Test sur la protection des données

Votre entreprise est-elle parée pour sa mise en conformité avec la nouvelle règlementation suisse sur la protection des données? Notre test vous permet d’obtenir un aperçu immédiat.

Votre entreprise est-elle prête pour satisfaire aux nouvelles exigences en matière de protection des données?

La révision totale de la loi fédérale sur la protection des données a été approuvée par le Parlement le 25 septembre 2020. À l'avenir, les entreprises seront tenues de documenter le traitement de données personnelles et d'évaluer les risques liés à la protection des données. De plus, des mesures techniques et organisationnelles devront être prises quant à la sécurité des données. Les devoirs d'annonce, de renseignement et d'information seront renforcés. La direction de l'entreprise sera désormais responsable à titre personnel et sur le plan pénal du respect des nouvelles exigences. Lorsque des failles sont constatées, les amendes pourront aller jusqu'à CHF 250'000. La loi fédérale révisée comprend env. 70 articles - afin de garder la vue d'ensemble, il faut investir du temps et recourir aux services d'experts en la matière.

Le test «protection des données» de BDO vous permet de déterminer en quelques clics et quelques minutes la nécessité d'agir pour votre entreprise.

Faites le test maintenant.

  1. Evaluation
  2. Résultat

Catégorie d’organisation
Votre organisation compte-t-elle plus de 250 collaborateurs (indiquer le nombre de personnes, pas le nombre de temps plein)?

Catégorie d’organisation (requis)
Oui
Non
 

Certaines obligations ne s’appliquent qu’aux entreprises de plus de 250 collaborateurs.

Organisation de la protection des données
Avez-vous défini les responsabilités en matière de protection des données au sein de votre organisation et cela a-t-il été documenté? Les tâches spécifiques ont-elles été documentées dans les différents profils de poste ou les cahiers des charges? Les budgets nécessaires sont-ils prévus? Les comités de direction sont-ils régulièrement informés sur les mesures?

Organisation de la protection des données
Oui
En grande partie
En partie
Non
 

Par exemple, dans une société anonyme, l’organe suprême est le conseil d'administration (CA). La responsabilité de la mise en œuvre d’une protection des données conforme aux nouvelles exigences incombe aux membres du CA. Ceux-ci peuvent déléguer la protection des données et mandater une personne compétente et indépendante, à laquelle ils attribuent suffisamment de ressources. De plus, l’organe suprême doit être régulièrement informé sur l’avancement de la mise en œuvre et il doit décider des mesures recommandées en matière de protection des données. La mise en œuvre des décisions doit être vérifiée et l’organisation de la protection des données doit être constamment améliorée. La documentation est cruciale pour pouvoir prouver plus tard que toutes les mesures commandées par les circonstances ont été prises.

Registre des activités de traitement
Disposez-vous d’un registre actualisé de toutes les activités de traitement, c.-à-d., d’un inventaire des procédures, processus et systèmes de votre organisation lors desquels des données personnelles sont traitées ou sauvegardées?

Registre des activités de traitement (requis)
Oui
En grande partie
En partie
Non
 

Le registre des activités de traitement est votre inventaire des procédures/processus lors lesquels des données personnelles sont traitées au sein de votre organisation. Le registre des activités de traitement est un outil important dans l’organisation de la protection des données. Il sert de base à la planification des différentes mesures nécessaires.

Il peut y avoir des exceptions pour les organisations de moins de 250 collaborateurs, celles-ci peuvent être exemptées de l’obligation de tenir un registre formel des procédures. Elles ont cependant l’obligation d’avoir une vue d’ensemble des données personnelles traitées.

 Dans tous les cas, nous recommandons expressément d’établir un registre des activités de traitement dans les meilleurs délais. Cela vous permettra d’en déduire suffisamment tôt les mesures nécessaires à mettre en œuvre avant l’entrée en vigueur de la nouvelle loi sur la protection des données.

Contenu du registre des activités de traitement

Les nouvelles exigences sont-elles déjà prises en compte dans le registre des activités de traitement; en particulier, les sept indications obligatoires sont-elles incluses?

