Le 25 mai 2018 entretra en application le R\u00e8glement G\u00e9n\u00e9ral sur la Protection des Donn\u00e9es (RGPD). Il impactera toutes les entreprises op\u00e9rant du traitement de donn\u00e9es \u00e0 caract\u00e8re personnel sur des r\u00e9sidents europ\u00e9ens.<\/p>\n
A l’aube de cette \u00e9ch\u00e9ance, beaucoup de fausses informations circulent au sein des entreprises suisse. L’objectif de ce blog est d’apporter quelque lumi\u00e8re sur les questions qui se posent. Pour ce faire, nous avons demand\u00e9 \u00e0 Me Metille, avocat sp\u00e9cialis\u00e9 en protection des donn\u00e9es de r\u00e9pondre aux questions en lien avec le RGPD susceptibles d’\u00eatre pos\u00e9es par une entreprise suisse.<\/p>\n
1. Q. Est-ce qu’un sous-traitant d’une entreprise soumise au RGPD est obligatoirement soumis au RGPD, ceci en lien avec la cha\u00eene de solidarit\u00e9 entre le responsable du traitement et ses fournisseurs ? 2. Q. Est-ce qu’une entreprise suisse qui emploie des personnes dans l’Union Europ\u00e9enne est syst\u00e9matiquement soumise au RGPD ? 3. Q. Est-ce qu’une entreprise suisse qui emploie des personnes dans l’Union Europ\u00e9enne est soumise au RGPD si ses employ\u00e9s ont une activit\u00e9 commerciale dans l’Union Europ\u00e9enne ? 4. Q. En tant que sous-traitant, est-ce qu’il y a une obligation de conseil par rapport aux donn\u00e9es qui sont trait\u00e9es ? 5. Q. Est-ce que le droit \u00e0 l’effacement ou droit \u00e0 l’oubli sp\u00e9cifi\u00e9 dans l’article 17 de la RGPD est contradictoire avec des articles de loi n\u00e9cessitant de conserver des donn\u00e9es pour une dur\u00e9e d\u00e9termin\u00e9e? 6. Q. Comment concilier droit \u00e0 l’oubli et politique de sauvegarde de donn\u00e9es ? 7. Q. Combien de temps peut-on conserver des donn\u00e9es personnelles ? 8. Q. Peut-on conserver ad vitam aeternam la postulation d’un employ\u00e9 ? 9. Q. Quels moyens techniques peuvent participer concr\u00e8tement \u00e0 la protection des donn\u00e9es ? 10. Q. Est-ce que les sanctions li\u00e9es au RGPD s’appliquent uniquement en cas de faille de s\u00e9curit\u00e9 ou de vol de donn\u00e9es ? 11. Q. Quel pays de l’Union Europ\u00e9enne va appliquer les sanctions sur le territoire suisse ? 12. Q. Est-ce qu’il y a des assurances pour couvrir les risques li\u00e9s au RGPD ? 13. Q. Est-ce qu’une entreprise soumise au RGPD \u00e0 l’obligation d’informer un sous-traitant qu’il travaille sur des donn\u00e9es personnelles ? 14. Q. Faut-il avoir un DPO externe ou interne ? 15. Q. Quel lien doit-il y avoir entre le DPO et la Direction ? 16. Q. Existe-t-il un\/des liens entre GDPR et ISO 27000 ? Vous trouverez d’autres informations en lien avec le RGPD sur le blog de Me Metille \u00e0 l’adresse suivante : https:\/\/smetille.ch\/2017\/12\/14\/la-suisse-et-le-rgpd\/<\/a> ou encore dans l’article du temps, Le RGPD, la r\u00e9volution du consentement<\/a>, dat\u00e9 du 12 f\u00e9vrier 2018.<\/p>\n En esp\u00e9rant que ce blog ait pu r\u00e9pondre \u00e0 certaines de vos questions.<\/p>\n","protected":false},"excerpt":{"rendered":" Le 25 mai 2018 entretra en application le R\u00e8glement G\u00e9n\u00e9ral sur la Protection des Donn\u00e9es (RGPD). Il impactera toutes les entreprises op\u00e9rant du traitement de donn\u00e9es \u00e0 caract\u00e8re personnel sur des r\u00e9sidents europ\u00e9ens. A l’aube de cette \u00e9ch\u00e9ance, beaucoup de fausses informations circulent au sein des entreprises suisse. L’objectif de ce blog est d’apporter quelque […]<\/p>\n","protected":false},"author":10,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[229],"tags":[1285,1286,1287],"type_dbi":[],"class_list":["post-10824","post","type-post","status-publish","format-standard","hentry","category-database-administration-monitoring","tag-metille","tag-rgpd","tag-suisse"],"acf":[],"yoast_head":"\n
