AstucenLPD

Quels sont les rôles essentiels au sein des entreprises pour être en conformité à nLPD ?

L'ordonnance de la nouvelle Loi sur la Protection des Données en Suisse (nLDP) met l'accent sur l'importance de l'évaluation du besoin de protection des données et la mise en œuvre de mesures techniques et organisationnelles appropriées pour garantir une sécurité adéquate des données. Pour cela elle met en évidence les deux rôles importants et obligatoires pour les entreprises.

Le Responsable du traitement des données : Cette personne ou entité détermine les finalités et les moyens du traitement des données personnelles. Ils sont responsables de la mise en œuvre des pratiques de traitement des données conformes à la LDP et doivent documenter ces pratiques.

Sous-traitant des données : Le sous-traitant est une personne ou une entité qui traite des données personnelles pour le compte du responsable du traitement des données. Dans ce rôle, le sous-traitant doit garantir qu'il traite les données de manière sécurisée et conforme à la LDP et uniquement selon les instructions du responsable du traitement. Il est important de formaliser les relations entre le responsable du traitement et le sous-traitant à travers des contrats ou d'autres actes juridiques qui définissent clairement les responsabilités de chaque partie.

Leur mission est l’évaluation du besoin de protection des données

Le responsable du traitement et le sous-traitant sont tenus d'évaluer le besoin de protection des données personnelles. Cette évaluation est basée sur le type de données traitées et la finalité, la nature, l’étendue et les circonstances du traitement. Cette évaluation initiale détermine les mesures appropriées à prendre pour protéger les données.

Évaluation du risque pour la personne concernée

L'ordonnance met également l'accent sur l'évaluation du risque pour la personnalité ou les droits fondamentaux de la personne concernée. Cette évaluation tient compte des causes du risque, des principales menaces, des mesures prises ou prévues pour réduire le risque, et de la probabilité et la gravité d’une violation de la sécurité des données, malgré les mesures prises ou prévues.

Détermination des mesures techniques et organisationnelles

Pour déterminer les mesures techniques et organisationnelles à mettre en place, le responsable du traitement et le sous-traitant doivent prendre en compte l'état des connaissances et les coûts de mise en œuvre. Ces mesures peuvent inclure des technologies de chiffrement, des systèmes de sécurité des réseaux, des politiques de contrôle d'accès, des procédures de sauvegarde et de restauration des données, et des formations pour les employés.

Réévaluation et adaptation des mesures

Enfin, le besoin de protection des données personnelles, le risque encouru, ainsi que les mesures techniques et organisationnelles sont sujets à une réévaluation continue tout au long de la durée du traitement. Si nécessaire, les mesures sont adaptées pour répondre à l'évolution du risque ou aux changements dans la technologie, les pratiques de l'entreprise ou le cadre juridique.


En conclusion, l'ordonnance de la nLDP exige une approche proactive et réactive de la protection des données. Les entreprises doivent non seulement mettre en place des mesures de sécurité initiales, mais aussi s'engager dans une évaluation et une adaptation continues pour répondre aux défis changeants de la protection des données.

Le petit plus de l'expert nLPD

Le responsable du traitement des données joue un rôle essentiel dans la détermination des finalités et des moyens du traitement des données personnelles. Ce dernier doit garantir la conformité aux réglementations telles que la LDP. Ses compétences sont cruciales : non seulement il doit comprendre en profondeur la réglementation, mais il doit aussi être apte à documenter et mettre en œuvre des pratiques adéquates. Pour assurer une application optimale de la LDP, il est recommandé que l'organisation nomme un responsable des données possédant une expertise adaptée. De plus, une équipe multidisciplinaire, compétente dans les domaines informatique, juridique et administratif, devrait le soutenir dans cette tâche.


Sous-traitant des données : Le sous-traitant est une personne ou une entité qui traite des données personnelles pour le compte du responsable du traitement des données. Dans ce rôle, le sous-traitant doit garantir qu'il traite les données de manière sécurisée et conforme à la nLDP et uniquement selon les instructions du responsable du traitement. Il est important de formaliser les relations entre le responsable du traitement et le sous-traitant à travers des contrats ou d'autres actes juridiques qui définissent clairement les responsabilités de chaque partie.

Besoin d'aide sur la nLPD ?

Nos experts se tiennent à votre disposition pour répondre à vos questions et vous présenter des solutions concrètes pour vous mettre en adéquation avec la nLPD !

058 255 01 81

Article rédigé par

Thibaut Robert - Expert nLPD

José Veloso

Associé de Valpeo International
Spécialiste dans la gouvernance d'entreprise

Besoin d'aide sur la nLPD ?

Nos experts se tiennent à votre disposition pour répondre à vos questions et vous présenter des solutions concrètes pour vous mettre en adéquation avec la nLPD !

058 255 01 81