Contenu du registre des activités de traitement (requis)
Oui
En grande partie
En partie
Non
 

Données obligatoires par procédure selon la loi suisse:

a) identité du responsable du traitement
b) finalité du traitement
c) catégories des personnes concernées et des données personnelles traitées
d) catégories des destinataires
e) délai de conservation
f) mesures de protection des données
g) garanties en cas de transfert dans des États tiers peu sûrs et mention de l’État

Évaluation des risques
Les procédures ont-elles toutes fait l'objet d’une évaluation des risques et le résultat de cette évaluation est-il documenté?

Évaluation des risques (requis)
Oui
En grande partie
En partie
Non
 

Le risque concret doit être défini en évaluant la probabilité d’occurrence et ses répercussions. Cette évaluation doit être réalisée sur la base de critères appropriés, compréhensibles et documentés.

Mesures techniques et organisationnelles
Des mesures techniques et organisationnelles appropriées ont-elles été définies par rapport au risque encouru et ces mesures ont-elles été documentées?

Mesures techniques et organisationnelles (requis)
Oui
En grande partie
En partie
Non
 

Les mesures techniques et organisationnelles (MTO) doivent assurer une sécurité des données proportionnelle au risque et, en particulier, garantir la confidentialité, la disponibilité et l’intégrité des données personnelles.

Les mesures doivent être documentées pour les domaines requis, cela comprend par exemple:

  • le contrôle d’accès physique
  • le contrôle d’accès logique
  • le chiffrement/la pseudonymisation
  • la sécurité des données
  • etc.

Disposition contractuelle de la sous-traitance (Prestataire de services)
Avez-vous conclu un accord conforme aux exigences légales pour toutes les procédures dans lesquelles un tiers (prestataire de services) traite des données pour le compte de votre organisation ou a accès à ces données?

Disposition contractuelle de la sous-traitance (Prestataire de services) (requis)
Oui
En grande partie
En partie
Non
 

Si vous autorisez des tiers à accéder aux données personnelles de votre organisation, même potentiellement, vous êtes tenu de régler par contrat le traitement des données personnelles par les tiers (dans la mesure où vous n’êtes pas légalement contraint de transmettre ces données). Certains points obligatoires doivent figurer dans l’accord et il serait judicieux d’y ajouter d’autres points en matière de protection et de sécurité des données.

Annonce des incidents en lien avec la protection des données
Votre organisation dispose-t-elle d’une organisation efficace, capable d’identifier des violations de la sécurité des données (incidents en lien avec la protection des données) et d'assurer l’annonce de cas de violation dans les meilleurs délais (en général env. 72 heures)?

Annonce des incidents en lien avec la protection des données (requis)
Oui
En grande partie
En partie
Non
 

Un incident en lien avec la protection des données correspond à toute violation de la sécurité, sans égard au fait qu’elle soit intentionnelle ou illicite, entraînant la perte de données personnelles, leur modification, leur effacement ou leur destruction, leur divulgation ou un accès non autorisé à ces données.

Êtes-vous en mesure de fournir, dans les délais, une réponse complète aux demandes de renseignements déposées par les personnes dont les données les concernant sont traitées par votre organisation?

Beantwortung von Auskunftsbegehren (requis)
Oui
En grande partie
En partie
Non
 

Toute personne peut gratuitement demander au responsable du traitement si des données personnelles la concernant sont traitées. La personne à l’origine de la demande est en droit d’obtenir une réponse complète en général dans un délai de 30 jours.

Les collaborateurs ont été formés à la protection des données et la formation est contrôlée.

Schulung (requis)
Oui
En grande partie
En partie
Non
 

Les employeurs doivent former les collaborateurs au niveau correspondant à leurs tâches et leurs obligations en matière de protection de données et les procédures doivent être expliquées (p.ex. en cas d’incidents en lien avec la protection des données).

Avez-vous défini et documenté les délais pour l’effacement de catégories de données?

Löschung von Datenkategorien (requis)
Oui
En grande partie
En partie
Non
 

Il faut fixer pour les données personnelles traitées (i) le début du délai de conservation et (ii) sa durée.

Garanties en cas de transfert de données dans des pays tiers

Datentransfer (requis)
Oui
En grande partie
En partie
Non
 

Si des données personnelles doivent être communiquées dans des pays qui ne bénéficient pas d’un niveau similaire de protection des données, il est nécessaire de prévoir des garanties appropriées.

Téléchargez votre rapport personnel sur la protection des données au format PDF

 Avez-vous besoin d’informations plus détaillées? Téléchargez gratuitement un rapport plus détaillé sur les résultats de votre évaluation au format PDF.