Player is loading...
Champ d'application des législations sur la protection des données
Paul de Blasi & Lise Morin, Resp: Associé — Consultante, Tax & Legal, Deloitte
Friday, Sept. 30, 2022 · 6:47 a.m. · 18m 00s
Embed
Transcriptions
Note: this content has been automatically generated.
00:00:02
de même
00:00:07
nous allons vous entendez oui on va dire bonjour à tous merci pour cette introduction julien merci olivier également
00:00:15
en effet eux aujourd'hui nous allons vous parler durant les 20 premières minutes
00:00:20
de bases théoriques de notion de principes généraux sur la nouvelle ltd qui s'appliquent
00:00:26
vous connaissez déjà tous le cursus de parts sociales selon la nous allons parler
00:00:31
de la nouvelle p. d. mais vous connaissez déjà le berger p. d.
00:00:36
donc le règlement général sur la protection des données qui était entré en vigueur en 2018 déjà
00:00:41
et sur lequel se base la nouvelle ltd nous allons également vous parlez donc
00:00:46
certaines notion qui figurent dans la nouvelle loi et de principes généraux qui sont présentés par liste
00:00:52
voilà alors si vous voyez bien donc tout d'abord eux au
00:00:57
niveau de certaines bases légales au niveau du champ d'application
00:01:01
matériel eux leurs GPD donc s'applique à toutes les données à
00:01:05
caractère personnel dans la nouvelle p. d. donc qui a évolué depuis 1902
00:01:11
l'on parle maintenant de traitement des données personnelles concernant des personnes physiques
00:01:16
et non plus physique et morale des personnes physiques effectuées par des
00:01:21
entreprises editions lamy personne privée mais donc entités privées et des organes fédéraux
00:01:27
en ce qui concerne le champ d'application territoriale le RGPD pour ceux qui sont déjà conformé
00:01:34
11 s'appliquent donc lorsque le
00:01:37
responsable du traitement des données ou le soustraitant
00:01:40
et sur le territoire de l'union européenne et également un
00:01:45
champ d'application extraterritoriale pour tous tout les produits ou services qui cible
00:01:51
l'ensemble des résidents de l'union européenne donc ça s'applique par exemple pour des entités suisse qui vend des produits en europe
00:01:58
la nouvelle ltd elle prévoit un est qu'aucun état de fait qui déploie
00:02:02
en effet la c est en effet des preuves des effets pardon en suisse
00:02:07
aura justement les luimême les mêmes effets sur les produits
00:02:12
qu'ils soient dont le sur le territoire européen ou en suisse
00:02:17
l'entrée en vigueur eux et pour le premier septembre 2023 mais ce
00:02:22
qui est important d'avoir l'esprit c'est qu'il n'a pas période transitoire
00:02:26
c'est à dire que vous devez vous conformer déjà
00:02:28
maintenant donc prévoir justement de faire le nécessaire et vous verrez
00:02:33
de manière plus pratique exactement ce dont on par eux ensuite au niveau
00:02:40
de l'autorité de supervision au niveau européen nous avons un comité européen
00:02:46
de la protection des données le CEPD mais chaque pays par exemple la france
00:02:51
à eux par une autorité de contrôle local donc chaque état
00:02:54
on a comme la cnil en france un organe indépendant de surveillance
00:03:00
en suisse nous aurons un préposé fédéral à la protection des
00:03:04
données et à la transparence abrégé PFPDT
00:03:09
et au niveau des sanctions au niveau européen comme vous l'aviez déjà
00:03:11
certainement entendu ce qui avait fait un peu peur à la plupart des entreprises
00:03:15
c'est qu'on parlait d'amendes administratives pouvant aller jusqu'à 20 millions deuxroues
00:03:21
et pour les groupes internationaux jusqu'à 4% du chiffre d'
00:03:25
affaires mondiales pour les cas graves en suisse s. a. qui intéressant
00:03:31
on ne va pas aussi loin mais toutefois il ya des sanctions pénales qui sont poursuivies sur plainte
00:03:38
et il faut qu'ils aient une intention donc voila il c'est pour ça que le fait de mettre en place
00:03:43
d'outils cartographiques vos activités commerciales qui implique le traitement de données
00:03:48
personnelles est important pour démontrer que vous faites le nécessaire pour éviter
00:03:54
une ingérence dans la dans la vie privée et sur la personnalité des gens
00:03:59
donc la négligence on en tient pas compte les amendes peuvent aller non pas jusqu'à
00:04:03
20 millions mais jusqu'à 250'000 francs pour les personnes privées merci
00:04:11
les objectifs de cette nouvelle LPV donc c'est de s'
00:04:14
adapter et bien sûr à la technologie ou évolution depuis 1902
00:04:19
et de rendre le droit suisse compatible avec le r.
