Skip to main content

Déclaration de protection des données conformément à la nLPD

La nouvelle Loi sur la protection des données est entrée en vigueur au 1er septembre 2023. Les entreprises sont tenues d’élaborer une déclaration de protection des données ou d’adapter la déclaration existante. Les petites entreprises se posent peut-être la question de savoir si elles doivent vraiment rédiger une telle déclaration et quelles informations elles devraient y intégrer. Nous avons examiné plusieurs documents et sites Internet et rassemblé ci-dessous des liens qui vous mèneront vers quelques informations et modèles.

Portail PME de SECO
Ce qu’il faut savoir

Infothèque Protection des données de PFPDT

Economiesuisse: Aperçu de la nLPD

Premier aperçu

La nouvelle Loi sur la protection des données (nLPD) concerne toutes les personnes et organisations qui traitent des données personnelles. Elle s’applique donc autant aux entreprises, aux services publiques, aux associations qu’aux particuliers qui gèrent un site internet ou effectuent des publipostages. La nLPD permet aux particuliers d’exercer un contrôle accru sur leurs données personnelles, d’augmenter leurs droits à la transparence dans l’information fournie et de les protéger davantage face aux utilisation illicites de leurs données.

Les entreprises sont tenues de fournir des renseignements sur la manière dont elles collectent, traitent, transmettent et protègent les données à caractère personnel. Ces informations sont assemblées dans une déclaration de protection des données et publiées – de préférence sur leur propre site Internet de façon à les rendre accessibles à toutes les personnes concernées.

Il convient donc d’adapter la déclaration de protection des données à sa propre entreprise ainsi qu’à ses processus internes. C’est pourquoi, en tant qu’association professionnelle, nous ne pouvons pas proposer de modèles « copy-paste ». Les informations mentionnées dans cet article proviennent de sources différentes et sont tout sauf intangibles. De même, les liens présentés ne constituent qu’une sélection – ils conduisent à des entreprises et des partenaires faisant partie de notre réseau ou à des sites que nous jugeons utiles à nos besoins.

SWICO : huit étapes clés vers la roadmap (allemand)

sgv-usam : Fiches d’information et documents types sur la page

Hostpoint : Saisir la déclaration de confidentialité vers l’article de blog

Procédure pour élaborer une déclaration de protection des données

L’important est d’effectuer un travail de réflexion sur les dispositions de la nLPD pour se familiariser avec l’utilisation des données à caractère personnel. Nous vous présentons ci-dessous une liste de questions que vous pouvez vous poser pour déterminer quelle est au juste la responsabilité de votre entreprise en matière de protection des données :

  • quelles catégories de données à caractère personnel collectons-nous (coordonnées générales de contact, informations sensibles, fichiers d’images…) ?
  • de quelle façon collectons-nous ces données (courriel, newsletter, site Internet, médias sociaux, publipostage, événements…) ?
  • comment ces données sont-elles recueillies (courriel, formulaire de contact, commandes, sections protégées, fonction de commentaires…) ?
  • dans quel but traitons-nous ces données (en lien avec un mandat, pour les transférer, pour notre propre utilisation…) ?
  • qu’advient-il des données une fois le mandat terminé (transférer, archiver, supprimer…) ?
  • à quel point les données sont-elles sûres chez nous (droit d’accès, archivage, protection…) ?

Conseil : réfléchir à ce qu’il se passerait si des personnes/organismes/machines accédaient indûment à nos données (fishing, piratage, vol de données, etc.).

Modèles à télécharger du DSAT à télécharger (allemand)

Informations à lire sur le site de Friendly (anglais)

Questions et scénarios quotidiens à passer en revue chez Thinkdata

Voici ce que doit contenir une déclaration de protection des données

La déclaration de protection des données doit se conformer aux exigences légales tout en étant formulée de manière intelligible. Considérez la liste suivante comme une proposition de structure, elle peut également servir de table des matières :

  • Organe responsable et contact
  • Collecte et traitement des données
  • Catégories de données à caractère personnel
  • But du traitement des données, base légale
  • Technologies de suivi
  • Analyse web
  • Partage et transmission des données
  • Durée de conservation des données à caractère personnel
  • Sécurité des données
  • Mise à disposition des données à caractère personnel
  • Droits des personnes concernées
  • Modification de la déclaration de protection des données

Contribution sur le thème de l’utilisation des photos sur la page de PFPDT

Matière à réflexion peut-être ?

Il est recommandé de se poser quelques questions sur la protection des données dès la conception d’un site Internet :

  • une carte Google est-elle nécessaire ? Alternative : élaborer soi-même un plan de situation informatif, adapté à l’identité visuelle de l’entreprise ;
  • a-t-on vraiment besoin d’utiliser des polices de Google ou d’Adobe ? Alternative : acheter une police d’und fonderie et l’incorporer à son site ;
  • faut-il toujours utiliser des photos de banques d’images ? Alternative : créer ses propres illustrations ou travailler en collaboration avec des photographes.

Telles sont les possibilités d’alléger quelque peu la déclaration de protection des données tout en encourageant la créativité.

Une réflexion sérieuse sur notre propre utilisation des données à caractère personnel ne doit pas être considérée comme un « exercice obligatoire pénible ». En fin de compte, ce ne sont pas des données que nous protégeons en agissant ainsi, mais bien des personnes.