Player is loading...
Mise en oeuvre pratique des nouvelles exigences
Andreas Jaeggi & Audrey Soutter, Resp: Directeur — Manager, EY Law, Ernst & Young
Friday, Sept. 30, 2022 · 7:07 a.m. · 23m 57s
Embed
Transcriptions
Note: this content has been automatically generated.
00:00:02
et là ça marche
00:00:06
bonjour si de notre côté donc on va tout de suite de procéder à des sujets
00:00:15
présenté donc au final ça puis il nécessaire je crois donc l'argent dans les prochains 20 minutes
00:00:23
on a utilisé dans les deux parties d'abord devra présenter en général les mesures à mettre en place donc
00:00:29
vue d'ensemble ce que vous devez donc on fait comment se faire depuis maintenant
00:00:35
jusqu'en septembre 2023 et ont eux en particulier et
00:00:39
diviser laissait cette procédure dans deux situations si vous avez déjà fait quelques
00:00:44
se soulager p. d. ou si pas du tout donc si vous êtes couvert seulement par la suisse
00:00:50
et après dans une deuxième partie on mettre le focus sur 3 sujets
00:00:54
le DPO qu'on a vu l'analyse d'impact sur la protection de données ainsi que le transfert des données
00:01:02
attendons donc bonjour à tous et a donc maintenant
00:01:05
que les grands notion concepts et définitions ont été rappelés
00:01:09
concrètement que souhaité faire quels sont les mesures à mettre en place dès aujourd'hui pour être en conformité avec les textes
00:01:16
à ce scénario numéro un votre entreprise et soumise au large aider
00:01:20
et vous avez déjà commencer à vous mettre en conformité ou pas
00:01:24
voici quelques pistes à des mesures que vous avez déjà mises en oeuvre ou que vous devrez mettre en oeuvre
00:01:31
donc au numéro un le délégué à la protection des
00:01:34
données le samedi pio aime et je m'attarde pas sur ce
00:01:37
point 6 à développer eux parents d'élèves dans quelques minutes
00:01:41
point numéro deux les métiers d'information et régie des activités traitement
00:01:45
donc les métiers d'information vise à assurer que les personnes non traitées les données les personnes concernées
00:01:50
sont au courant que leurs données personnelles sont récoltés par votre entreprise et seront traitées pour diverses finalités
00:01:57
c'est respecter le principe de transparence notion fondamentale depuis quelques années en matière de protection des données en pratique
00:02:04
cela se matérialise notamment si vous avez un site internet par un lien vers votre politique interne et protection des données
00:02:10
eux aussi non en papier un formulaire de consentement ou des cases à cocher vous avez sûrement déjà
00:02:15
lu ça avant de procéder au paiement d'une d'une comment il a également le registre des activités traitement
00:02:22
session dans la mesure la plus contraignante à mettre en place rapidement un il s'agit cartographique exhaustive
00:02:29
de toutes les données traitées par votre entreprise ou elles sont pourquoi elles sont utilisées pour combien de temps
00:02:37
etc mais ne vous décourager pas tout de suite c'est un peu lent au démarrage mine femme
00:02:41
vous avez un modèle en place son remplissage et sa mise à jour centre je simple réflexe apprendre
00:02:48
et par ailleurs j'en profite pour vous dire que le sera ça fera l'objet
00:02:53
dans les ateliers le 21 octobre je vous proposerai complice ensemble un ces registres
00:03:00
le point 3 concerne les catégories particulières de données personnelles
00:03:04
donc comme r comme la these elles peuvent être sensibles pareil
00:03:09
arrêté en amont il important de bien vérifier dans quelle catégorie se trouve la donnée vous traiter
00:03:14
car en fonction cela découlant des obligations d'information et de consentement différentes
00:03:19
et cela a également des conséquences sur la nécessité ou non de mettre en oeuvre
00:03:23
une analyse d'impact sur la protection des données avant de commencer un nouveau projet
00:03:29
le point 4 si l'analyse d'impact sur la protection des données il s'agit là dans le jeu
00:03:33
des mesures phares duverger p. d. désormais reprise par la nouvelle ltd et l'un des changements majeurs à venir
00:03:40