00:04:22
GPD qui et en passant unique des unes bill loi
00:04:26
un dérèglement les plus restrictif eux au niveau mondial
00:04:31
donc c'est important d'avoir l'esprit et si la suisse se calcule sur ceci
00:04:36
c'est très bien si vous avez déjà fait depuis 2018 la nécessaire le clergé pb
00:04:42
vous auriez évidemment nettement moins un a
00:04:47
changé ou appliqué par rapport à la nouvelle les
00:04:51
ensuite les principaux changements i. et nouvelles obligations donc seuls les données
00:04:57
de personnes physiques sont concernés par cette nouvelle loi contrairement à avant on avait les personnes physiques
00:05:02
et les personnes morales les données génétique
00:05:06
et biométrique entrent dans la définition des données sensibles
00:05:11
vous aurez une obligation de mise en oeuvre les principes de traitement eux
00:05:15
dès la conception des projets c'est à dire on parle de by design
00:05:19
en anglais à cette date que vous avez
00:05:22
un traitement de données par rapport à des activités commerciales
00:05:26
et que vous prévoyez de faire vous devez à ce momentlà déjà être conforme à la nouvelle loi
00:05:32
une obligation de réaliser une analyse d'impact préalable notamment
00:05:37
en cas de risque élevé pour la personnalité ou les droits fondamentaux
00:05:41
une obligation de tenir un registre des activités traitement sauf exception important
00:05:45
les exception vu qu'on en parle à des PME
00:05:49
on parle d'eux dans ses exception 7 deux conditions cumulatives
00:05:52
une salle d'être d'avoir moins de 150 employés mais également
00:05:57
que le traitement des données personnelles soit limitée
00:06:01
restreint à la tendance à la personnalité des personnes physiques
00:06:08
une obligation d'informer dans les meilleurs délais le préposé fédéral
00:06:13
en cas de violation de la sécurité des données donc également
00:06:18
importants et ça vous le verrez tout alors que mes collègues qui vont qui parleront de la mise en place de ces mesures
00:06:23
de peut être prévoir déjà des modèles de courrier
00:06:28
ou de lettres pour informer le préposé fédéral
00:06:35
le renforcement du devoir d'informer la personne concernée par la collecte des données très important
00:06:42
donc là aussi vous pouvez avoir une communication qui va changer
00:06:45
s'impose votre entreprise pour parler avec eux les personnes concernées
00:06:50
0 un droit d'accès renforcer les droits la portabilité pour la personne concernée par la collecte des données ce qui veut dire que
00:06:56
la personne peut avoir un accès à ces données mettons que
00:06:59
la personne est assurée par une assurance x et qu'
00:07:04
elle veut que ces données soient transférés à notre assurance elle
00:07:06
pourra demander que toutes ces données soient effacées et transféré
00:07:11
et tout ça on le contrôle donc voilà
00:07:15
certaines entreprises on doit également s'adapter à ces exigences
00:07:20
donc pour finir mise en oeuvre des principaux changements nouvelles obligations à travers des procédures
00:07:25
internes que chaque entreprise devra faire pour certaines de manière plus importante que l'autre
00:07:32
et une obligation de mise en conformité avant le premier septembre 2000
00:07:37
23 donc un peu moins d'une relation merci mise à part en part
00:07:44
alors maintenant qu'on qu'on a présenté donc de manière assez général hergé était là la nouvelle prêt LPD
00:07:51
vous voulez vraiment vous développez dans quelles situations cellesci sont applicables voulait vraiment vous
00:07:55
présenter le champ d'application matériel duverger p. d. et de la nouvelle p. d.
