Comment se protéger d'une cyberattaque
Suite à la série de cyberattaques de vendredi 12 mai 2017, Swiss Risk & Care vous propose une série de mesures pour éviter de tomber dans les pièges.
En savoir plus Big data, protection des données
Le RGPD et ses conséquences pour les entreprises suisses
Le 25 mai prochain entrera en vigueur le règlement général pour la protection des données (RGPD) au sein de l’Union européenne. Objectif : donner aux citoyens plus de contrôle et de visibilité sur le traitement de leurs données personnelles et ce, afin de mieux les protéger. Quel impact pour les entreprises suisses ?
Le RGPD, ce qu'il faut retenir...
Ce règlement s’applique à toutes les données personnelles d’une personne physique quelle que soit sa nationalité ou sa résidence. Cela signifie que toutes les données personnelles d’une personne domiciliée en Suisse traitées dans un pays de l’UE entrent dans le champ d’application du RGPD. Ce dernier oblige le responsable du traitement des données à prévoir des procédures et des moyens pour permettre aux personnes d’exercer leurs droits (cf. ci-dessous).
Quelle applicabilité aux entreprises suisses ?
Le RGPD s’appliquera aux entreprises suisses dès lors qu’elles manipulent des données personnelles provenant de l’UE. C’est le cas des entreprises suisses qui possèdent une succursale européenne ou encore celles dont plusieurs collaborateurs résident en UE. Sont également concernées celles qui traitent des données personnelles de résidents de l’UE pour leur offrir des biens ou des services ou pour établir un suivi de leur comportement. Ainsi, une entreprise suisse qui vend des produits en Europe depuis une boutique en ligne devra appliquer le RGPD. Idem pour une société suisse qui créé des profils clients afin de leur proposer une offre adaptée établie sur la base de leur comportement dans l’UE.
Quelles obligations ?
Le RGPD entend responsabiliser les entreprises. Il concerne tous les acteurs dans l’entreprise et pas uniquement le responsable informatique ou de la sécurité.
Les sociétés devront tenir en interne un registre des traitements des données personnelles dans lequel elles indiqueront la finalité de chaque collecte et le nom d’un responsable. Pour chaque processus de traitement des données, elles devront mener une étude d’impact pour s’assurer qu’elles mesurent bien les risques vis-à-vis de la vie privée des citoyens européens. En cas d’infraction, elles s’exposeront à des sanctions lourdes (pouvant aller jusqu’à 4 % du chiffre d’affaires).
Les citoyens pourront demander aux entreprises dont l’activité entre dans le champ du RGPG d’exercer leurs droits :
Le droit à l’information : le responsable du traitement doit fournir à la personne toute une série d’informations au moment de la collecte.
Le droit de rectification : la personne a le droit de demander que ses données soient rectifiées ou complétées.
Le droit à la limitation du traitement : lorsque ce droit est demandé, le responsable du traitement ne pourra que stocker les données sans faire d’autres opérations.
Le droit à l’oubli : la personne peut demander l’effacement de ses données dans les meilleurs délais y compris si les données ont été transmises à d’autres entités.
Le droit de ne pas être soumis à une décision individuelle automatisée, tel le profilage, par exemple.
Le droit d’accès : la personne concernée a le droit de savoir si ses données sont traitées ou non.
L’obligation de notification du responsable : la personne doit être informée de toute rectification, effacement ou limitation des données.
Le droit à la portabilité des données : la personne a le droit de récupérer les données qu’elle a fournies.
Le droit d’opposition : la personne peut s’opposer à tout moment à un traitement des données. Elle peut également s’opposer à ce que ses données soient traitées à des fins de marketing direct.
Le droit à la communication en cas de violation de données à caractère personnel, en cas de cyber attaque, par exemple.
- La transparence envers la personne concernée
- La limitation des finalités de la collecte des données. Ces finalités doivent être explicites et légitimes
- La minimisation de la quantité de données collectées
- La rectification et la mise à jour de ces données
- La limitation du temps de conservation des données (au regard des finalités)
- La sécurisation des données
- Désigner un pilote
- Cartographier le traitement de données personnelles
- Prioriser les actions à mener
- Gérer les risques identifiés
- Organiser les processus internes
- Documenter la conformité
Sources :
- Confédération suisse – Préposé fédéral à la protection des données et à la transparence
- neoledge.com « Bien se préparer au RGPD pour en faire un accélérateur de croissance ».
- cnil.fr
La sécurisation des données de nos clients est une priorité absolue. Ces données sont traitées avec la plus grande confidentialité et ne sont pas vendues à des tiers. Nous sommes en train d’adapter nos procédures pour nous conformer au RGPD.
Par ailleurs, notre équipe Risques Spéciaux se tient à votre disposition pour l’étude et la mise en place d’une garantie cyber.
Sophie Di Meglio +41 58 178 85 38
Etienne Verret + 41 58 178 85 19
Responsable Clients et Expert Risques Spéciaux
Article publié en février 2018
- Les technologies numériques ont engendré l’apparition de nouveaux dangers et de garanties d’assurance spécifiques. Une réflexion sur l’opportunité d’un transfert de risque auprès des assureurs est à l’ordre du jour.En savoir plus
- Une protection contre les aléas directs ou indirects pouvant remettre en cause votre activité.En savoir plus