\nA. > Certains sp\u00e9cialistes consid\u00e8rent que le sous-traitant est soumis, mais la plupart retiennent que le sous-traitant n’est pas soumis du seul fait qu\u2019il est sous-traitant. En revanche, le sous-traitant qui vise de mani\u00e8re intentionnelle des clients europ\u00e9ens sera soumis. Dans tous les cas le sous-traitant aura des obligations li\u00e9es au RGPD, notamment celles de l’article 28.<\/em><\/p>\n
\nA. > Non, une entreprise n’est pas soumise au RGPD sous pr\u00e9texte qu’elle emploie des ressortissants de l’union europ\u00e9enne.<\/em><\/p>\n
\nA. > Cela d\u00e9pend de plusieurs facteurs tel que le lieu d’\u00e9mission des factures, le lieu depuis lequel est initi\u00e9 l’activit\u00e9 ou encore une volont\u00e9 de d\u00e9velopper une activit\u00e9 en Europe, mais il y a un risque que les personnes employ\u00e9s soient qualifi\u00e9es d\u2019\u00e9tablissement et que \u2018entreprise suisse soit assimil\u00e9e \u00e0 une entreprise pr\u00e9sente dans l\u2019Union Europ\u00e9enne.<\/em><\/p>\n
\nA > Le sous-traitant doit principalement s’assurer de la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es et du respect du contrat. Si le sous-traitant \u00e0 connaissance d’un \u00e9l\u00e9ment qui peut potentiellement mettre en p\u00e9ril la s\u00e9curit\u00e9 des donn\u00e9es il se doit de l’annoncer. (ex. Connexion VPN non s\u00e9curis\u00e9e permettant d’acc\u00e9der \u00e0 des donn\u00e9es sensibles). Dans certains cas, il sera de son devoir de refuser d’ex\u00e9cuter les t\u00e2ches qui lui sont mandat\u00e9es (ex. faire un export de donn\u00e9es sensibles non crypt\u00e9 et l’envoyer \u00e0 un destinataire hors de l’Union Europ\u00e9enne) La responsable de traitement est celui qui a le plus de responsabilit\u00e9s et qui doit s\u2019assurer que le traitement est licite.<\/em><\/p>\n
\nA. > Si une loi suisse indique qu’il est n\u00e9cessaire de conserver des informations pour une dur\u00e9e d\u00e9termin\u00e9e c’est cette loi qui pr\u00e9vaut.<\/em><\/p>\n
\nA. > La sauvegarde ne doit pas \u00eatre utilis\u00e9e dans un autre but, et en particulier pas pour retrouver des donn\u00e9es que l\u2019on aurait pas le droit de conserver. Il faut prendre les mesures n\u00e9cessaires afin que d’une part seules les personnes autoris\u00e9es puissent acc\u00e9der aux m\u00e9dias de sauvegarde et que d’autre part en cas de restauration d’un jeu de sauvegarde seule les donn\u00e9es pouvant l\u2019\u00eatre soient exploit\u00e9es (on retirera des donn\u00e9es priv\u00e9es, des donn\u00e9es qui ont \u00e9t\u00e9 effac\u00e9es du support original apr\u00e8s la sauvegarde ou que le droit \u00e0 l\u2019oubli implique de ne pas conserver.)<\/em><\/p>\n
\nA. > Il ne faut pas les conserver\u00a0 plus longtemps que le temps n\u00e9cessaire \u00e0 atteindre le but vis\u00e9 au moment de leur collecte. On peut n\u00e9anmoins ajouter une marge de s\u00e9curit\u00e9 raisonnable. Un d\u00e9lai de quelques mois peut \u00eatre consid\u00e9r\u00e9 comme une marge de s\u00e9curit\u00e9 raisonnable<\/em><\/p>\n
