
13.12.2022
26.05.2023
Personne aujourd’hui ne peut échapper au flot constant d’informations autour de cette nouvelle norme européenne en vigueur depuis le 25 Mai 2018. Chez ALTEA, nous collaborons depuis quelques mois avec Alexis Kiefer sur ce sujet dont nous verrons qu’il impacte finalement également les entreprises suisses.
Alexis Kiefer est le fondateur de la société OPTYMA qui s’est spécialisée dans l’accompagnement des entreprises pour la mise en place de dispositifs de protection de données. Alexis a développé cette compétence sur ces dix dernières années durant lesquelles il a travaillé sur des sujets de gestion des risques et de gouvernance des données en entreprise.
Depuis sa mise en application le 25 mai 2018 en Europe, les sociétés et organismes extraterritoriaux peuvent être concernés par ce règlement dans trois cas précis :
Les entreprises suisses traitant exclusivement un marché local ne sont donc normalement pas concernées par le règlement GDPR.
En revanche, la Suisse, dans le cadre de ses accords européens, a mis en place un projet de mise à jour de la loi sur la protection des données, à l’image des dispositions de la GDPR. Le projet de loi a été rédigé mais sa validation n’est pas pour le moment programmée. Si ce projet avance, à terme, l’ensemble des entreprises et organisations suisses seront alors concernées.
Cela signifie qu’une entreprise suisse, quelle que soit sont activité, doit se préparer à mettre en place un système de protection des données, afin de respecter la loi Suisse et/ou la RGPD.
Pour une entreprise qui ne se serait pas jusqu’à maintenant intéressée au sujet de la protection des données personnelles, la première chose à faire est une évaluation en 4 étapes :
L’inventaire documenté va démontrer que l’on s’est posé les bonnes questions. Une première analyse de risques doit être alors réalisée. Par exemple, si l’entreprise dispose d’une base de candidats significative, avec des données personnelles, une attention particulière doit être portée sur les moyens de protection de ces informations.
Le règlement impose, dans certains cas, de faire une analyse d’impact (ou DPIA) ciblée sur des données considérées à risque. Le volume des données concernées entre en ligne de compte dans la nature des dispositions à mettre en œuvre.
Le rôle d’OPTYMA est d’accompagner les clients en proposant une démarche dite en entonnoir permettant d’identifier étape par étape les dispositions à mettre en œuvre. Le but est de mettre en place un plan d’actions ciblées sur le strict périmètre nécessaire et pouvoir démontrer que le dispositif de protection des données personnelles est pertinent. Cette approche évite de déclencher des actions sur des données qui ne seraient pas concernées.
OPTYMA travaille en collaboration avec ALTEA qui est justement en mesure de mettre en place les dispositifs de protection des données personnelles en appliquant les technologies et services ad hoc.
Dans tous les cas la responsabilité ultime de protection des données personnelles incombe à l’entreprise. En revanche le prestataire d’hébergement, du fait qu’il traite les données, porte une partie des responsabilités. Cette entreprise doit donc mettre en place et pouvoir justifier de dispositifs de protection des données personnelles identifiées comme sensibles.
Lorsque l’entreprise utilise les services d’acteurs tels que AZURE elle doit également en premier lieu s’assurer de sa conformité GDPR. Le simple fait que Microsoft apporte des garanties solides en matière de protection des données n’exonère pas l’entreprise de sa responsabilité. Celle-ci devra notamment pouvoir justifier la façon dont les données sensibles sont collectées ou la nature des traitements appliqués.
Effectivement, de premier abord, la réglementation peut apparaitre comme une contrainte. Notre approche, chez OPTYMA, est d’aider l’entreprise à transformer ces contraintes en opportunités. Plusieurs pistes sont alors explorées :