard pour respecter les lois. Vous devez également former régulièrement vos collaboratrices et collaborateurs actuels et futurs, contrôler le respect de la protection des données par les nouveaux prestataires de services et les y contraindre contractuellement, et vérifier et documenter constamment la sécurité des données.
À quoi dois-je faire attention lors de l’expédition de newsletters ?
À rien ! En effet, contrairement à de nombreuses informations, la loi sur la protection des données révisée ne modifie en rien les prescriptions relatives à l’expédition de newsletters, car l’art. 3, al. 1, let. o LCD les régit déjà. La nouvelle LPD n’y changera rien. Comme jusqu’à présent, vous pouvez envoyer à votre clientèle et aux personnes intéressées de la publicité commerciale pour des produits et des prestations similaires, dès lors que la cliente ou le client vous a communiqué son adresse e-mail et que vous lui permettez de se désabonner dans l’e-mail. Néanmoins, certains importateurs exigent la preuve d’un consentement écrit du client au mailing. Nous estimons cependant que la marque/l’importateur entretient aussi une relation avec le client, si ce n’est la relation principale.
Résumé : il est inutile de solliciter le consentement de la clientèle ou des personnes intéressées. Un message concernant le mode de traitement des données relatives à l’expédition de la newsletter est communiqué à l’aide d’un lien dans l’e-mail menant au site Internet ou à la déclaration de protection des données (attention : toute omission est répréhensible).
Que faire en matière de sécurité des données ?
Une violation de la sécurité des données est également répréhensible si vous n’avez pas pris de mesures ou si celles que vous avez prises sont insuffisantes (art. 8 LPD). Cela peut être le cas lorsque des données personnelles sont perdues, effacées, détruites ou modifiées involontairement ou illégalement, ou lorsqu’elles sont divulguées ou mises à la disposition de tiers non autorisés, en vertu de la définition de l’art. 5 let. h LPDrév. Il est donc nécessaire de prendre des mesures techniques et organisationnelles appropriées pour assurer la sécurité des données, pour autant que celles-ci soient financièrement viables. Ces mesures visent surtout à empêcher des tiers non autorisés d’accéder aux données, de les consulter ou de les influencer.
La protection des données s’applique-t-elle également au personnel de mon entreprise ? Faut-il les former ?
Les principes de la protection des données des collaborateurs du CO, et ceux de la LPD à titre complémentaire, s’appliquent au personnel. Le patron qui veut protéger son entreprise et se prémunir lui-même doit former son personnel. Les collaboratrices et collaborateurs ordinaires ne peuvent rarement être tenus responsables d’une violation de la protection des données, à moins que l’entreprise ne leur ait communiqué des directives lors de formations exhaustives.
Puis-je encore envoyer des invitations, des cartes de vœux et des cartes de Noël à mes clientes et clients ?
Le bon vieux courrier postal n’est soumis à aucune restriction publicitaire s’il est adressé personnellement.
Quel rôle joue le responsable de la protection des données ?
Le responsable est celui qui « décide » du traitement des données, c’est-à-dire le garagiste dans la plupart des cas. Il est tenu de mettre en œuvre les prescriptions de la loi dans son entreprise. En cas de leasing, c’est la société de leasing qui est responsable, puisqu’elle règle le financement conformément aux prescriptions légales.
Volker Dohr, CEO d’Impunix, spécialiste de la protection des données, a rédigé en complément un document résumant les dix points principaux. Il s’agit d’une information abrégée sur la nouvelle loi sur la protection des données qui ne couvre que le minimum et qui n’évoque pas les succursales, d’autres secteurs d’activité, etc. Il ne s’agit pas de conseils juridiques. Le document A4 est disponible sur le site Internet de l’UPSA.
L’UPSA organise également un webinaire consacré à cette loi. Les intervenants sont Cornelia Stengel, directrice de l’ASSL et chargée de cours dans plusieurs hautes écoles, Luca Stäuble, avocat et chargé de cours à la Haute école d’économie de Zurich, ainsi que Gaspare Loderer, avocat spécialiste de la protection des données. Le webinaire dure une demi-journée. Vous trouverez toutes les informations complémentaires à la Business Academy de l’UPSA. Vers l’UPSA Business Academy.
Ajouter un commentaire
Commentaires