00:08:01
verger la nouvelle et aider sont applicables aux traitements de données personnelles 0 un traitement et définie dans
00:08:07
la loi comme toute opération relatives à des données personnelles quelles que soient les moyens et les procédés utilisés
00:08:15
comme vous voyez ici cela peut être notamment la collecte
00:08:18
l'enregistrement la conservation l'utilisation ou encore la communication
00:08:24
archives art destruction etc d'une données personnelles donc toute opération que
00:08:29
vous effectuez sur des données personnelles peut être considéré comme un traitement
00:08:35
par exemple la gestion du personnel la gestion du salaire l'envoi de courriels promesse promotionnelles
00:08:40
l'enregistrement d'images de vidéosurveillance tous ces exemples à constituent des traitements de données personnelles
00:08:48
on va quand même préciser que les RGPD la nouvelle épidémie s'applique pas aux données aucune personne physique à traiter
00:08:54
pour un usage exclusivement personnel et qu'on ne va pas divulguer à des tiers par la suite
00:08:59
par exemple pour que votre agenda ou bien une conversation au sein ou au sein du cercle
00:09:04
familial et puis des ami ici la législation en matière de protection green s'applique pas
00:09:10
donc ici ce qu'il faut retenir c'est clair j'ai plaidé la nouvelle
00:09:13
p. d. près dont ils ont décision extrêmement large de ski un traitement de données personnelles
00:09:19
donc cela couvre tout acte de manipulation de données personnelles d'exploitation des données
00:09:30
donc regardons maintenant finalement monster considérée comme une donnée à caractère personnel
00:09:36
données personnelles c'est toute information qui concernent une personne physique identifiée ou identifiable
00:09:43
qu'estce qui est considéré comme une personne physique identifiables donc personne physique cette scène
00:09:49
personne visée comme vous et moi qui peut être identifiée directement avec votre nom votre prénom
00:09:54
ou bien un directement ou indirectement par exemple par un numéro de téléphone ou plaques d'immatriculation un
00:10:00
identifiant telles que votre numéro AVS l'adresse postale votre email ou bien votre voir votre image
00:10:07
et en d'autres termes l'information concernant les personnes physiques lorsqu'on lorsqu'elle
00:10:11
peut lui être attachés de manière à la rendait identifiable et cette condition elle ait rempli
00:10:17
lorsque le lien entre une formation une personne est explicite
00:10:20
mais également consolidant découle une corrélation d'information tenant au contexte
00:10:26
donc comme vous pouvez le voir ici beaucoup d'éléments peuvent permettre d'identifier les personnes
00:10:32
votre numéro de compte bancaire des caractéristiques physiques votre
00:10:36
adresse de domicile tout cela permet d'identifier les personnes
00:10:42
également ce que vous voulez mettre en avant aujourd'hui c. qu'il faut
00:10:46
retenir qui à cette à certaines catégories de données personnelles qui sont considérés comme sensibles
00:10:52
elles sont définies dans le RGPD et la nouvelle ltd et si on va nous parler de données personnelles sensibles
00:10:58
et elles sont sensibles puisqu'elle concerne votre cerveau la sphère intime d'un individu
00:11:03
et la loi nous dit que sont considérés comme sensibles les informations relatives à la santé d'une personne
00:11:09
son origine raciale ou ethnique son opinion politique ou bien encore son appartenance à un syndicat
00:11:16
et si on notera donc comme expliqué pole que la nouvelle ltd elle introduit
00:11:20
les données génétiques et développer les données biométriques dans la définition des données sensibles
00:11:25
ici on saline vraiment éclairage les RGPD pour mieux protéger ces types de données
00:11:31
