Espace membres – protection des données et cybersécurité

Même si le client du fiduciaire donne son accord, il reste néanmoins responsable de la protection adéquate des données à l'aide de mesures techniques et organisationnelles. Les données personnelles concernées seraient en premier lieu celles que le client traite (p. ex. les données des collaborateurs) et celles-ci doivent être protégées en conséquence. Toutes les données personnelles ne sont pas des « données personnelles sensibles ». Seules celles relatives aux opinions ou activités religieuses, philosophiques, politiques ou syndicales, à la santé, à la sphère intime ou à l'appartenance raciale ou ethnique, aux données génétiques et biométriques, aux mesures d'aide sociale ainsi qu'aux poursuites et sanctions administratives ou pénales sont concernées.

En règle générale, les fiches de salaire ne contiennent pas de données personnelles sensibles. Il existe des cas où des données personnelles sensibles pourraient être visibles sur les fiches de salaire, par exemple en cas d'activité syndicale. Mais comme les données sont sensibles, nous recommandons que les e-mails non cryptés contenant des décomptes de salaire ne soient envoyés qu'au sein de l'organisation ou que les décomptes de salaire soient mis à disposition via une plate-forme (qui doit bien entendu être conforme à la législation sur la protection des données).

Oui, il existe un risque en matière de protection des données, comme pour l'utilisation de tous les produits Microsoft Office, car on ne peut pas exclure avec certitude que des données personnelles soient transférées aux États-Unis. Microsoft propose différentes possibilités techniques pour faire fonctionner Outlook. Selon la solution utilisée, le risque en matière de protection des données est plus ou moins élevé. Le mieux est de demander conseil à votre partenaire informatique.

Dans la mesure où les données du fournisseur de services informatiques en nuage sont protégées de manière adéquate et que la consultation des données est également dotée d'un mécanisme de protection suffisant (mot de passe, authentification en deux étapes ou autre), cette procédure satisfait actuellement aux exigences légales en matière de protection des données.

Oui, l'utilisation de Microsoft Teams (et de l'ensemble de la suite Office 365) peut comporter des risques en matière de protection des données, en particulier lorsque les données personnelles sont stockées sur des serveurs situés dans des pays qui n'offrent pas un niveau de protection des données adéquat (p. ex. les États-Unis). Les données ne peuvent être transmises à l'étranger que si celui-ci garantit une protection adéquate ou si la protection des données est assurée d'une autre manière (p. ex. clauses contractuelles correspondantes et consentement explicite de la personne concernée).

Oui, l'utilisation des mémoires en nuage connues peut comporter des risques en matière de protection des données, notamment lorsque des données personnelles sont enregistrées. Les fournisseurs mentionnés sont des fournisseurs américains avec des serveurs aux Etats-Unis. Voir également la réponse à la question concernant l'utilisation de Microsoft Teams.

Dropbox et d'autres produits et services similaires sont des solutions en nuage. Leur utilisation doit être conforme à la législation sur la protection des données et ce qui a été dit pour les solutions en nuage s'applique. Pour le moment, les données des personnes concernées ne peuvent pas être stockées sur Dropbox conformément à la protection des données.. 

Dans ce cas, le fiduciaire est un sous-traitant et ne peut traiter les données que de la manière dont le client peut et doit le faire lui-même. Il doit notamment s'assurer que les données du client sont en sécurité et protégées contre tout accès non autorisé.

Cela dépend des informations ou des données contenues dans ce document. S'il s'agit de données personnelles particulièrement sensibles, elles ne devraient pas être transmises sans être cryptées. En cas de doute, nous recommandons d'envoyer le PDF sous forme cryptée.

Du point de vue de la protection des données, il faut notamment veiller à ce que le traitement des données (transmission) soit effectué au bon destinataire et de manière sûre. En cas d'utilisation des portails officiels des autorités fiscales, on peut en principe partir du principe que ceux-ci respectent les prescriptions en matière de protection des données.

Oui. Les données pour la déclaration d'impôts contiennent des données personnelles (par exemple le nom et la date de naissance). Il peut également s'agir de données personnelles sensibles, comme la confession par exemple.

En règle générale, les entreprises sont liées à la fois par l'obligation de supprimer les données à caractère personnel à la demande du client et par l'obligation de les conserver. Si un client demande la suppression de ses données à caractère personnel, celles-ci doivent lui être remises (p. ex. documents fiscaux ou données salariales) et supprimées. Pour des raisons de preuve, il est recommandé de faire confirmer par écrit la remise des données et l'ordre de suppression. Le client est désormais responsable de la conservation des données conformément à la loi. En revanche, les contrats ou la correspondance commerciale avec le client ne doivent pas être effacés, même s'ils contiennent des données à caractère personnel (obligation de conservation).

