Photo by Burst

“C’est tout l’objectif: faire circuler ses données et faire affaire dans un cadre sécurisé.” Elisabeth Illiano-Demacon, juriste & DPO

Le règlement général sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018 dans les 27 Etats membres de l’Union européenne (UE). Il prévoit notamment que les entreprises exerçant des activités entrant dans le domaine des données personnelles soient contrôlées par un data protection officer (DPO) désigné à cet effet.  

En Suisse, la révision totale de la loi sur la protection des données (LPD) a été adoptée par le Parlement le 25 septembre 2020. La Confédération adapte ainsi une loi née avant Internet (1992) aux nouvelles mœurs, en précisant les principes de la transparence du traitement des données et le droit à l’autodétermination des personnes concernées (internautes, consommateurs, employés, citoyens, …). 

Vraisemblablement en vigueur dès 2022 en Suisse, cette nouvelle LPD constitue une condition sine qua non pour que l’UE continue de reconnaître la Suisse comme un Etat tiers avec un niveau de protection des données suffisant pour échanger des données sans obstacle. Bonne nouvelle, mais quelles sont les obligations induites pour les entreprises suisses ? 

Dans ce nouvel épisode d’Airccelerate podcast, WarcoBrienza accueille – par écrans interposés – deux experts en matière de données sensibles: 

• Elisabeth Illiano-Demacon, juriste basée dans l’Ain (F) devenue Déléguée à la protection des données (DPO) pour des administrations publics en France depuis 2020
• Tony Germini, CEO de la société CALYPS (CH) spécialisée dans le traitement des données sensibles. 

Elisabeth et Tony collaborent dans le cadre des health data utilisées par CALYPS Saniia, une solution d’Intelligence Artificielle (IA) permettant d’anticiper les flux patients au sein d’un hôpital. 

Questions posées à Elisabeth Illiano-Demacon (ELIL) et à Tony Germini (TOGE):

• ELIL & TOGE: on commence par vos parcours professionnels respectifs 
• ELIL: quelles sont les missions d’un DPO ?
• ELIL: quand est-ce que la nouvelle LPD entrera en vigueur ?
• TOGE: tu travailles avec une clientèle issue de l’écosystème médical, en Suisse et en Europe. Comment les clients réagissent-ils à cet aspect relativement nouveau, en lien avec la protection des données patients ? 
• TOGE: Hormis les health data, vois-tu d’autres domaines d’activité aux contraintes plus spécifiques s’agissant de protection des données ?
• ELIL: finalement, qu’est-ce qu’une donnée sensible au sens légal du terme ?
• ELIL: dans un article récent (novembre 2020), tu fais référence à un nouveau rôle et à de nouvelles obligations pour les sociétés basées en Suisse: le “responsable du traitement” doit tenir un “registre des traitements”. Peux-tu nous en dire plus ?
• ELIL: à quelles autres obligations doivent se préparer les entreprises suisses dès 2022 ?
• TOGE & ELIL: qu’entend-on par Privacy by default et Privacy by design d’un point de vue informatique ? et du point de vue juridique ?
• TOGE & ELIL: La Poste en Suisse prend la question de la protection des données au sérieux, puisqu’elle a récemment communiqué sur un programme de bug bounty ouvert au public et offrant des primes jusqu’à CHF 10’000 pour la découverte d’une faille de sécurité (!)

Sur le même sujet, nous allons retrouver Elisabeth Illiano-Demacon à l’event “Faire face aux données” le 23 septembre 2021 au Biopôle Lausanne, un événement organisé par l’association LaData.