Ce que vous devez savoir à propos de la nouvelle loi sur la protection des données

Le 1er septembre 2023, la nouvelle loi sur la protection des données et la nouvelle ordonnance y afférente entreront en vigueur. Cette loi concerne toutes les entreprises traitant des données personnelles.

On parle de “Données personnelles” lorsque l’on se réfère à une personne physique qui est identifiable ou qui peut être identifiée. Cela couvre donc une palette très large de données. La notion de “traitement des données” s’entend au sens large et inclut par exemple la collecte, l’enregistrement, la conservation, la modification, l’utilisation ou la suppression de données.

La législation sur la protection des données impose des obligations aux responsables du traitement de données. Voici un aperçu des principales obligations :

1. Les données personnelles doivent être traitées de manière licite et pour la finalité pour laquelle elles ont été collectées.
2. Les données personnelles doivent être supprimées ou anonymisées lorsqu’elles ne sont plus nécessaires.
3. Les entreprises de 250 employés et plus doivent tenir un inventaire des traitements effectués.
4. Les personnes concernées doivent être informées de l’étendue et de la finalité du traitement des données.
5. Un contrat de sous-traitance de traitement de données doit être conclu avec les prestataires (DPA ou Data Processing Agreement)
6. Des mesures techniques et organisationnelles doivent être mises en place pour assurer la sécurité des données.
7. Les données ne doivent être divulguées à l’étranger que si le pays garantit un niveau de protection adéquat.
8. Les personnes concernées ont le droit d’obtenir des informations sur leurs propres données et de demander leur rectification ou suppression.
9. Le consentement doit être obtenu de manière libre et informée.
10. La protection des données doit être intégrée dès la conception du traitement (Privacy by Design).
11. Les données personnelles secrètes doivent être tenues confidentielles.
12. Une analyse d’impact sur la protection des données doit être réalisée pour les traitements présentant un risque élevé.
13. Un conseiller à la protection des données peut être désigné au sein de l’entreprise.
14. Un représentant en Suisse doit être désigné dans certains cas pour les responsables de traitement étrangers.

Vous trouverez des articles détaillés concernant la suppression des données enregistrées chez CASASOFT (point 2), le DPA CASASOFT (point 5), les mesures techniques et organisationnelles que nous mettons en places pour garantir la sécurité des données (point 6) et le droit d’accès aux données (point 8), dans notre HelpCenter help.casasoft.ch.