tout amendement numéro un sur ledit pilot l'analyse d'impact sur la
00:03:42
protection des données peut être détaillées par andreas dans quelques minutes et fera
00:03:47
l'objet d'un deuxième cas pratique les internautes tableau nous procédons
00:03:51
à nous ferons ensemble une analyse d'impact sur la protection des données
00:03:56
au point 5 on retrouve la mise en place de contrats de soustraitance et contrats transfert de données
00:04:02
si vous êtes soumis LGBD c'est quelque chose qui vraisemblablement déjà en vigueur dans votre entreprise
00:04:07
dans ce cas il faut surtout pensez à les mettre à jour régulièrement et notamment
00:04:11
à partir du premier septembre eux avec des références à la nouvelle r. l. p
00:04:17
enfin car tout peut arriver en cas de violation de la sécurité des données
00:04:21
on nous reproche à jamais de subir une attaque ou la perte de vos
00:04:26
données en revanche qu'on vous demande s'il est prêt et de réagir vite
00:04:30
concrètement pour cela il faut veiller à mettre en place de procédures en cas de la violation
00:04:34
la sécurité des données qui peut être qui devraient être accessibles à tous au sein de votre entreprise
00:04:39
qui prévenir dans quel délai effectivement avoir eux également un modèle
00:04:44
de lettre adressé le plus rapidement possible au préposé
00:04:50
on passe au scénario numéro deux
00:04:53
le LGBD la nouvelle a l. P100 des acronyme dont
00:04:55
vous avez vaguement entendu parler mais concrètement rien n'a été mis en place
00:05:00
cette technique vous êtes nombreux et j'imagine qu'eux certains d'entre vous sont justement là pour ça ce matin
00:05:06
dans ces cas la première chose à faire c'est de déterminer quelles aient le droit ou les droits applicables à
00:05:12
votre entreprise commises excité à quelques instants l'applicabilité de l'
00:05:17
un ou l'autre ou les deux textes doit être analysée
00:05:20
vous avez un site de ecommerce avec des clients résidant dans les vous est soumis aux RGPD
00:05:26
vous avez une partie de vos services qui sont mis en oeuvre depuis le comme un service de pétrole ou de comptabilité
00:05:33
à travers les sociétés en france vous est soumis pour gérer des projets basés uniquement en
00:05:38
suisse et vos clients suisses vous est soumis à la loi suisse sur la protection des données
00:05:43
et dans certains cas vous êtes sur les deux terrains et les deux droits s'appliquent respectivement selon les traitements
00:05:50
les données de vos employés suisse au sein de votre département r. h. sont soumis à la l.
00:05:55
p. d. et vous avez des activités commerciales à destination du select ses activités la sont soumises converger p
00:06:02
une durée déterminée les droits applicables il faut regarder ce qui est en place et ce qui doit être mis en place pour que votre
00:06:07
entreprise faites en conformité cela passe par une analyse des écarts de
00:06:11
conformité cette étape numéro de série quelque sorte un audit de votre entreprise
00:06:16
lister les données personnelles traiter leur usage les traitements si elles feront l'objet de transfert à l'étranger notamment
00:06:23
à travers eux via le cloud si vous êtes si vous utilisez un classée ce qui arrive le plus souvent
00:06:29
regardez si des documents internes qui existe si vous avez déjà in politique interne et protection des données un registre des
00:06:35
activités traitement un formulaire de consentement si des contrats ou des
00:06:40
clauses allègre soustraitants ont été mis en place sur ces questions
00:06:43
une fois c'est cet audit réalisé les écarts ou non
00:06:47
de conformité apparaître il existe aujourd'hui des très nombreuses checklist de
00:06:51
mesures à mettre en place un si on compare les résultats de votre audit avec ses checklist pour établir le plan d'action
00:06:59
quelquesunes des mesures phares nous est présentée plus en détail dans quelques instants par andreas et nous
00:07:03
pourrons et revenir quand je disais en petits groupes et lors des ateliers que jeanneret le 20 octobre
00:07:09
attention ces points n°4 le piège dans lequel il ne faut pas tomber c'est de s'arrêter en si bon chemin