\nA. > Non, si le candidat n\u2019est pas retenu, il faut retourner ou d\u00e9truire son dossier de candidature. Une conservation durant 3-4 mois, pour pouvoir se justifier en cas de reproches li\u00e9s au non-engagment, est admise.<\/em>
\n Si on veut conserver le dossier en vue d\u2019un autre poste, il faut explicite du candidat (et dans ce cas on se limitera \u00e0 2-3 ans).<\/em><\/p>\n
\nA. > Logiciel d’encryption, de disponibilit\u00e9 et d’int\u00e9grit\u00e9 des donn\u00e9es. Tous ce qui permet de retracer ce qui a \u00e9t\u00e9 fait (contr\u00f4le d’acc\u00e8s, log, documentation, hardening, etc..)<\/em><\/p>\n
\nA. > Les sanctions s’appliquent en cas de violation des r\u00e8gles du RGPD et donc pas uniquement en cas de faille de s\u00e9curit\u00e9. Il pourrait m\u00eame y avoir une double sanction en cas de faille de s\u00e9curit\u00e9 si l\u2019entreprise n\u2019annonce pas une faille. Dans un premier temps l’entreprise soumise au RGPD pourrait \u00eatre sanctionn\u00e9e pour n\u2019avoir pas assur\u00e9 la s\u00e9curit\u00e9 des donn\u00e9es et dans un deuxi\u00e8me temps car l’entreprise qui a subi un vol de donn\u00e9es ne l’a pas annonc\u00e9. M\u00eame sans se faire voler les donn\u00e9es, elle pourrait d\u00e9j\u00e0 \u00eatre amend\u00e9e pour ne pas avoir pris des mesures \u00e9l\u00e9mentaires visant \u00e0 assurer la s\u00e9curit\u00e9.<\/em><\/p>\n
\nA. > Vraisemblablement chaque autorit\u00e9 nationale d\u2019un pays de l\u2019Union europ\u00e9enne ou des r\u00e9sidents sont concern\u00e9s. Il n’est pas certain que les actes d\u2019enqu\u00eates et la sanction soient valablement reconnus par un juge suisse, ce qui rendrait l\u2019encaissement difficile.<\/em><\/p>\n
\nA. > Oui il existe des produits pour couvrir certains risques mais on trouve de tout et certains produits sont fantaisistes. Il est important de distinguer ce qui est couvert de ce qui ne l’est pas, les conditions d\u2019exclusion, le franchises et les limites de couverture.<\/em><\/p>\n
\nA.> L’entreprise soumise au RGPD doit non seulement indiquer \u00e0 son sous-traitant qu’il travaille sur des donn\u00e9es personnelles, mais en plus lui indiquer pr\u00e9cis\u00e9ment ce qu\u2019il doit faire.<\/em><\/p>\n
\n>A. Le DPO est exig\u00e9 dans des cas limit\u00e9s (autorit\u00e9 publique, suivi syst\u00e9matique \u00e0 grande \u00e9chelles, donn\u00e9es sensibles). Il peut \u00eatre interne ou externe.<\/em>
\n Ind\u00e9pendamment de l\u2019obligation l\u00e9gale, l’important est que le DPO dispose d’une bonne connaissance de l’entreprise et soit disponible pour les employ\u00e9s ou chefs de projets. Si le DPO n’a pas les connaissances juridiques ou techniques, il pourra demander de l’aide ext\u00e9rieure, mais si il ne conna\u00eet pas bien l\u2019entreprise, il aura de la peine \u00e0 se faire aider sur les aspects m\u00e9tiers.<\/em>
\n>A. Le r\u00f4le de DPO peut \u00eatre assum\u00e9 par plusieurs personnes (un comit\u00e9) mais il faut que les responsabilit\u00e9s soient clairement d\u00e9finies au pr\u00e9alable et qu\u2019il y ait un seul point de contact externe.<\/em><\/p>\n
\n>A. Le DPO doit faire rapport au plus haut niveau de la Direction. Il exerce ses t\u00e2ches de mani\u00e8re ind\u00e9pendante et ne re\u00e7oit pas d\u2019instruction. Il peut aussi assumer d\u2019autres t\u00e2ches et \u00eatre rattach\u00e9s administrativement \u00e0 un service et pas directement \u00e0 la Direction.<\/em><\/p>\n
\nA. > Les th\u00e8mes tel que Identification des traitements, audit, data maping, contr\u00f4le d’acc\u00e8s et documentation sont tr\u00e8s semblables.<\/em><\/p>\n