Carrières
Instagram Linkedin

Banque

Suppression données personnelles en Suisse : conformité nLPD en 5 étapes avec Qim info

14

jours de projet

1

spécialiste data

Suppression des données personnelles pour conformité nLPD

Comment supprimer chaque année, de façon fiable et conforme, les données sensibles de milliers de clients, collaborateurs et prospects ? C’est le défi que doit relever une banque suisse face aux nouvelles exigences de la loi fédérale sur la protection des données (nLPD). Pour réussir cette transformation réglementaire et opérationnelle, elle fait appel à Qim info. Découvrez comment un spécialiste Data a déployé en deux semaines une solution de gestion des données sensibles conforme à la nouvelle législation suisse.

Conformité nLPD : obligations légales suisses sur la suppression des données personnelles

Depuis septembre 2023, la nouvelle loi fédérale sur la protection des données (nLPD) impose à toutes les entreprises suisses de revoir leur gestion des données personnelles. Le droit à l’oubli, le respect des durées de conservation, l’obligation de documentation ou encore la suppression sécurisée deviennent des exigences légales. Pour cette banque suisse, cela signifie identifier toutes les données personnelles des clients, employés et prospects stockées dans des centaines d’applications, et organiser leur suppression selon un calendrier annuel précis.

À lire aussi, notre article : Sécurité des données RGPD : qu’est-ce que c’est ?

nLPD : risques de non-conformité et sanctions encourues

Depuis l’entrée en vigueur de la nouvelle loi sur la protection des données (nLPD), les entreprises suisses doivent démontrer une gestion rigoureuse des données personnelles. À défaut, les conséquences peuvent être lourdes, tant sur le plan juridique que réputationnel :

  • Obligations de conformité : chaque entreprise doit être en mesure d’identifier les données traitées, de respecter un calendrier de conservation, de garantir leur suppression sécurisée et de documenter chaque opération (journal de purge, rapports d’erreurs…).
  • Sanctions pénales : en cas de manquements intentionnels (absence d’information, transferts illégaux, non-coopération avec la FDPIC…), les dirigeants ou responsables peuvent encourir une amende allant jusqu’à CHF 250 000.
  • Responsabilité de l’entreprise : si l’identification de l’auteur de l’infraction au sein de l’entreprise représente un effort disproportionné, l’amende peut être reportée sur l’entreprise, dans la limite de CHF 50 000.
  • Mesures administratives : la Federal Data Protection and Information Commissioner (FDPIC) peut imposer des mesures telles que l’interdiction de traitement, l’obligation de suppression ou la suspension d’activités.
  • Recours civils : les personnes concernées peuvent engager des actions pour obtenir réparation d’un préjudice moral ou financier.

Suppression des données personnelles : cadrer le projet selon la loi suisse

Avant de passer à l’automatisation des processus, l’enjeu est d’abord de poser un cadre de travail méthodique. Qim info a été sollicité pour :

  • cartographier les applications traitant des données personnelles,
  • hiérarchiser les périmètres selon leur niveau de criticité,
  • analyser les impacts d’une suppression définitive par rapport à une anonymisation irréversible,
  • concevoir des workflows robustes validés par le service juridique,
  • informer et impliquer les propriétaires d’applications dans le nouveau cadre légal,
  • réaliser une première purge manuelle en conditions réelles.
Technos

Conformité nLPD : structurer la suppression des données en 5 étapes

Pour répondre aux exigences de la nLPD, Qim info mobilise un spécialiste Data pour structurer son intervention en cinq étapes successives, de l’analyse d’impact à l’exécution du premier cycle de purge. Cette approche méthodique, déployée en seulement 14 jours, construit un processus fiable, conforme et reproductible, aligné sur les obligations légales suisses.

1. Analyse de la méthode de suppression : Qim info débute par une évaluation précise des impacts potentiels d’une suppression définitive des données, en la comparant à une anonymisation irréversible. Cette étape met en évidence les dépendances entre applications et guide les choix techniques en toute sécurité.

2. Analyse de la méthode de suppression : Qim info débute par une évaluation précise des impacts potentiels d’une suppression définitive des données, en la comparant à une anonymisation irréversible. Cette étape met en évidence les dépendances entre applications et guide les choix techniques en toute sécurité.

3. Extraction des données personnelles : le consultant Qim info accompagne la banque dans l’identification et l’extraction des données personnelles des employés, clients et prospects éligibles à l’effacement. Cette phase initie la construction des premiers flux de traitement, en s’appuyant sur les données réellement exploitables.

4. Cartographie des applications concernées : parmi les centaines d’applications répertoriées dans les journaux d’activité, Qim info hiérarchise les périmètres à traiter en fonction de leur criticité métier et des enjeux réglementaires. Chaque application fait l’objet d’un classement rigoureux.

5. Conception des workflows de suppression : des flux de traitement robustes sont conçus en collaboration avec les propriétaires d’applications. Ceux-ci incluent la validation des enregistrements par les parties prenantes et le service juridique, garantissant une conformité documentaire à chaque étape.

6. Gouvernance des purges et première suppression test : la dernière phase repose sur deux actions clés : mettre en place les contrôles associés au processus (journal de purge, rapports d’erreurs) et exécuter une première suppression manuelle sur un périmètre restreint. Cette étape valide le bon fonctionnement des flux et inscrit la gouvernance des données dans les pratiques de l’organisation.

Gouvernance des données personnelles : socle d’une conformité pérenne

En structurant les flux de suppression des données personnelles de cette banque, Qim info joue un rôle central dans sa mise en conformité avec la nLPD. Grâce à son expertise en gouvernance des données et à une approche méthodique, l’ESN suisse répond aux exigences réglementaires les plus strictes tout en assurant une gestion maîtrisée des données sensibles.

À l’issue de la mission, l’organisation bénéficie :

  • d’une cartographie complète des applications traitant des données personnelles,
  • d’une hiérarchisation claire des périmètres critiques,
  • d’un processus de suppression documenté et
  • d’équipes formées à son déploiement.

La réussite d’une première purge test ancre durablement les bonnes pratiques de gouvernance et de conformité.

Suppression des données : le département Qim info Data & Innovation vous guide vers la conformité nLPD

Vous êtes une banque, une assurance ou une entreprise exposée à des obligations de conformité sur les données ? Le département Data & Innovation de Qim info vous accompagne dans la mise en place de processus fiables de suppression, de gouvernance et de documentation des données personnelles. Présente à Genève, Lausanne, Zurich, Bâle et Annecy, notre ESN s’appuie sur une expertise locale pour aligner votre organisation sur les exigences de la nLPD, tout en assurant la maîtrise et la sécurité de vos flux de données sensibles. Véritable partenaire IT, notre équipe mobilise son savoir-faire pour bâtir une conformité durable.

Contactez-nous pour échanger avec nos experts.

GENÈVE Carouge

Rue du Tunnel, 15-17
1227 Carouge – CH
+41 (0) 22 304 15 00

GENÈVE Petit-Lancy

Route de Chancy, 59
1213 Petit-Lancy – CH
+41 (0) 22 304 15 00

LAUSANNE

Place Bel-Air 1
1003 Lausanne – CH
+41 (0) 21 341 15 00

ZURICH

Dreikönigstrasse 55
8002 Zürich – CH
+41 (0) 44 201 01 34

BÂLE

Schützengraben 7,
4051 Basel – CH
+41 (0) 61 723 01 88

ANNECY

7 Av. du Pré Félin
74940 Annecy – FR
+33 (0) 4 56 67 49 91

© Qim info – Design : WeAreBandits – Growth : Nexoka
Instagram Linkedin
Instagram Linkedin