finalement quels sont les conséquences concrètes lorsque mon entreprise traitent des données personnelles sensibles
00:11:37
la conséquence première selon les RGPD c'est tout
00:11:39
simplement interdit de collecter d'utiliser ces données personnelles sauf dans certains cas
00:11:45
par exemple lorsque la personne concernée lorsque vous avez donné votre consentement exprès à cette collecte et à cet utilisateur
00:11:52
de ce côté là était la nouvelle aider prévoit que le traitement de données sensibles
00:11:56
illicite seulement sur la base d'un motif justificatif même chose le consentement exprès d'une personne
00:12:02
ou bien on effectue ce traitement en application d'une obligation légale ou du nord
00:12:07
dans les deux cas et nos collègues de si voyez vous vend les développer
00:12:12
les données dans le traitement de données personnelles sensibles nécessitant une protection technique plus importante
00:12:20
donc le RGP des nouvelles p. d. sont applicables aux traitements de
00:12:23
données personnelles et c de législation prévoit
00:12:26
un régime particulier pour les données personnelles sensibles
00:12:30
finalement questionner pas considérer commune données personnelles et ici tous tout
00:12:36
toutes les informations sur les personnes morales aucune entreprise tels que
00:12:40
la raison sociale du un de d'une société sa forme
00:12:43
juridique son siège tout cela ne constituent pas des données personnelles
00:12:48
cela ne constituent pas des données personnelles ce que ça ne permet pas d'identifier les personnes physiques derrière
00:12:54
par contre tout ce qui est donné le représentant de votre fournisseur de services
00:12:58
le représentant de l'auteur va de votre prestataire de services son nom son prénom
00:13:04
l'adresse email que vous avez pour cette personne ces éléments la constituent
00:13:08
des données personnelles pas ce que ça permet d'identifier les personnes physiques
00:13:14
un autre exemple de skinner pas considérée comme une donnée personnelle c'est tout entier données stratégiques des entreprises
00:13:20
des secrets d'affaires des plans marketing des résultats des
00:13:23
données financières tout cela ne constituent pas des données personnelles
00:13:29
en ce qui concerne donc les données anonymisées pour vous donner
00:13:32
un autre exemple eut donné anonymisées n'ait plus aucune donnée personnelle
00:13:36
puisque le anonymisation rend impossible l'identification de la personne physique
00:13:42
donc si tous ces éléments la ne constituent pas des données personnelles
00:13:46
donc RGP des nouvelles ltd ne sont pas applicables les doutes
00:13:49
toute législation peuvent s'appliquer pour ces traitements de données particulières le cas échéant
00:13:58
donc maintenant qu'on qu'on a déterminé donc dans quelles situations à s'
00:14:01
appliquer à un point du matériel les législations en matière de protection des données
00:14:07
on aimerait maintenant vous présenter quelles sont les principes
00:14:09
généraux aucune entreprise doit respecter lorsqu'on traite des données personnelles
00:14:15
donc lorsque l'entreprise traitent des données personnelles elle doit respecter vous devez
00:14:20
respecter ces principes qui sont considérés considérées comme essentielles en matière de protection des données
00:14:28
tout d'abord les données personnelles doivent être traités de manière
00:14:31
licite loyale et transparente au regard de la contre la personne concernée
00:14:36
de manière très concrètes il faut il faut vous informer les
00:14:39
personnes concernées que vous traitez que vous collectez leurs données personnelles
00:14:43
et également ici faut il faut retenir que l'entreprise doit également indiquer un certain
00:14:48
nombre d'informations telles que le type de données que vous collectez maintenant votre prénom etc
00:14:54
