Le Règlement général de protection des données (RGPD) et la Loi sur la protection des données (LPD) révisée prévoient des obligations d’annoncer dans des délais extrêmement courts les violations de la sécurité des données. Ces obligations ne peuvent être remplies que si l’entreprise s’y est préalablement préparée.
J’ai publié dans la revue Expert Focus (L’Expert-comptable suisse) 11/2017 un article intitulé «Annoncer les failles de sécurité n’est plus une option» qui présente les obligations à venir et donne quelques conseils pour s’y préparer. Même si la révision de la LPD prend un peu de retard, toute entreprise sérieuse devrait se préparer sans attendre.
30 mai 2018 at 16:35
Bonjour,
Dans le cas d’un établissement suisse soumis au RGPD et dans le cadre d’une faille de sécurité, l’annonce devra être faite à qui ? à la CNIL ? ou il faudrait désigner un représentant en France ?
Et dans cette situation, dans quels cas cet établissement devra-t-il annoncer des failles au Préposé fédéral ?
L’articulation entre le droit suisse et le droit européen en matière de protection des données n’est pas très clair pour moi.
Cordialement
3 juin 2018 at 15:08
Bonjour,
L’articulation est en théorie assez simple, l’UE applique le RGPD (y compris à certaines entités en Suisse) et la Suisse la LPD. Le PFPDT n’a aucune compétence en matière de RGPD.
Les notifications en cas de faille de sécurité devraient être faites à chaque autorité nationale de l’État membre dont des résidents sont concernés (l’application extraterritoriale excluant le mécanisme du guichet unique). Le groupe de l’art. 29 semble toutefois considérer qu’une notification à l’autorité du pays dans lequel se trouve le représentant (s’il y en a un) pourrait suffire.
A suivre donc.
Bien à vous,