00:07:15
n'oubliez pas de mettre à jour et à vos procédures et effectivement de les mettre en avant
00:07:22
déjà ce que c'est bien de faire un plan d'action mais il faut le mettre en oeuvre
00:07:27
et après il faut régulièrement vérifier que les mesures mises en place en toujours suivi et pertinentes au regard de vos activités
00:07:36
en résumé l'essentiel les mesures à mettre en place c'est une gouvernance
00:07:41
de la protection des données avec un ou plusieurs interlocuteurs au sein de votre entreprise
00:07:46
des contrats avec des soustraitants notamment avec le cloud
00:07:49
travail der par exemple le registre des activités de traitement
00:07:54
essentiel et au final utiles pour mettre en oeuvre toutes les autres mesures
00:08:00
enfin documentée et le respect de l'obligation d'information calais nécessaire notice d'information
00:08:05
lien sur internet case à cocher comme vous voulez l'essentiel c'est d'informer
00:08:10
et prendre le respect prend le réflexe pardon de la question de la conduite d'une analyse d'impact
00:08:15
sur la protection des données pour chaque nouveau projet et sait maintenant que je passe la parole à andreas
00:08:32
voilà comme je l'ai dit on consent sur 3 sujets focus
00:08:38
un la première c'est cette même nationale dès lors que ces seulement
00:08:42
good practices où cette obligation en suisse et sous le GPD
00:08:49
voila sera préparé un petit tableau comparatif des critères entre le berger p. d.
00:08:55
et la nouvelle loi suisse donc
00:09:00
le plus important tout de suite l'obligation basque base légale au loyer mais
00:09:05
je n'entre pas dans les détails donc l'obligation voyez tout
00:09:09
de suite en suisse non et dans l'union européenne sous certaines conditions
00:09:14
donc soulager p. d. AI si vous ou votre entreprise soumis sous soulager
00:09:21
pdf vous avez déjà un dépôt peut être vous avez déjà analysé ces points ou pas
00:09:26
en tout cas y'a 3 critères donc d'abord pour les organismes publics sur des territoires
00:09:31
et après donc pas de traitement qui impliquent un suivi régulier et
00:09:34
systématique à grande échelle des personnes concernées donc ce que fait
00:09:41
cette fiducie l'activité de base de l'organisation
00:09:47
implique ce suivi régulier donc à grande échelle ya pas de définition
00:09:52
dans la loi à partir de quel volume on parle
00:09:54
de grande échelle mais donc cf détermine de caracas
00:09:59
faut faut que consulat la durée et l'étendue géographique donc en
00:10:06
général cas par cas il faut étudier le succès ne fermons pas troisième critère
00:10:11
si les activités implique un traitement à grande échelle de données sensibles l'a fait plus clair
00:10:18
donc des données sensibles qu'on a vu avant déjà comme des données de santé
00:10:21
données biométriques opinions politiques et cetera
00:10:26
ensuite les deux autres points donc les critères de nomination les fonctions sont
00:10:31
très similaires soulage p. d. et sous la LPD donc
00:10:38
si vous voulez choisir un déplu aux plus coûteux qu'un point de vue
00:10:43
pensez donc c'est d'abord que choisir quelqu'un qui a les compétences
00:10:46
ça doit pas forcément être un juriste ni un technicien
00:10:50
mais il faut il va avoir de l'expertise juridique et technique aussi faire un cours pour devenir diplo sexiste
00:10:58
il doit avoir connaissance évidemment
00:11:01
de votre organisation notre entreprise et des
00:11:05
vos activités et des systèmes de traitement au sein de votre entreprise
00:11:11
ensuite il doit avoir les moyens suffisants servirait pour avoir le temps
00:11:14
suffisant pour eux d'accomplir son ou ses activités comme dit plus haut
00:11:19
donc ça dépendait dans des grands entre précédemment quelqu'un qui est juste duclos 100%
00:11:24
dans des PME complète dans nos entreprises peu quelqu'un qui fait ça a coûté
00:11:30
soit comme autre autre possibilité
00:11:35
évidemment samedi peu externe cette obligation
00:11:39
que ce sont quelques uns interne chez vous mais là commence l
00:11:46
le problème un peu aussi vous dire de l'indépendance donc le dit p. o.
