Depuis septembre 2023, avec la nouvelle loi sur la protection des données (LPD), la protection des données à caractère personnel est au centre des préoccupations des régulateurs. Avec un rapport d'audit indépendant, les entreprises assurent non seulement leur conformité, mais renforcent également la confiance de leurs clients et partenaires commerciaux.
La nouvelle loi fédérale sur la protection des données (nLPD) et son règlement sur la protection des données (RGPD) sont en vigueur depuis le 1er septembre 2023. Les entreprises suisses sont ainsi confrontées à des exigences plus strictes en matière de sécurité de l'information et de traitement soigneux des données personnelles ; dans le même temps, les droits des détenteurs de données ont été renforcés.
Parmi les principales nouveautés figurent des obligations étendues en matière d'information, de notification et de documentation ainsi que des sanctions nettement plus élevées pour les personnes physiques en cas d'infraction. Les entreprises doivent tenir un registre des activités de traitement, adapter les déclarations de protection des données, documenter les transferts à l'étranger, institutionnaliser les processus de notification et définir clairement les responsabilités
Renforcer le contrôle des sous-traitants externes de données
Le traitement des commandes et la conclusion d'accords sur les sous-traitants ont acquis une importance particulière. Dans la pratique, ces accords s'avèrent souvent être des "géants aux pieds d’argile", car de nombreux responsables de la protection des données ne remplissent pas suffisamment leurs obligations de contrôle et de vérification vis-à-vis des sous-traitants, notamment en ce qui concerne le respect des mesures de sécurité techniques et organisationnelles. Chaque entreprise doit donc savoir exactement non seulement comment elle assure elle-même la protection des données, mais aussi comment ses tiers y parviennent. En effet, un manque de protection entraîne des risques considérables.
Un an après l'entrée en vigueur de la nLPD, les responsables doivent s’assurer d’effectuer des contrôles auprès de leurs sous-traitants. Cependant, ni la loi ni le règlement ne donnent de directives claires à ce sujet.
En outre, de récentes décisions de justice de l'UE montrent que les obligations de surveillance des responsables ont été considérablement étendues - une tendance qui pourrait également s'établir en Suisse. Comment les responsables et les personnes chargées du traitement des commandes peuvent-ils aborder ces défis de manière pragmatique et en fonction des risques ?
Un rapport d'assurance envoie un signal fort au public : l'entreprise prend la protection des données au sérieux et se soumet volontiers à des audits externes.
Répondre aux exigences de la DSV : Instaurer la confiance grâce à un contrôle indépendant
Comment les entreprises peuvent-elles traiter systématiquement le catalogue d'exigences du RGPD ? Et comment les sous-traitants peuvent-ils prouver qu'ils respectent la protection des données ? Nous observons que de plus en plus de clients cherchent à obtenir la confirmation qu'ils remplissent toutes les obligations légales - notamment pour minimiser les risques de responsabilité.
Pour démontrer la conformité à la nLPD, il faut des approches structurées pour vérifier et confirmer le respect de ces exigences. Une méthode éprouvée consiste à établir un rapport d'audit indépendant. Les audits ISAE et SOC®, par exemple, offrent aux entreprises la possibilité de démontrer de manière compréhensible l'adéquation et l'efficacité de leurs mesures de protection des données. De tels rapports d'audit créent non seulement de la transparence et de la confiance vis-à-vis des clients et des partenaires commerciaux, mais aident également à identifier et à réduire à temps les risques liés au traitement des données personnelles - une exigence centrale de la nouvelle LPD.
Prouver la protection des données de manière durable
Les certifications telles que ISO 27001 sont des normes établies pour les systèmes de gestion de la sécurité de l'information. En complément, les certificats spécifiques à la protection des données tels que le European Privacy Seal (EuroPriSe) ou les certifications GDPR offrent d'autres possibilités de prouver le respect des exigences en matière de protection des données. Les rapports d'audit ISAE ou SOC® offrent en revanche une preuve plus approfondie, car ils montrent que les mesures de sécurité techniques et organisationnelles sont efficaces non seulement à un moment donné, mais aussi en permanence. Ceci est particulièrement important étant donné que les clients et les partenaires commerciaux exigent de plus en plus la confirmation que leurs données sont traitées en toute sécurité et que les sous-traitants respectent pleinement leurs obligations.
Bien qu'il ne s'agisse pas d'une obligation légale, un rapport d'audit offre une garantie et une transparence supplémentaires en ce qui concerne le respect des exigences en matière de protection des données. Il montre que l'entreprise ne se contente pas de satisfaire aux exigences légales de base, mais qu'elle garantit également le respect permanent de ces normes. Parallèlement, un rapport d'audit complet envoie un signal fort à l'extérieur : L'entreprise prend la protection des données au sérieux et se soumet volontiers à un audit externe.
