La protection des données: Le RGPD et ses conséquences en Suisse
Carmen de la Cruz
Carmen de la Cruz, RA lic. iur., notaire, diplômée fédérale en informatique de gestion, spécialisée dans le droit de l'informatique et partenaire chez LEXcellence AG.
Aides de travail appropriées
La sécurité des données selon la nLPD
La LPD révisée et surtout l'ordonnance correspondante (OLPD) contiennent des dispositions étendues sur la sécurité des données. Si l'ancienne LPD contenait une disposition (art. 7 LPD) qui régissait la sécurité des données, il y en aura désormais plusieurs de plus: l'ordonnance relative à la LPD, en particulier, contient quasiment des instructions sur la manière dont les entreprises doivent vérifier et mettre en œuvre la sécurité des données.
L'importance accordée à la sécurité des données dans la LPD révisée se reflète non seulement dans l'ordonnance, mais aussi dans la disposition pénale correspondante de la loi (art. 60 LPD révisée): quiconque enfreint intentionnellement ou éventuellement avec préméditation des dispositions relatives à la sécurité des données, par exemple en ne s’en préoccupant pas volontairement, est passible d'une amende pouvant atteindre 250 000 francs.
Exigences de la sécurité des données selon l’OLPD – Exigences de la sécurité de l'information → l'analyse des besoins de protection
L'article 1 de la loi révisée sur la protection des données prévoit différentes étapes pour la mise en œuvre des mesures techniques et organisationnelles. Il convient tout d'abord d'évaluer le besoin en matière de protection des données personnelles: quelles données personnelles sont traitées dans une entreprise et dans quel but?
Pour ce qui est de la mise en œuvre des mesures, il faut ensuite se demander à quels risques ces données sont exposées et où se situe leur origine. Il s'agit également d'examiner comment ces risques affectent les droits fondamentaux d'une personne et si, et comment, ces risques peuvent être minimisés.
Procédure d'analyse des besoins de protection:
- définir le type et la finalité des données personnelles à traiter
- évaluer l'origine des risques
- déterminer les risques pour ces données personnelles
- définir des mesures pour minimiser les risques
- probabilité et gravité d'une violation de la sécurité des données malgré les mesures prises ou prévues.
Pour la mise en œuvre des mesures concrètes, il convient également de tenir compte de l'état de la technique et des coûts de mise en œuvre.
Exigences concrètes concernant les mesures techniques et organisationnelles (TOM)
L'ordonnance définit également les domaines de mesures qui doivent figurer dans les TOM. Les mesures techniques et organisationnelles règlent les exigences ainsi que les besoins techniques et les implémentations que chaque entreprise doit réaliser et entretenir selon l'état actuel des choses. L'énumération correspond au cadre en vigueur dans le domaine de la sécurité de l'information, tel que le prévoit notamment l'Office fédéral allemand pour la sécurité dans la technologie de l'information (BSI) dans son catalogue de protection de base.
Pour garantir la confidentialité, cela signifie, au sens de l'art. 1, al. 1, nLPD:
- Contrôle d’accès
- Contrôle des utilisateurs
Pour garantir la disponibilité et l'intégrité, il s'agit de (art. 3, al. 2, nLPD):
- Contrôle des supports de données
- Contrôle de la mémoire
- Contrôle du transport
- Récupération
- Intégrité des données
- Disponibilité du système
D'autres points sont explicitement mentionnés et figurent également dans le catalogue de protection de base (voir OPS.1.1.5), à savoir l'obligation de consignation (art. 3, al. 3, nLPD):
- Contrôle de la soumission
- Contrôle de la publicité
- Élimination
Recommandations de produits
Tous les points énumérés conditionnent et ont pour effet, lorsqu'ils sont mis en œuvre, que les systèmes et les processus doivent être établis avec soin. Il convient de vérifier qui a exactement accès aux systèmes et aux processus et comment ces accès peuvent être retirés en cas de changement (p. ex. départs ou changements internes). Il en va de même pour l'accès aux bâtiments et aux infrastructures: il est normal que les droits d'accès soient accordés immédiatement lors de l'entrée dans une entreprise. Mais il est beaucoup plus difficile de faire de même à la fin d'un projet ou lors du départ d'un collaborateur ou d'un collaborateur indépendant.
Les mêmes principes s’appliquent pour les domaines d'action mentionnés en matière de confidentialité, d'intégrité et de disponibilité: seuls ceux qui réfléchissent aux processus de A à Z et les reproduisent disposent d'un concept de sécurité des données complet et mis en œuvre dans les règles de l’art.
La sécurité des données dans le quotidien des PME
La mise en œuvre ou l'entretien de la sécurité des données après l'entrée en vigueur de la LPD révisée requiert de s'attaquer aux points mentionnés ci-dessus. Les PME disposent d'un environnement informatique hétérogène, collaborent avec de nombreux partenaires, traitent des données personnelles dans le cloud en Suisse et à l'étranger – dans des États ayant un niveau équivalent (UE) ou non (États-Unis).
Il convient d'examiner et de remettre constamment en question cet environnement informatique d'un point de vue technique et organisationnel: une PME, quelle que soit sa taille, a besoin d'une responsabilité dédiée à la sécurité de l'information. La responsabilité ne peut pas être déléguée. Au moins une personne de la direction doit être responsable de la sécurité de l'information, avec une vision globale de l'infrastructure, des applications, de la sécurité de l'information et de l'organisation informatique. Il n'est plus opportun, même pour une (petite) PME, de laisser la responsabilité de l'informatique à différents responsables d'applications sans avoir une vue d'ensemble de l'informatique et de ses différents aspects.
Une vision fragmentée – par exemple un écart entre l'infrastructure, les applications et la sécurité de l'information – a pour conséquence que les applications ne sont plus contrôlées et surveillées dans leur ensemble sur le réseau. Cela constitue à son tour un point faible vulnérable qui peut entraîner des violations de la sécurité des données.
Ainsi, un projet de protection des données ne conduit pas seulement à la mise en œuvre de mesures de protection spécifiques. Les discussions autour de la sécurité des données montrent où l'organisation présente généralement des points faibles en matière de sécurité, mettent le doigt sur les points problématiques et suggèrent que des mesures soient ensuite prises pour remédier à ces points faibles.
Le chemin est le but – la sécurité des données, en tant que partie de la protection des données, est la base de toute PME. Initiée par un projet spécifique, la sécurité des données doit être mise en œuvre et entretenue afin d'améliorer et de sécuriser la position de l'entreprise.