00:11:51
il peut pas avoir un conflit d'intérêts avec ses hautes fonctions plat peut être en interne
00:11:57
donc ça peut pas être quelqu'un qui décide sur
00:11:59
les activités sur les finalités de vos activités de traitement
00:12:04
donc ça peut pas quelqu'un du management de la société ou même
00:12:10
quelqu'un comme un coma chez fight i ou h. f. le juriste
00:12:16
peu d'états impliqués dans les activités et décider sur les finalités
00:12:20
et donc ayant un conflit d'intérêts avec la position de diplôme c'est pour ça
00:12:25
que beaucoup de beaucoup de sociétés surtout les plus grandes sociétés choisissent d'avoir un diplôme externe
00:12:31
voilà finalement il faut comment déclarer le
00:12:34
dupont auprès d'un l'autorité de contrôle local
00:12:39
les fonctions c. assez simple fait donc à l'interne il informe
00:12:43
il conseille l'organisation interne sur les questions protection données
00:12:48
et surveiller il confond contre la conformité le respect des règles
00:12:52
à l'interne de l'entreprise et il joue un rôle
00:12:57
important d'interface à l'interne comme celui de l'organisation
00:13:02
donc soit pour les pour les pour le management pour les employés en cas de questions sur la protection des données
00:13:10
il surveille par exemple les analyses d'impact protection dans les comptes voir après
00:13:18
il essaie il est peutêtre à décider s'il faut faire une mise au pas
00:13:23
après il était là le rôle d'interface avec les autorités de
00:13:26
surveillance donc le premier contact pour en suisse le préposé fédéral
00:13:33
et finalement il et le point de contact pour les personnes concernées en interne et à l'extérieur
00:13:40
donc les tiers qui si ils veulent eux
00:13:45
procéder alors le droit d'accès par exemple ils
00:13:49
doivent contacter pour contacter le diplôme voilà les avantages
00:13:55
nous conseillons toujours de d'avoir un diplôme
00:14:01
des données dans les petits dans le PME ils font discuter si fait nécessaires ou bien s'il faut avoir
00:14:06
si peu donneront la quelqu'un qui tient deuxième activité mais les autorisant tout comme
00:14:12
l'par exemple en france la cnil pour eux prendre un exemple de l'union européenne
00:14:18
pardon d'une fortes recommandations eux mêmes présomption de
00:14:23
conformer qu'en cas de contrôle ça veut dire
00:14:25
que s'ils font des contrôles et vous avez pas de diplôme ou de justifier pourquoi up éditions
00:14:31
donc il faut vraiment avoir raison mon soulager p. v. pourquoi vous pensez de
00:14:36
que se soit pas nécessaire et donc le montant de cette que cette décision
00:14:43
ensuite comme j'ai des 7 volontaires toujours conseillé mais cela
00:14:48
reste volontaire dans la loi as l'avantage d'avoir un diplôme
00:14:53
c'est que dans l'analyse d'impact on
00:14:56
envoie après y'a pas nécessité de consulter le préposé fédéral
00:15:01
en cas de risque résiduel qu'on a voir après tout quand
00:15:05
même un avantage important mais c'est le seul clairement définie dans la loi
00:15:12
voilà c'est pour le diplôme au pouvoir au prochain sujets
00:15:20
font plus l'analyse d'impact sur la protection des données
00:15:25
conditions de mise en oeuvre voila donc si je vous avais déjà peut être entendu parler fort et beaucoup de gens
00:15:33
se disent mais qu'estce que c'est ça commence à fonction commence à faire quand je dois faire surtout compliqué
00:15:39
donc ça peut tout simplement 10 est un outil ou procédure qui permet
00:15:45
de conduire en activité de traitement de données conforme à la loi applicable
00:15:52
ça peut être d'une procédure très simple très vite
00:15:56
bref ça dans certains cas ça peut devenir un peu compliqué
00:16:00
voilà je vous ai mis ici les étapes pour conduire une
00:16:05
analyse d'impact comme à un autre a déjà dit on va
00:16:09
préciser salon puis détaille dans notre
00:16:12
atelier sont offertes à une analyse ensemble donc
00:16:20
ce qu'il faut pendant deux phrases qu'il faut faire c'est d'abord faire aucune
00:16:25
donc si vous avez un internaute société vous avez un
