Nouvelle loi sur la protection des données : ce qui change

Avec la révision de la loi suisse sur la protection des données (nLPD), des dispositions essentielles relatives au traitement des données personnelles entrent en vigueur à partir de 2023. Les exigences deviennent plus strictes : les entreprises doivent donc adapter leurs directives internes et leurs déclarations de protection des données avant l’entrée en vigueur, fixée au 1er septembre 2023.

 

Voici les principales évolutions :

  • Alignement sur les standards internationaux : la révision de la loi sur la protection des données (LPD) vise à tenir compte des exigences du Règlement général sur la protection des données (RGPD) de l’Union européenne et à améliorer l’harmonisation des standards de protection des données. Cela facilite notamment l’échange transfrontalier de données.
  • Protection limitée aux personnes physiques : à l’instar du RGPD, la LPD révisée ne s’applique désormais plus qu’aux données des personnes physiques, et non plus à celles des personnes morales. Les obligations d’information lors de la collecte de données personnelles sont renforcées et ne concernent plus uniquement les données particulièrement sensibles. En conséquence, une déclaration de protection des données devient obligatoire pour toutes les entreprises.
  • Registre des activités de traitement : les entreprises de 250 collaborateurs ou plus doivent désormais tenir un registre des activités de traitement. Celui-ci doit notamment préciser les finalités du traitement, les catégories de personnes concernées, les types de données traitées ainsi que les durées de conservation.
  • Sécurisation des traitements externalisés : les traitements de données confiés à des tiers, par exemple des prestataires informatiques, doivent être encadrés contractuellement au moyen d’accords de traitement des données (ATD / Data Processing Agreements, DPA).
  • Notification des violations de la sécurité des données : les violations de la sécurité doivent être signalées au Préposé fédéral à la protection des données et à la transparence (PFPDT) lorsqu’elles présentent un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées. Les entreprises sont tenues de garantir un niveau de sécurité des données adapté au risque au moyen de mesures techniques et organisationnelles appropriées, en tenant compte de la finalité du traitement, du niveau de risque, de l’état de la technique et des coûts de mise en œuvre (par exemple contrôles d’accès, contrôles d’autorisation, contrôles des supports de données, contrôles de stockage, contrôles des utilisateurs, etc.).

 

Ces évolutions de la législation suisse sur la protection des données soulignent l’importance croissante de la protection des données et de la vie privée dans un environnement de plus en plus numérisé. Les entreprises et organisations sont appelées à se familiariser en profondeur avec les nouvelles exigences et à mettre en place des mesures adaptées afin de garantir la conformité et de préserver les droits de leurs clients et utilisateurs.

 

En janvier, l’avocat Marius Vischer, associé au sein du cabinet epartners à Zurich, a accordé une interview consacrée à la nouvelle loi sur la protection des données.

 

À noter : une destruction sécurisée des documents est un élément clé de la protection des données. La destruction conforme et irréversible de documents confidentiels et de données personnelles sur des supports physiques tels que le papier ou les disques durs permet de prévenir les abus et le vol d’identité.

 

Grâce à notre service complet, nous garantissons que les informations sont supprimées de manière définitive et irréversible lorsqu’elles ne sont plus nécessaires. Découvrez-en plus sur nos prestations : https://www.reisswolf.ch/

Typische Datenlecks in Unternehmen

Sensible Unternehmensdaten können auf unterschiedlichen Wegen in die falschen Hände geraten. Eine mögliche Schwachstelle ist der sorglose Umgang mit Akten und Datenträgern am Ende des Lebenszyklus.

 

Gerade in der jüngeren Vergangenheit liest man immer wieder von schwerwiegenden Datenlecks bei Unternehmen. Von sozialen Netzwerken über Dating-Plattformen bis hin zu Banken und Online-Händlern – kaum ein Geschäftszweig bleibt von derlei Pannen verschont. Da die Medien meist nur über Vorfälle bei grossen Konzernen berichten, könnte schnell der Eindruck entstehen, dass KMU nichts zu befürchten haben. «Es macht sich doch niemand die Mühe, unsere Daten zu stehlen»: Diese Aussage trifft absolut nicht zu. Zudem geht sie von einer falschen Annahme aus. Denn Datenlecks kommen längst nicht immer durch gezielte Angriffe zustande. Häufig treten sie als Folge von organisatorischen Schwachstellen oder menschlichen Fehlern auf.

