Que sont les données à caractère personnel ?
La loi définit les données à caractère personnel comme toute information se rapportant à une personne physique identifiée ou identifiable.
Que régit la loi sur la protection des données ?
Elle régit le traitement des données à caractère personnel par les entreprises privées et les organismes publics.
Les personnes concernées doivent-elles être informées du traitement de leurs données ?
La loi prévoit que les données à caractère personnel ne peuvent être collectées et traitées que dans un but précis et que les personnes concernées doivent en être informées.
Qui est responsable de la protection des données à caractère personnel ?
Les entreprises et les organismes publics doivent prendre des mesures de sécurité appropriées pour protéger les données à caractère personnel.
Quels sont les droits des personnes sur leurs données collectées ?
Les personnes ont le droit d'accéder à leurs données collectées et, le cas échéant, de les faire corriger ou supprimer.
Combien de temps les données à caractère personnel peuvent-elles être conservées ?
La loi prévoit que les données à caractère personnel ne peuvent être conservées que pendant une période limitée.
Peut-on s'opposer au traitement de données à caractère personnel ?
Les personnes ont le droit de s'opposer au traitement de leurs données lorsqu'elles ont un motif légitime de le faire.
Que se passe-t-il en cas de violation de la loi sur la protection des données ?
En cas de violation de la loi, de lourdes sanctions peuvent être appliquées, y compris des amendes pouvant aller jusqu'à 250 000 francs suisses.
Que signifie l'obligation de notification ?
Si une violation de la sécurité des données est constatée, une notification rapide doit être adressée au Préposé fédéral à la protection des données et à la transparence (PFPDT). Il y a par exemple violation de la sécurité des données lorsqu'un e-mail contenant des données sensibles, qui ne devrait être adressé qu'à un seul client, est envoyé par erreur à plusieurs clients.
Que signifie le devoir de diligence ?
La loi sur la protection des données règle, dans le cadre du devoir de diligence, la manière dont le traitement des données doit être effectué par un sous-traitant (par exemple un fournisseur de cloud). Les données personnelles qui sont transmises à un sous-traitant en vertu d'une disposition contractuelle ou de la législation ne sont autorisées que si elles sont traitées de la même manière que le donneur d'ordre pourrait le faire lui-même.
Si le sous-traitant traite les données dans un pays cible dont le niveau de protection des données est insuffisant, des garanties supplémentaires telles que des clauses contractuelles de protection des données ou un contrat individuel de traitement des données sont nécessaires.
Des formations sont-elles nécessaires pour les collaborateurs ?
Afin de réduire le risque de violation de la protection des données, il est recommandé d'organiser des formations et de sensibiliser les collaborateurs à ce sujet. Celles-ci peuvent montrer aux collaborateurs les défis à relever dans leur travail quotidien et les conséquences possibles d'une négligence. La mise en œuvre et l'efficacité de la sécurité des données dépendent notamment de l'application correcte par les personnes impliquées des mesures prévues en matière de sécurité informatique et de protection des données. Ainsi, le manque de formation et de conseils pourrait entraîner des violations de la sécurité des données, par exemple lorsqu'un collaborateur ouvre un e-mail contenant un logiciel malveillant.