00:16:27
nouveau projet par exemple une ouvre de nouvelles activités marketing
00:16:34
nouvelles activités de surveillance vidéo par son ampleur eux autour de votre entreprise
00:16:39
ou n'importe quel nouveau projet vous devez évaluer et ce que ça
00:16:43
nécessite de faire une analyse d'impact pour pouvoir si des risques élevés
00:16:48
pour les personnes concernées et s'il faut prendre des mesures mettre en place des mesures techniques
00:16:54
ou d'organisation pour limiter ou exclure ces risques sanitaires
00:17:00
hum donc il faut d'abord ferme description eux
00:17:04
dans cette procédure d'analyse une description du traitement
00:17:07
de la nécessité proportionnalité des traitements et évaluer ses risques et
00:17:14
de et troisièmement congédie mettre en place des mesures nécessaires donc
00:17:20
6 par deux mesures nécessaires je vous laisse lire je vais pas lire tous en détail vous
00:17:25
vous voyez si mal et les délais et les mesures de mettre en
00:17:28
place il a des certains risques sépaq semblait limiter l'accès aux données
00:17:33
à l'interne de l'entreprise limiter le temps d'archivage
00:17:37
de données si c possible contrôlées toujours régulièrement la véracité des données
00:17:44
ou prend des mesures de sécurité donc
00:17:47
haiti comores après eux ou laps domination des données
00:17:54
apporter à savoir donc aussi peu i a l d conduire ya
00:18:00
deux étapes il faut d'abord décider s'il faut faire une analyse d'impact
00:18:03
donc dont on se pose eux dans cette
00:18:07
procédure des questions pour prendre cette première décision
00:18:12
un si bon questionnement potentiellement il a des risques et
00:18:17
si on arrive à conclusion conduit il pourrait avoir
00:18:20
des risques élevés on va dans l'analyse et la face à la question de prendre les mesures nécessaires
00:18:28
donc si on prend des la question après c'était ce que sont les risques élevés évidemment
00:18:33
les risques c'est pas pour la société à ce parlement pour les personnes concernées
00:18:38
et les risques ce sont 6 ici peut avoir des conséquences
00:18:41
négatives pour 7 personnes concernées donc pour les pauses pour l'individuel
00:18:47
donc c'est cette estimée en termes de gravité vraisemblance qui pourraient avoir intégré ce constat
00:18:52
peut être un risque physique dont par exemple vous traitez de données de santé et de santé
00:18:57
qui peut résulter dans info traitement médical des d.
00:19:02
des risques matériels à bout de cartes de crédit
00:19:07
ou immatériel un désavantage social sans
00:19:13
voilà ceci
00:19:16
pour l'analyse de protection de données qu'on me dit on va parler en plus de détails au sein de la paix
00:19:24
troisième et dernier sujet focus le transfert des données
00:19:30
le transfert de données deux depuis la suisse vers l'étranger bien
00:19:35
aussi très similaires depuis un pays nos peines b vers l'étranger
00:19:41
donc le transfert de données personnelles à l'étranger c'est possible que ces
00:19:46
il faut pas d'approbation c on peut faire mais la raison le responsable du
00:19:52
traitement doit s'assurer que les données sont protégés de manière adéquate dans le pays étrangers
00:19:59
donc
00:20:01
les conditions sont hors la loi existantes et nouvelles ailleurs pas vraiment des
00:20:06
voix le point principal principaux ya pas vraiment de changement donc
00:20:14
les garanties suffisantes que j'ai indiqué ces oeufs tout
00:20:19
d'abord ici si cette même décision d'adéquation
00:20:24
donc une décision attestant des niveau adéquat de protection
00:20:27
données dans un pays étranger et sa c.
00:20:31
actuellement sur la loi actuelle selon liste le préposé fédéral donc le préposé
00:20:36
fédéral définissait pas lui qui décide en principe ça serait un tribunal a décidé
00:20:41
le préposé fédéral à quand même établit la liste des depuis longtemps des années
00:20:45
sans laquelle certains pays sont considérés eux d'avoir un niveau adéquat de protection données
00:20:52
dans tout ça c'est tout les pays de l'espace économique européen dont nos peines f. a.
