Ce que la conformité à la nLPD exige de votre organisation
Chaque entreprise suisse et chaque autorité publique est concernée par la nLPD. Contrairement à l’ancienne loi, la révision introduit des exigences nettement plus strictes : obligation de notifier les violations de données au PFPDT dans les meilleurs délais en cas de risque élevé, droits renforcés des personnes concernées incluant l’accès, la portabilité et l’opposition, obligation de réaliser des analyses d’impact relatives à la protection des données pour les traitements à haut risque, ainsi que des exigences renforcées pour les contrats de sous-traitance avec les sous-traitants.
Les organisations qui traitent également des données personnelles de résidents de l’UE sont soumises en parallèle au RGPD. La gestion simultanée de ces deux cadres réglementaires, sans expertise dédiée, représente un risque de conformité matériel et continu.
Les conséquences d’une non-conformité sont concrètes : sanctions administratives, atteinte à la réputation, perte de confiance des clients et partenaires, ainsi que perturbations opérationnelles à la suite d’une violation de données notifiable. Ces risques s’appliquent indépendamment de la taille de l’organisation.
Périmètre des services
Ce que couvre notre service de DPO externe
Maintenance annuelle
Revue et mise à jour annuelles de l’ensemble des politiques, procédures et du registre des activités de traitement afin de refléter les évolutions opérationnelles, les mises à jour réglementaires et les nouvelles activités de traitement.
Support Ad Hoc
Conseil réactif pour les demandes émanant de fournisseurs, clients, autorités de surveillance et personnes concernées, incluant les demandes d’accès, les oppositions, les demandes de portabilité et les demandes d’effacement, traitées dans les délais légalement requis.
Plan d’action de conformité
Une feuille de route structurée et priorisée de l’ensemble des obligations applicables à votre organisation en vertu de la nLPD et du RGPD, incluant des échéances et des responsabilités clairement définies.
Analyse d’impact relative à la protection des données (AIPD)
Processus structuré d’AIPD pour toutes les activités de traitement à haut risque, incluant un accompagnement pour la consultation préalable du PFPDT lorsque cela est requis en vertu de l’article 22 de la nLPD.
Contrats de sous-traitance des données
Revue, négociation et gestion des contrats de sous-traitance des données avec l’ensemble des sous-traitants concernés, afin d’assurer la conformité contractuelle aux exigences de la nLPD et du RGPD.
Sensibilisation à la protection des données
Programmes de formation et de sensibilisation du personnel ainsi que de communication interne visant à intégrer les responsabilités en matière de protection des données au sein de l’organisation, une exigence directement évaluée lors des contrôles du PFPDT et des audits.
Politiques et procédures
Élaboration et maintenance continue de l’ensemble des politiques de protection des données et des procédures internes nécessaires pour démontrer la conformité aux autorités de régulation, aux clients et aux auditeurs.
Registre des activités de traitement
Documentation complète et tenue à jour du registre des activités de traitement, conformément à l’article 12 de la nLPD et à l’article 30 du RGPD.
Mesures techniques et organisationnelles
Évaluation et recommandation de mesures techniques et organisationnelles de sécurité adaptées au niveau de risque de chaque activité de traitement, sur la base d’une analyse coûts-bénéfices documentée.
Résultats
Ce que vous recevez
- Analyse des écarts en matière de protection des données avec recommandations de conformité priorisées
- Ensemble complet de documents de protection des données : politiques, procédures et directives internes
- Registre des activités de traitement, documenté et mis à jour annuellement
- Processus de gestion des demandes des personnes concernées, couvrant l’accès, l’opposition, la portabilité et l’effacement
- Supports de campagne de sensibilisation des utilisateurs, adaptés à votre contexte organisationnel
- Processus de gestion des incidents de protection des données, aligné sur les exigences de notification de la nLPD et du RGPD
Expertise technique et juridique dans une seule prestation
Notre service de DPO as a Service est assuré par une équipe pluridisciplinaire combinant des professionnels certifiés en sécurité et des spécialistes juridiques, titulaires notamment de diplômes de MLaw de l’Université de Zurich et de qualifications DAS en Compliance Management. Cette double expertise garantit que les recommandations en matière de protection des données sont à la fois juridiquement conformes et techniquement applicables dès le premier jour. Nous opérons avec une impartialité totale et sans conflit d’intérêts, conformément aux exigences d’indépendance définies par la nLPD et le RGPD pour les délégués externes à la protection des données.
Prochaine étape
Évaluez votre posture de conformité à la nLPD et au RGPD
Nous proposons une consultation initiale d’écart en matière de protection des données afin d’identifier vos obligations spécifiques, d’examiner vos activités de traitement actuelles et de définir une feuille de route de conformité priorisée. Les missions peuvent débuter sous deux semaines.