La transparence pour qui ?

Notre programme « Data Management & Business » à la recherche d’une mise en conformité efficace se poursuit pour analyser le profil « Transparence et consentements ».

Après avoir construit les premières bases pour instaurer un programme de conformité à la LPD en entreprise avec la définition et la mise en place de la #gouvernance des données, du recensement des activités de traitement de données personnelles et de l’analyse des risques, nous poursuivons notre plan action avec l’application de l’article 19 de la loi.

La LPD prévoit que chaque responsable de traitement informe les personnes physiques concernées de manière adéquate à propos de la collecte de données personnelles qui sera réalisée, qu’elle soit effectuée directement auprès de cette personne ou non. Cette obligation incombe toujours au responsable du traitement même lorsque le traitement est effectué par des sous-traitants.

Le paragraphe 2 de l’article 19 indique que cette prescription correspond à l’application du principe de transparence, qui se concrétise par un processus de communication d’informations nécessaires qui comprend (i) l’identité et les coordonnées du responsable du traitement, (ii) la finalité du traitement et (iii) le cas échéant, les destinataires ou les catégories de destinataires auxquels des données personnelles sont transmises et (iv) si applicable le nom des pays étrangers auxquels les données sont communiquées. Ceci pour permettre à chaque personne concernée de savoir selon quelles conditions et avec quelles modalités ses données personnelles seront utilisées par le responsable de traitement.

Selon la LPD et l’art. 13 de l’ordonnance sur la protection des données, l’OPDo, les informations doivent être fournies « de manière concise, transparente, compréhensible et facilement accessible ». La mention d’information prend donc la forme d’une note qui précise les éléments prévus par la loi et qui est communiquée au moment de la souscription d’un contrat, d’une collecte de données par formulaire, d’un accès sur un site internet ou d’un premier contact.

La note d’information de la personne concernée doit être fournie avant que la collecte ou le traitement des données ne soit effectué, lorsque les données personnelles sont collectées directement auprès de la personne concernée. En revanche, lorsque les données personnelles sont collectées auprès d’organismes tiers, la note d’information doit être communiquée au plus tard un mois après cette collecte indirecte ou bien lors de la première communication, si ces données sont vouées à être communiquées.

Il convient de rajouter que lorsque les éléments précédemment communiqués subissent des modifications, par exemple en cas de modification des finalités, des données personnelles collectées ou des transferts de données, la note d’information mise à jour doit être communiquée aux personnes concernées.

Pour appliquer la loi, chaque entreprise doit mettre en place des notes d’informations pour les catégories de personnes concernées avec lesquelles elle interagit, qui sont à titre d’exemple les employés, les investisseurs, les clients, les fournisseurs, les candidats, les internautes, …

Nous rappelons en conclusion que la transparence joue un rôle essentiel dans l’équilibre de la relation entre le responsable du traitement et la personne concernée. Ceci car en connaissant les principales informations concernant l’utilisation de ses données personnelles, la personne concernée est en mesure d’exercer sa propre autodétermination informative et son contrôle à travers l’exercice des droits que la loi lui confère. A ce titre le Préposé fédéral à la protection des données et à la transparence « PFPDT » a mis en place dans son site internet des lettres standards d’exercice de droits disponibles au lien suivant : Infothèque Protection des données (admin.ch)

Fabienne Flesia

👉 Inscrivez-vous à notre newsletter “Data Management et Business” sur notre page Linkedin.

Condividi

Post Recenti

EDPB: Data processing supply chain – 3

The Foodinho case

A verbal communication can be a “processing”