RGPD

COMMENT CRÉER UN REGISTRE DE TRAITEMENT – QUEL EST SON CONTENU ?

Les informations suivantes doivent figurer dans un registre de traitement des données personnelles :

• Nom de l’entreprise qui effectue le contrôle, coordonnées du responsable (pas nécessairement le responsable de la protection des données).
• Dans quel but les données sont-elles traitées ?
• Description des catégories de personnes concernées (clients, employés…) et des catégories de données à caractère personnel
• Destinataires des données (prestataires de services, entreprises du groupe) dans l’UE (idéalement, faire le même inventaire complet, y compris la Suisse et les pays hors UE)
• Transfert de données vers l’UE (idéalement tous les pays.) Les services de stockage dans le nuage font également partie de cette catégorie, il suffit qu’une organisation de l’UE ou d’un pays tiers puisse y avoir accès.
• si elles sont disponibles : les délais relatifs à l’effacement des données
• Description des mesures techniques et organisationnelles pour la protection des données (y compris le concept d’accès)

 

 

FAQ RGPD

QUAND LE RGPD S’APPLIQUE-T-IL ?

• Si le traitement des données concerne des résidents de l’UE (pas nécessairement des citoyens)
• Si j’ai un établissement dans l’UE et que des données y sont traitées. Indépendamment de l’origine des données, peu importe donc que je traite des données suisses ou allemandes/français.
• Le RGPD s’applique également si vous traitez des données de collaborateurs de l’UE en Suisse.
• Si je vends de la marchandise de Suisse (ou d’un autre pays tiers) à des clients de l’UE et que le site web s’adresse également à des pays / consommateurs de l’UE
• Une entreprise suisse mandate une entreprise de l’UE pour l’hébergement, le stockage dans le cloud, etc. Le mandataire dans l’UE est toujours soumis au RGPD. Il n’est pas nécessaire que le prestataire de l’UE fasse quelque chose avec les données, seul le “stockage” des données déclenche l’assujettissement.

 

QUAND LE RGPD NE S’APPLIQUE-T-IL PAS ?

• Si l’on exclut ou exclut explicitement les résidents / clients de l’UE de son site web et que l’on traite les données exclusivement en Suisse.

 

LES COOKIES SONT-ILS CONCERNÉS PAR LE RGPD ?

• Une réglementation distincte sur les cookies sera mise en place.

 

LE RGPD S’APPLIQUE-T-IL AUX DONNÉES B2B ?

• Le RGPD s’applique si le traitement B2B concerne également des données personnelles. Par exemple, Hans Muster, directeur marketing…
• Les données d’entreprises pures ne sont pas soumises au RGPD (pas de protection des personnes morales).

 

LE DSGVO S’APPLIQUE-T-IL SI SEULS DES ACCÈS (LECTURE/PROGRAMMATION, ETC.) SANS TRAITEMENT SONT EFFECTUÉS SUR DES DONNÉES DANS L’UE OU DES RÉSIDENTS DE L’UE ?

• Le simple fait qu’une entreprise de l’UE ait la possibilité d’accéder à des données équivaut déjà à un “transfert de données” et entraîne l’assujettissement au RGPD.

 

EST-IL POSSIBLE DE FAIRE CIRCULER DES DONNÉES “SANS FORMALITÉS” AU SEIN D’UN GROUPE D’ENTREPRISES ?

• Toutes les entreprises indépendantes au sein d’un groupe d’entreprises doivent être considérées comme des tiers, il n’y a pas de privilège de groupe. C’est pourquoi les transferts de données “intra-groupe” doivent également être effectués conformément aux directives du RGPD.

 

CONTRAT DE TRAITEMENT DES DONNÉES DE COMMANDE

• Chaque client doit s’assurer qu’il existe un contrat de sous-traitance conforme et que le sous-traitant de données établi dans l’UE s’engage à se conformer au RGPD.

 

À QUOI DOIS-JE FAIRE ATTENTION EN MATIÈRE D’ENRICHISSEMENT DES DONNÉES ?

• Il existe des obligations d’information élevées : Je dois informer le client si j’enrichis ses données avec des informations “accessibles”. Je dois obtenir le consentement du consommateur.
• Sont également concernés par exemple les avis de déménagement de la Poste Suisse (Match, Swisscom Multisource), si ces données circulent à l’étranger (Hosting, CRM, ERP etc.)

 

AI-JE BESOIN DE CONSENTEMENTS SPÉCIFIQUES POUR LES CONDITIONS GÉNÉRALES ET LA DÉCLARATION DE PROTECTION DES DONNÉES ?

• En Suisse, il n’est pas nécessaire d’obtenir deux consentements distincts. Il est toutefois recommandé d’obtenir deux consentements, car il s’agit de deux obligations / accords distincts.
• Les conditions générales sont un accord contractuel basé sur une transaction. Cet accord peut être adapté à chaque nouvel achat. En revanche, la déclaration de protection des données est une simple obligation d’information de la part du fournisseur et a normalement un effet “durable” (les données sont normalement traitées indépendamment d’autres transactions et utilisées par exemple à des fins de marketing).