«La nouvelle loi procure aux citoyen.ne.s suisses une meilleure protection dans le cadre de la collecte et de l’utilisation de leurs données personnelles, et à l’inverse, elle renforce les obligations des entreprises à l’égard de leurs employé.e.s et client.e.s», indique Nadine Camenzind en résumant la nouvelle loi. Bien que précurseur certifié en matière de protection des données, MediData a dû, là aussi, faire preuve de minutie dans l’étude des textes. «Nous avons identifié douze points essentiels que nous avons d’abord vérifiés, puis, le cas échéant, adaptés conformément à la nLPD.» Les thèmes suivants ont été examinés et traités:

Obligations d’information
Afin de satisfaire à ses obligations d’information, en tant que responsable, MediData a dû entièrement remanier sa déclaration de confidentialité. Celle-ci permet à MediData d’exposer en toute transparence la façon dont elle collecte et traite les données personnelles.

Droits des personnes
Les droits des personnes concernées figurant dans la nLPD ont été vérifiés en interne, tant au niveau du processus que technique, et des adaptations sont intervenues. Ainsi, MediData a par exemple réalisé une formation sur le droit d’accès à l’information au sein de l’entreprise.

Contrats
MediData a vérifié la conformité de tous les contrats à la nLPD et les a révisés en conséquence. Les contrats de sous-traitance avec les assureurs ont aussi été adaptés et un nouveau contrat de sous-traitance a été établi pour les prestataires de services. Les contrats concernant les segments de clientèle suivants ont été adaptés:

• 18 680 prestataires de services
• 22 assurances
• 90 éditeurs de logiciels
• 19 concentrateurs
• Prochainement, 16 centres de confiance

Exigences en matière de déclaration
En cas de violation de la sécurité des données, cela doit obligatoirement être signalé au PFPDT si la personnalité ou les droits fondamentaux de la personne concernée sont exposés à un risque élevé. À cette fin, MediData a vérifié la conformité des processus. Aspects positifs: du fait des certifications, MediData évolue déjà dans un cadre conforme à la nLPD.

Sous-traitant
Le traitement des données personnelles peut être confié contractuellement ou légalement à un sous-traitant. MediData a déterminé pour quelles prestations et quels services elle fournit une gestion de commande, et le décrit à la fois dans le contrat de sous-traitance et dans sa déclaration de confidentialité.

Privacy by design
MediData a vérifié que les mesures techniques et organisationnelles destinées à garantir le respect de la protection des données ont été prises, et que la conception technique est désormais conforme aux dernières exigences légales. Là où une action était requise, MediData a réagi (p. ex. via des directives internes, en évitant les données personnelles lors de la conception des applications, etc.)

Privacy by default
MediData a vérifié que les prestations et services étaient configurés pour garantir un préréglage toujours respectueux de la protection des données. En raison de la certification, des mesures préalables adéquates ont déjà été introduites.

Sécurité des données
MediData a effectué des vérifications de mise à jour sur les mesures techniques et organisationnelles relatives à la protection des données personnelles. Celles-ci sont énumérées dans le contrat de sous-traitance. Du fait des certifications, MediData évolue déjà dans un cadre légalement conforme.

Elaboration du registre des traitements
Avec l’élaboration du registre des traitements, MediData identifie tous les processus intégrant des données personnelles. MediData a tout de suite tiré profit du registre exigé sur les traitements effectués. MediData dispose d’un aperçu et profite d’une continuité des processus, et peut ainsi optimiser la qualité des produits dès leur conception.

Analyse d’impact sur la protection des données
Avec l’analyse d’impact sur la protection des données, MediData peut évaluer les risques inhérents au traitement des données sur la personnalité ou les droits fondamentaux des personnes concernées, et montrer les mesures qui les protègent.

Conseillère à la protection des données
MediData a désigné une conseillère à la protection des données et l’a déclarée auprès du PFPDT. La conseillère à la protection des données est l’interlocutrice à la fois des personnes concernées et des autorités.

«Petit» secret professionnel
Le personnel de MediData est formé sur l’utilisation des informations soumises au secret professionnel ou à la protection des données. De plus, les employé.e.s signent une déclaration de consentement s’y rapportant.