Autrice: Anja Schmitz, Consultante senior & Partenaire chez Projektas
Bien plus qu’un simple document obligatoire, la déclaration de protection des données est un élément central de la transparence juridique d’une entreprise. Néanmoins, la pratique démontre un fait certain: il existe encore une marge de progression importante dans ce domaine. L’inattention ou la mentalité du copier-coller peut vite coûter cher. Nous vous expliquons ce à quoi vous devez prêter attention.
1. Fournir de fausses informations ne constitue pas un délit mineur
Conformément à l’Art. 60, al. 1 de la loi fédérale sur la protection des données (LPD), la communication d’informations inexactes ou incomplètes est déjà considérée comme une violation des obligations. En d’autres termes, si la déclaration de protection des données indique par exemple que Google Analytics est utilisé ou que les données personnelles ne sont pas transmises à l’étranger, alors que ce n’est pas le cas, ou si des informations importantes, notamment sur les cookies utilisés, sont omises, il s’agit d’une fausse information. Il peut en résulter une amende pouvant aller jusqu’à CHF 250 000.– qui sera infligée aux personnes physiques (p. ex. direction, responsables de la protection des données).
La cause la plus fréquente est que les déclarations de protection des données d’autres entreprises sont simplement copiées à partir d’Internet sans tenir compte des particularités propres à l’entreprise qui les établit.
2. Utiliser la bonne base juridique
Un autre obstacle: de nombreuses entreprises exclusivement soumises à la LPD suisse reprennent les déclarations de protection des données de l’espace européen. Le problème réside dans le fait qu’aucune clarification préalable des lois relatives à la protection des données n’a eu lieu. Très souvent, des déclarations de protection des données RGPD sont également utilisées par des entreprises suisses, mais elles ne sont pas complétées par les informations requises selon la LPD suisse. La LPD est certes fortement inspirée du RGPD, mais il existe certaines exigences spécifiques qui ne sont incluses que dans la LPD et qui ne sont pas explicitement mentionnées dans le RGPD, et inversement. En outre, il ne faut pas seulement tenir compte du RGPD bien connu, mais aussi des lois cantonales sur la protection des données. Lorsqu’une entreprise privée ou une organisation accomplit une mission publique sur mandat du canton ou de la commune, la loi cantonale sur la protection des données peut également s’appliquer à ce domaine partiel.
C’est pourquoi la recommandation est claire: avant de rédiger la déclaration de protection des données, il est impératif de vérifier quelles sont les exigences légales en matière de protection des données auxquelles la société est soumise.
3. Une déclaration de protection des données uniquement pour le site Internet ne suffit pas
De nombreuses entreprises se contentent de publier une déclaration de protection des données sur leur site Internet, ce qui n’est fondamentalement pas faux. Cependant, il arrive souvent que seule une déclaration de protection des données soit publiée pour le site Internet. Toutefois, ce n’est pas suffisant. Conformément à l’Art. 19 de la LPD, le devoir d’information s’applique à tous les processus de traitement, c’est-à-dire à l’ensemble de l’entreprise. Pour l’appliquer, il existe deux approches judicieuses:
- Solution globale: cela signifie qu’une déclaration de protection des données complète couvrant tous les traitements de données dans l’entreprise, y compris le site Internet et les cookies, est établie. L’avantage est que vous n’avez à mettre à jour qu’un seul document centralisé. L’inconvénient est qu’en fonction de la complexité des différents traitements de données dans l’entreprise, le document peut atteindre un volume considérable qui doit être présenté de manière structurée.
- Solution modulaire: cela signifie que des déclarations individuelles de protection des données sont élaborées pour différents groupes cibles et processus de traitement des données, p. ex. une déclaration de protection des données pour les visiteurs et visiteuses du site Internet, une déclaration de protection des données pour les personnes qui déposent une candidature et une déclaration de protection des données pour la clientèle. La force de cette solution réside dans le fait que les déclarations de protection des données sont généralement plus courtes et plus claires. Cependant, il est nécessaire de s’assurer que la déclaration de protection des données appropriée pour chaque groupe de destinataires soit aisément accessible et que plusieurs documents soient tenus à jour.
- Important: quelle que soit la solution choisie, la déclaration de protection des données doit être suffisamment transparente, correcte et complète; elle doit également être adaptée aux traitements de données dans l’entreprise.
Conclusion
La déclaration de protection des données n’est pas un document obligatoire fastidieux, mais un document et un instrument juridiquement pertinent qui garantit l’obligation d’information. Si votre travail n’est pas correctement effectué, vous risquez non seulement de perdre la confiance de votre clientèle, mais vous vous exposez aussi à des amendes importantes. Un examen minutieux, une adaptation au cas par cas et une structure claire sont indispensables. Vous ne savez pas si votre déclaration de protection des données répond aux exigences? Ou peut-être avez-vous pris le risque de faire un copier-coller? Dans ce cas, il vaut la peine d’avoir recours à une vérification professionnelle avant que cela ne vous coûte cher.
Et encore une astuce: mettez régulièrement à jour la déclaration de protection des données, car le traitement des données ou les technologies utilisées évoluent. Il est recommandé d’effectuer une mise à jour au moins une fois par an.
Faire vérifier maintenant la déclaration de protection des données
Voulez-vous vous assurer que votre déclaration de protection des données est conforme aux exigences? Dans ce cas, profitez d’une vérification professionnelle par Projektas!
Offre: vérification de votre déclaration de protection des données pour CHF 299.– avec le coupon «DSE-Check@DataStore».
Utilisation: par e-mail à l’adresse , avec l’objet «DSE-Check@DataStore». L’action est limitée à 7 coupons, soit un par entreprise. Seules les entreprises suisses disposant d’une déclaration de protection des données en allemand selon la LPD sont autorisées à participer.
Prestation: évaluation écrite de l’exhaustivité et de la transparence, pas de correction de la déclaration de protection des données, pas de conseil juridique (il s’agit d’un contrôle de conformité).
Déroulement: Projektas vous contacte, vous pose de brèves questions et traite vos données. Vous recevrez ensuite une offre avec rabais. Le traitement commence après l’acceptation de l’offre. Délai de livraison selon accord.
Faire vérifier la déclaration de protection des données
Offre: vérification de votre déclaration de protection des données pour CHF 299.– avec le coupon «DSE-Check@DataStore».
Utilisation: par e-mail à l’adresse , avec l’objet «DSE-Check@DataStore». L’action est limitée à 7 coupons, soit un par entreprise. Seules les entreprises suisses disposant d’une déclaration de protection des données en allemand selon la LPD sont autorisées à participer.
Prestation: évaluation écrite de l’exhaustivité et de la transparence, pas de correction de la déclaration de protection des données, pas de conseil juridique (il s’agit d’un contrôle de conformité).
Déroulement:
- Projektas vous contacte, vous pose de brèves questions et traite vos données.
- Vous recevrez ensuite une offre avec rabais.
- Le traitement commence après l’acceptation de l’offre.
- Délai de livraison selon accord.