Suite à l’entrée en vigueur des modifications législatives concernant la protection des données personnelles le 25 mai dernier, plusieurs questions se posent : Quelles sont les entreprises suisses concernées par cet ajustement, quelles mesures vont-elles entreprendre et surtout comment ont-elles prévues de se responsabiliser face à ce changement.
Il est impératif qu’il y ait une prise de conscience de la part des entreprises et une compréhension du changement d’attitude que cela induit. Antoine Amiguet et Philipp Fisher, deux avocats travaillant pour le cabinet Oberson Abels, vous proposent un plan d’action divisé en 5 étapes adaptable à tout type d’entreprise.
Lorsqu’une entreprise exploite des données personnelles, cela implique qu’elle doit être vigilante quant à l’utilisation de ces informations. Les entreprises qui détiennent des informations relatives à des clients ou employés se situant dans l’UE sont directement concernées par le RGPD.
L’étape préalable à toute initiation au changement est de s’informer spécifiquement ou tout du moins de s’intéresser au sujet. Il est fondamental de se documenter ou de demander des conseils auprès de professionnels, ceci dans le but de réagir intelligemment face à la nécessité de correspondre au nouveaux standards légaux.
Deuxièmement, il est recommandé de cartographier les données dans l’entreprise. Pour ce faire il faut savoir où sont ces données, par quel moyen ces données sont stockées et sous quel format elles sont répertoriées. Cela permettra d’obtenir une vision globale utile pour un meilleur traitement des données.
Face à la difficulté d’être parfaitement en règle vis-à-vis de ce changement normatif, il est nécessaire de faire un bilan de situation. C’est-à-dire qu’il faut rappeler quelles sont les règles d’usage qui encadrent la consultation de données et quelles sont les directives à suivre dès que la consultation n’est pas basée sur un motif valable.
Une fois cela fait, l’entreprise doit établir un plan d’action en mettant en évidence les points à risques afin de proposer des mesures concrètes et réalistes en vue d’améliorer la situation. Ultérieurement, un représentant de l’entreprise sera nommé, ce sera lui qui fera office de point de contact pour les autorités européennes.
La dernière étape consiste à communiquer : Il s’agit d’informer les personnes concernées par cette problématique et de révéler la stratégie qui a été mise en place pour résoudre ce problème. Les entreprises sont sous l’obligation de créer une « Privacy Notice » : Le contenu de ce document doit être concis et exhaustif. Par la suite, les entreprises auront le devoir de spécifier si les données seront sous traitées ou bien transmissibles hors du territoire suisse.
Pour conclure, ces modifications représentent une occasion de repositionnement vis-à-vis des entreprises concurrentes, en montrant que ce problème a été reconnu et pris au sérieux. A l’avenir, cette démarche permettra aux entreprises de redorer leur image et potentiellement de rassurer les différents partenaires soucieux de savoir que leurs informations à caractères privées sont entre de bonnes mains.
Photo credit : TheDigitalWay via pixabay.com
You've really helped me undesrtand the issues. Thanks.