00:20:59
donc ça veut dire que transférer des données dans ces
00:21:03
pays c'est possible sans aucune mesure additionnelle et aussi tels que
00:21:09
p. i. en dehors de l'europe constance au canada et d'
00:21:13
autre mais en règle générale pour les pays en dehors de l'europe
00:21:17
il faut des mesures supplémentaires dont
00:21:22
par exemple un traité international qui définit que
00:21:25
l'impossible sous ce traité ou des clauses
00:21:30
contractuelles des modèles de clauses préparé par le préposé fédéral
00:21:34
ou les clauses contractuelles types de l'union européenne que le préposé fédéral à accepter
00:21:40
en disant qu'ils sont conformes au droit suisse ou bien des règles
00:21:44
d'entrepôt notre entreprise impérative dans tes règles internes en interne dans maman brune
00:21:50
d'un grand groupe de qui avec beaucoup de filiales et
00:21:55
ils mettent en place des règles d'entreprise interne débit si un
00:22:02
oui mais dans les pour les p. m. normalement c'est pas vraiment de solution donc là la première mesure
00:22:07
d'utiliser pour le transfert de données nombre de pays en dehors de l'europe sur les côtes les clauses contractuelles
00:22:13
de l'union européenne voilà après la loi cite aussi des
00:22:17
des autres bases admise comme le consentement explicite la personne pensionnat
00:22:21
concernés mais ça faut savoir c'est pas pour un transfert régulier
00:22:24
c'est le cas concret on peut se baser sur le consentement
00:22:29
ou la conclusion exclusion d'un contrat avec la personne concernée ou dans son
00:22:32
intérêt lors publique ou la mise en oeuvre ex 6 l'exception de réclamation
00:22:39
voilà un point important encore elle a eu des changements dans ces derniers
00:22:42
temps vous avez peut être aussi évidente dans les médias qu'il avait beaucoup
00:22:47
d'informations sur la station des etats unis ce pavé chiite sur reims deux
00:22:53
ces sujets assez complexe donc le tai chi entre
00:22:57
la suisse et les états unis dépliants en place
00:23:00
donc les états unis sont traités comme la chine ou l'inde ou autre
00:23:05
et en plus il ya maintenant la nécessité
00:23:08
de plus depuis l'année passée le préposé fédéral à communiquer
00:23:12
même si on utilise un contrat comme les clauses contractuelles types de lui
00:23:16
il faut faire un intraindustry impact assessment donc analyser là aussi estce que le
00:23:23
le pays étrangers où on transfère les données de vraiment garantir la même où la protection adéquate
00:23:30
de la personnalité des personnes concernées voilà sociaux c'est un sujet le prince le 7 juin pas
00:23:37
séparer con on pourra discuter en plus de détails un peu plus tard voile au jour de la télé
Conference Program
Mot de bienvenue
Kustrim Reka, Attaché au développement économique, DG DERI
Sept. 30, 2022 · 6:30 a.m.
385 views
Mots de bienvenue
Olivier Sandoz, Directeur général adjoint, FER Genève
Sept. 30, 2022 · 6:35 a.m.
Champ d'application des législations sur la protection des données
Paul de Blasi & Lise Morin, Resp: Associé — Consultante, Tax & Legal, Deloitte
Sept. 30, 2022 · 6:47 a.m.
111 views
Mise en oeuvre pratique des nouvelles exigences
Andreas Jaeggi & Audrey Soutter, Resp: Directeur — Manager, EY Law, Ernst & Young
Sept. 30, 2022 · 7:07 a.m.
119 views
Mesures de sécurité à mettre en place pour les traitements de données personnelles
Gaelle Goareguer & Roland Perruchoud, Resp: Consultante en Système d'information — Directeur adjoint, Financial Services
Sept. 30, 2022 · 7:32 a.m.
155 views
Débat et questions du public
Panel
Sept. 30, 2022 · 8 a.m.
Recommended talks
L'IA au service de la croissance et de l'innovation des entreprises en Suisse romande
Yvan Cognasse, Responsable Applications SaaS chez Oracle, Europe, Co-directeur CAS Transformation digitale HEG Genève
June 13, 2023 · 4:27 p.m.
152 views