Une certification ISO 27001 est une bonne indication qu'un fournisseur informatique dispose d'un système de gestion de la sécurité de l'information (SMSI) systématique et complet, qui est régulièrement contrôlé et amélioré. Une telle certification montre que l'entreprise respecte certains processus et procédures en matière de sécurité de l'information. Néanmoins, il est important de noter qu'une certification ne signifie pas qu'un fournisseur informatique est exempt de vulnérabilités. La cybercriminalité et les menaces pour la sécurité de l'information évoluent constamment. Un audit externe est également recommandé dans ce cas, d'autant plus qu'il vérifie également d'autres domaines, tels que les règles relatives aux mots de passe ou l'utilisation des portails en ligne et des e-mails.

La loi actuelle sur la protection des données (LPD) ne prévoit pas encore d'obligation de notification au PFPDT et aux personnes concernées en cas de piratage informatique. Mais cela changera à partir du 1er septembre 2023 avec la nouvelle loi sur la protection des données. Les clients concernés ne devraient toutefois être informés que si cela est nécessaire pour leur protection ou si le PFPDT l'exige. Le PFPDT a communiqué le 14.12.2022 qu'il avait ouvert une enquête préliminaire concernant l'incident Winbiz. FIDUCIAIRE|SUISSE a maintenant adressé une demande au PFPDT pour savoir ce qu'il est advenu de l'enquête préliminaire. Le retour d'information sera communiqué.

Les fiduciaires ont déjà conclu avec tous les prestataires de services un contrat qui régit la prestation de services. La nouvelle loi sur la protection des données ne précise pas les exigences auxquelles ce contrat doit répondre. Il vous appartient toutefois de vérifier si le contrat existant répond aux exigences de la nLPD. Ces contrats sont souvent standardisés et s'appellent accord de traitement des données (ATD)

Les fiduciaires ont déjà conclu un contrat avec tous leurs prestataires de services, qui régit la prestation de services (voir la question précédente « Les fiduciaires doivent-ils conclure un contrat avec tous leurs prestataires de services.... »).

Oui, vous devez informer le client si vous stockez ses données sur un serveur situé à l'étranger. Dans la déclaration de protection des données, vous devez indiquer dans quel pays se trouve le serveur. Si la protection des données dans le pays de destination ne correspond pas aux normes suisses, des mesures de protection supplémentaires doivent être prises pour garantir que les données restent en sécurité.

On ne peut pas le dire de manière générale. La nLPD ne connaît pas la notion de « données sensibles ». Les entreprises fiduciaires traitent des données personnelles et sont donc concernées par la nLPD. Si elles traitent des données personnelles sensibles (p. ex. des données relatives à la santé), par exemple dans le cadre de travaux d'administration du personnel pour leur client, les dispositions correspondantes doivent être prises en compte..

En principe, le client doit être informé de manière adéquate lors de la collecte des données, et pas seulement au moment de la facturation des services. Il peut être fait référence à la déclaration de protection des données partout, y compris lors de la facturation. Mais il est plus important d'y faire référence dès le début du mandat, par exemple dans la confirmation de mission.

Comme il s'agit de données personnelles particulièrement sensibles, elles ne devraient pas être envoyées par e-mail sans être cryptées. Une alternative au courrier électronique peut être le téléchargement sur un portail protégé.

S'il s'agit de données personnelles du client (et non de celles de ses collaborateurs), il est possible d'obtenir une déclaration de consentement pour l'envoi de courriels non cryptés.

S'il s'agit de documents nécessaires à l'établissement de la déclaration d'impôt, ils peuvent être archivés. Les archives électroniques doivent toutefois être protégées en conséquence (droits d'accès, protection par mot de passe, etc.).

La mention de l'assujettissement à l'impôt ecclésiastique est une indication de l'appartenance religieuse correspondante (chrétienne) ; l'absence de confession (réformée/catholique) n'a aucune importance à cet égard. De tels décomptes d'impôt à la source ne devraient donc être envoyés par e-mail que sous forme cryptée ou mis à disposition pour téléchargement via un portail sécurisé.

Les fiches de données personnelles peuvent contenir des données personnelles sensibles, telles que la religion et/ou la confession. Vous devriez protéger ces documents en conséquence (accès limité du lieu/dossier de stockage uniquement) et ne pas les envoyer par e-mail sans les crypter. Nous recommandons d'informer également les clients que ces données doivent être particulièrement protégées.