 

Ob bewusste Attacke oder simple Unachtsamkeit: Während sich manche Gefahren relativ leicht ausschalten lassen, erfordert es bei anderen grösseren Aufwand, sie zu entschärfen. Als zertifizierter Spezialist für Akten- und Datenträgervernichtung können wir Ihnen versichern: Für Punkt 6 genügt ein Anruf bei uns, und Ihre Sorgen haben sich erledigt. Ausserdem können wir Ihnen nur ans Herz legen, ein Sicherheitskonzept für Ihr Unternehmen auszuarbeiten und Ihre Mitarbeitenden immer wieder für die Thematik zu sensibilisieren.

 

  1. Phishing
    Das kennen wir alle aus dem Posteingangsfach unserer E-Mail-Konten: Auf mehr oder weniger geschickte Weise wird versucht, uns Passwörter oder andere Zugangsdaten zu entlocken. Leider werden diese Angriffe immer professioneller. Vor einigen Jahren genügte beinahe immer ein kritischer Blick, um betrügerische Mails als solche zu entlarven. Mittlerweile ist dies deutlich schwieriger geworden und sämtliche Mitarbeitende müssen immer wieder für dieses Thema sensibilisiert werden. Eine Regel hat jedoch weiterhin Gültigkeit: Wenn Sie in einer E-Mail «Passwort» lesen, sollten alle Alarmglocken läuten.
  2. Malware
    Dies schliesst direkt an Punkt 1 an, da auch Malware häufig über E-Mails eingeschleust wird . Solche Schadprogramme kommen in unterschiedlichen Formen und können verschiedene Auswirkungen haben. Dazu gehört die Verschlüsselung von Dateien auf einem Rechner oder in einem gesamten Netzwerk, für deren Freigabe dann Lösegeld gefordert wird (Ransomware). Oder beispielsweise auch das Öffnen von Hintertüren, die Cybergangstern ermöglichen, Ihre Daten zu entwenden.
  3. Nicht aktuelle Software
    Diese Gefahrenquelle liegt auf der Hand: Je länger ein Programm auf dem Markt ist, desto mehr Zeit haben Angreifer, Schwachstellen darin zu finden. Diese werden regelmässig von den Herstellern der Programme behoben und in Form von Updates ausgespielt. Wer diese Updates nicht installiert, macht sich respektive die verwendeten Geräte zu einem leichten Ziel.
  4. Unsichere Passwörter
    Ein Dauerbrenner: Passwörter schützen unsere Daten vor fremdem Zugriff. Doch um diese Aufgabe zu erfüllen, dürfen sie nicht einfach zu «erraten» sein. Natürlich ist damit längst nicht mehr der klischeehafte Hacker gemeint, der in einem dunklen Hinterzimmer einzelne Passwörter eintippt und auf einen Treffer hofft. Heutige Angriffe erfolgen automatisiert mit einer Unzahl von Versuchen in wenigen Sekunden. Deswegen lassen die meisten Anwendungen mittlerweile gar keine wirklich unsicheren Passwörter mehr zu. Am zuverlässigsten schützen «Passwort-Safes» – Programme, die komplett sichere Passwörter generieren und für Sie verwalten. Denn Sie machen auch eine weitere Gefahrenquelle überflüssig: Das Notieren von Passwörtern auf dem Schreibtisch oder in abgespeicherten Textdokumenten.
  5. Böse Absicht
    Bei den meisten Datenlecks kommt die kriminelle Energie von Menschen ausserhalb Ihres Unternehmens. Dennoch sollte man die Möglichkeit nicht ausser Acht lassen, dass beispielsweise auch verärgerte Mitarbeitende auf den Gedanken kommen könnten, Daten zu entwenden. Deswegen sollten Sie für solche Fälle über Prozesse zur Vorbeugung verfügen. Beispielsweise sollte die Möglichkeit bestehen, den Zugang zu allen wesentlichen Ressourcen schnell sperren zu können, ohne vorher noch mühsam eine Liste erstellen zu müssen, worauf ein Mitarbeiter überhaupt Zugriff hat.
  6. Sorgloser Umgang am Ende der Lebenszeit
    Ob Papierdokument, Festplatte oder Mitarbeiter-Handy: Alle Akten und Datenträger haben irgendwann ausgedient. Auch dieser Zeitpunkt verdient Aufmerksamkeit bezüglich der Sicherheit. Denn eine achtlose Entsorgung, etwa im Altpapier oder im Fall von elektronischen Geräten im Elektroschrott, macht Ihre Daten relativ einfach für andere zugänglich. Wie eingangs bereits erwähnt, gibt es für diesen Punkt die vermutlich unkomplizierteste Lösung: Mit unserer jahrelanger Erfahrungvernichten wir zuverlässig alles, was Ihr Archiv verlässt. Dafür verfügen wir über eingespielte zertifizierte Prozesse, und mindestens ebenso wichtig:über bestens geschulte, langjährige Mitarbeitende.