également la raison pour laquelle volet collecter envoie un principe de transparence
00:15:00
ensuite l'entreprise doit traiter des données qu'à des fins spécifiques ces principes
00:15:05
de la finalité déterminés donc chaque information chaque données personnelles que vous collectez doit être justifiée
00:15:11
il est impossible utilise ces données personnelles pour
00:15:14
une autre finalité que celle que vous a initialement communiquer
00:15:20
principe donc de la finalité déterminé
00:15:24
de la même manière une entreprise ne doit collecter ne traiter que des données qui sont
00:15:28
nécessaires à la finalité poursuivie ici on a parlé du principe de la minimisation des données
00:15:35
également les entreprises doivent supprimer des données personnelles lorsqu'elles sont plus nécessaires au traitement
00:15:42
c'est à dire qu'on ne peut pas eux conservés dans vos systèmes de manière indéfinie des données personnelles
00:15:48
dès lors que ces données personnelles sont devenues nécessaires la finalité poursuivie il faut les supprimer
00:15:55
de manière concrète de rennes durée conservation précise est fixé et
00:16:00
cette durée de conservation elle varie en fonction de la loi
00:16:04
en fonction également du type d'information enregistrée la finalité de l'activité
00:16:10
ensuite un autre de ces grands principes ces principes de l'exactitude
00:16:15
ici il faut que vous assurer que les données que vous traitez soient exactes
00:16:20
ici seinem si ce n'est pas le cas il faut qu'on il faut qu'on
00:16:23
puisse rectifier en fait ces données afin de les rentes exacte donc le principe de l'exactitude des données
00:16:31
et enfin le dernier des décideurs en principe en matière de protection des données
00:16:37
aussi l'un des plus importants ces principes de la confidentialité ici donc
00:16:42
chaque entreprise qui traitent des données personnelles doit s'assurer un
00:16:46
doit garantir la sécurité la confidentialité des informations qu'il détient
00:16:51
donc finalement doit veiller à ce que seules des personnes autorisées et accès à ces informations la
00:16:57
et cette situerait cette sécurisation lpart elle passe aussi par eux à la protection contre la perte
00:17:04
à tous les traitements non autorisé ou illicite ou bien la destruction des données ou
00:17:08
les dégâts accidentels ou qui si on part du principe de la confidentialité des données
00:17:15
donc tout traitement de données personnelles doit se faire en
00:17:18
respectant ces principes et votre entreprise qui a également très important ici
00:17:23
c'est qu'elle doit être capable doit pouvoir démontrer que vous quelle respectant faites l'ensemble de ces principes
00:17:29
et comment le faire baisser en mettant en oeuvre un certains nombre de
00:17:32
procédures de documentation interne entreprises pour pouvoir démontrer le respect de ces principes
00:17:40
voilà pour cette première partie sur le champ d'
00:17:44
application un des législations en matière de protection des données
Conference Program
Mot de bienvenue
Kustrim Reka, Attaché au développement économique, DG DERI
Sept. 30, 2022 · 6:30 a.m.
385 views
Mots de bienvenue
Olivier Sandoz, Directeur général adjoint, FER Genève
Sept. 30, 2022 · 6:35 a.m.
Champ d'application des législations sur la protection des données
Paul de Blasi & Lise Morin, Resp: Associé — Consultante, Tax & Legal, Deloitte
Sept. 30, 2022 · 6:47 a.m.
111 views
Mise en oeuvre pratique des nouvelles exigences
Andreas Jaeggi & Audrey Soutter, Resp: Directeur — Manager, EY Law, Ernst & Young
Sept. 30, 2022 · 7:07 a.m.
119 views
Mesures de sécurité à mettre en place pour les traitements de données personnelles
Gaelle Goareguer & Roland Perruchoud, Resp: Consultante en Système d'information — Directeur adjoint, Financial Services
Sept. 30, 2022 · 7:32 a.m.
155 views
