Les sociétés fiduciaires peuvent-elles collecter des données sur leurs clients potentiels et actuels via leur site web ? Comment votre équipe peut-elle répondre à des exigences de conformité accrues dans le cadre de nouveaux projets ? À quoi faut-il faire attention lors du choix d’un logiciel pour fiduciaire afin que toutes les données soient protégées au mieux ? Dans ce blog, vous trouverez un aperçu des particularités de la protection des données et de la conformité à l’ère numérique.
Selon le dictionnaire économique Gabler, la conformité décrit le « respect des lois, des règles et des normes ». Selon le secteur ou le projet, les entreprises ont des exigences plus élevées en matière de conformité, car elles travaillent avec des personnes particulièrement sensibles ou dignes de protection et leurs données. Dans le secteur de la santé ou de l’aide sociale, par exemple, il est essentiel que tous les responsables du traitement des données respectent strictement les obligations en matière de conformité et de protection des données. Qu’est-ce que cela signifie pour les entreprises fiduciaires ?
Les administrateurs.trices de fiduciaires doivent protéger les données personnelles qu’ils traitent et stockent contre les accès non autorisés, les fuites et les pertes. Cela ne vaut pas seulement pour les données des clients.es et des personnes intéressées, mais aussi pour les données internes à l’entreprise. La numérisation place les entreprises fiduciaires devant de nouveaux défis à cet égard. D’une part, les documents numériques contenant des données sensibles peuvent aujourd’hui être mieux protégés par des mots de passe et des contrôles d’accès que les documents physiques dans un classeur papier. D’autre part, les cyber attaques de bandes internationales de pirates informatiques se multiplient. Ces derniers mois, les attaques du groupe de Ransomware Lockbit contre des entreprises, organisations et instituts suisses ont par exemple fait la une des journaux. Les Ransomwares, ou rançongiciels, sont des programmes malveillants qui limitent ou empêchent l’accès aux données et aux systèmes. Pour les libérer, les agresseurs demandent une rançon.
Les versions de base des logiciels de sécurité ne suffisent plus aujourd’hui
Les données étant la monnaie la plus précieuse à l’ère numérique et les cybercriminels développant constamment leurs stratégies d’attaque, les sociétés fiduciaires doivent également adapter leur approche de la cybersécurité et de la protection des données. La version de base d’un logiciel antivirus standardisé ne suffit généralement plus pour contrer les cybermenaces d’aujourd’hui et pour respecter les normes les plus strictes en matière de protection des données.
Protégez plutôt les volumes de travail, les données et les applications de votre société fiduciaire sur plusieurs domaines. Documentez les mesures et les processus mis en place afin de pouvoir les présenter, si nécessaire, au Préposé fédéral à la protection des données et à la transparence (PFPDT) dans le cadre de l’obligation légale de rendre des comptes. Sensibilisez également vos collaborateurs.trices au thème de la cybersécurité. Il arrive en effet que les cybercriminels identifient des failles de sécurité non pas dans les applications, mais dans le déroulement des processus ou dans le comportement des collaborateurs.trices.
Conseils sur le comportement à adopter : voici comment vous et votre équipe pouvez minimiser les cyber risques
Votre équipe devrait déposer les données sensibles exclusivement sur des plateformes et des systèmes protégés par un mot de passe. Ne donnez pas de données de connexion à des personnes externes. Si des collègues de travail ou l’équipe informatique vous demandent de leur fournir un mot de passe, assurez vous que ce soit bien cette personne qui est à l’origine de la demande. Pour ce faire, prenez contact par un canal supplémentaire. Définissez des droits d’accès stricts pour vos systèmes. Pour des raisons de protection des données et de conformité, vous devriez en outre toujours vous renseigner sur le lieu de conservation des données avant de mettre en œuvre de nouvelles applications et de nouveaux outils d’organisation du travail ou de communication. De nombreux groupes de logiciels ont leur siège principal aux États-Unis, où l’accès aux données de l’entreprise est possible sans contrôle judiciaire grâce au Patriot Act. En Suisse, en revanche, cela n’est pas autorisé.
Conseil supplémentaire : avec un logiciel pour fiduciaire conforme à la protection des données comme Accounto, vous pouvez conserver et traiter toutes les données sur une plateforme sécurisée. Vous définissez vous-même les droits d’accès, ce qui vous permet de contrôler totalement qui peut consulter et traiter les données.
Quelles sont les données considérées comme sensibles en Suisse ?
Salaires, numéros de sécurité sociale, mesures d’aide sociale, statut relationnel et contributions aux partis politiques : en tant qu’administrateur.trice fiduciaire, vous travaillez quotidiennement avec des données sensibles. Les données personnelles concernant les opinions et les activités religieuses, philosophiques, politiques ou syndicales ainsi que les données relatives à l’état de santé, à l’orientation sexuelle et à la perception d’une aide sociale sont considérées comme particulièrement sensibles par la loi suisse sur la protection des données. Dans ces cas, une violation de la sécurité des données peut avoir des conséquences graves pour la personne concernée. Avec la révision de la loi sur la protection des données (revDSG), entrée en vigueur le 1er septembre 2023, les données génétiques et biométriques ont été ajoutées à la définition des données sensibles. Selon le Secrétariat d’État à l’économie (SECO), la révision de la LPD doit garantir à la population suisse « une protection des données appropriée et adaptée aux changements technologiques et sociétaux de notre époque ». La compatibilité du droit suisse avec le droit européen, notamment avec le règlement général sur la protection des données (RGPD), serait l’autre grand objectif de la nouvelle loi.
Voici ce dont vous devez tenir compte lorsque vous collectez des données personnelles via votre site web
La LPD révisée concerne la collecte, l’enregistrement, la conservation, l’utilisation, la modification, la division, l’archivage, la suppression ainsi que la destruction de données personnelles. En cas de violation intentionnelle de la loi sur la protection des données, les amendes peuvent aller jusqu’à 250’000 francs. Outre les sanctions financières, les violations de la protection des données peuvent également entraîner une atteinte durable à la réputation et au lien de confiance de la part des clients.es, des prospects et des partenaires.
L’un des principaux changements apportés par la révision de la LPD, en vigueur depuis septembre 2023, est une obligation d’information élargie : avant toute collecte de données personnelles – et non plus seulement de données dites sensibles – vous devez informer la personne concernée au préalable. Pour ce faire, vous devez partager une déclaration de protection des données sur votre site web et informer les visiteurs que leurs données sont collectées et éventuellement traitées. Il faut une bannière de cookie avec laquelle vous obtenez le consentement des visiteurs du site web pour le traitement des données. Formulez le contenu de la bannière de manière à ce qu’il soit facile à comprendre et sans équivoque.
Vos clients.es, vos collaborateurs.trices actuels et anciens ainsi que toutes les personnes concernées peuvent, dans le cadre du droit d’accès ancré dans la LPD révisée, demander à tout moment quelles données les concernant sont traitées par votre entreprise fiduciaire. Elles peuvent également demander la remise ou la suppression de données. En cas de suppression de données, vous devez impérativement respecter l’obligation légale de conservation.
Découvrez dès maintenant, lors d’une démonstration gratuite en direct, comment le logiciel fiduciaire suisse Accounto, conforme à la loi revDSG, vous permet de répondre à des exigences élevées en matière de protection des données et de conformité.
