Depuis septembre 2023, la nouvelle loi suisse sur la protection des donnees (nLPD) est en vigueur. De nombreuses PME sont dans l’incertitude : que devons-nous mettre en oeuvre techniquement ? Une declaration de confidentialite suffit-elle ? Avons-nous besoin d’un conseiller en protection des donnees ?<\/p>\n
Cet article explique les exigences techniques de la nLPD \u2014 sans jargon juridique, avec des mesures concretes.<\/p>\n
L’article 8 de la nLPD parle de \u00ab mesures techniques et organisationnelles appropriees \u00bb pour proteger les donnees personnelles. Le Conseil federal les a precisees dans l’Ordonnance sur la protection des donnees (OPDo) :<\/p>\n
Le dernier point est decisif \u2014 et le plus souvent neglige.<\/p>\n
La loi n’exige pas de produits ou de certifications specifiques. \u00ab Appropriees \u00bb signifie : proportionnees au risque et a la taille de l’entreprise.<\/p>\n
Une PME de 20 collaborateurs n’est pas tenue aux memes exigences qu’une banque. Mais : \u00ab nous sommes trop petits, cela ne nous concerne pas \u00bb ne tient pas. La nLPD s’applique a toute entreprise qui traite des donnees personnelles \u2014 et c’est le cas de pratiquement toute PME (donnees clients, donnees des collaborateurs, adresses e-mail).<\/p>\n
1. Imposer le chiffrement<\/strong> 2. Verifier les droits d’acces<\/strong> 3. Maintenir les logiciels a jour<\/strong> 4. Scans de vulnerabilites reguliers<\/strong> 5. Documenter la strategie de sauvegarde<\/strong> 6. Planifier la reaction aux incidents<\/strong> 7. Mettre a jour la declaration de confidentialite<\/strong> La nLPD prevoit des amendes pouvant atteindre CHF 250’000 \u2014 et celles-ci visent la personne physique responsable, pas l’entreprise. Cela signifie : les directeurs et les responsables informatiques sont personnellement responsables.<\/p>\n En pratique, le PFPDT (Prepose federal a la protection des donnees et a la transparence) misera probablement d’abord sur la cooperation et l’amelioration. Mais : en cas d’incident, il sera verifie si des mesures de protection appropriees etaient en place. Ceux qui ne peuvent rien demontrer auront un probleme.<\/p>\n La nLPD n’exige pas de certification. Mais elle exige que vous puissiez demontrer que vous avez pris des mesures appropriees.<\/p>\n Concretement, cela signifie :<\/p>\n Un rapport de scan professionnel dans votre langue est exactement le type de preuve qu’un auditeur ou le PFPDT souhaite voir.<\/p>\n La nLPD n’est pas une loi sur la securite informatique au sens strict. Mais elle exige des mesures techniques qui correspondent aux standards de securite informatique. Ceux qui verifient regulierement leurs systemes et documentent les resultats remplissent la majeure partie des exigences techniques.<\/p>\n ExposIQ genere automatiquement des rapports de verification conformes a la nLPD en allemand, francais, italien et anglais. Les rapports documentent les systemes verifies, les vulnerabilites identifiees et les mesures recommandees \u2014 exactement ce que les auditeurs et les regulateurs veulent voir.<\/p>\n Essayez gratuitement pendant 14 jours.<\/a><\/p>\n","protected":false},"excerpt":{"rendered":" Depuis septembre 2023, la nouvelle loi suisse sur la protection des donnees (nLPD) est en vigueur. De nombreuses PME sont dans l’incertitude : que devons-nous mettre en oeuvre techniquement ? Une declaration de confidentialite suffit-elle ? Avons-nous besoin d’un conseiller en protection des donnees ? Cet article explique les exigences techniques de la nLPD \u2014 … Lire plus<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"rank_math_focus_keyword":"nLPD s\u00e9curit\u00e9 informatique PME","rank_math_title":"nLPD et s\u00e9curit\u00e9 informatique : ce que les PME suisses doivent vraiment faire","rank_math_description":"La nouvelle loi sur la protection des donn\u00e9es exige des mesures techniques. 7 \u00e9tapes concr\u00e8tes que chaque PME devrait mettre en \u0153uvre.","rank_math_robots":"","rank_math_canonical_url":"","rank_math_primary_category":"","footnotes":""},"categories":[8],"tags":[],"class_list":["post-917","post","type-post","status-publish","format-standard","hentry","category-it-sicherheit","generate-columns","tablet-grid-50","mobile-grid-100","grid-parent","grid-33"],"_links":{"self":[{"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/posts\/917","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/comments?post=917"}],"version-history":[{"count":1,"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/posts\/917\/revisions"}],"predecessor-version":[{"id":927,"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/posts\/917\/revisions\/927"}],"wp:attachment":[{"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/media?parent=917"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/categories?post=917"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/tags?post=917"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\nTous les services accessibles de l’exterieur doivent utiliser TLS 1.2 ou superieur. TLS 1.0 et 1.1 sont depasses et consideres comme non securises.<\/p>\n
\nQui dispose d’un acces administrateur ? Qui peut acceder aux donnees personnelles ? Appliquer le principe du moindre privilege.<\/p>\n
\nDes logiciels obsoletes avec des vulnerabilites connues representent un risque difficile a justifier en cas d’incident.<\/p>\n
\nL’OPDo exige une \u00ab verification reguliere \u00bb des mesures de protection. Un scan de vulnerabilites automatise est le moyen le plus efficace de satisfaire a cette exigence.<\/p>\n
\nSauvegardes regulieres avec restauration testee. Protection contre les ransomwares : au moins une sauvegarde hors ligne ou immuable.<\/p>\n
\nLa nLPD exige une notification au PFPDT dans les 72 heures en cas de violation de la protection des donnees. Un processus documente est obligatoire.<\/p>\n
\nObligation d’informer les personnes concernees. Doit etre accessible sur le site web et lors de la collecte de donnees.<\/p>\nQue se passe-t-il en cas d’infraction ?<\/h2>\n
La documentation est la cle<\/h2>\n
\n
Conclusion<\/h2>\n