nLPD : Article 6

Procédures et moyens de sécurité

Mettre en place les mesures techniques et organisationnelles nécessaires à la protection des données est un travail spécifique et difficile à organiser.

Il ne s’agit pas de mesures de sécurité extrêmes, ni de la sécurisation absolue de votre réseau, il ne vous est pas demandé de mettre en place un Fort Knox des données personnelles.

La sécurité absolue n’existe pas. Il faut aussi prendre en compte l’impact de la protection des données sur l’entreprise. Un effort mal adapté risque de bloquer les opérations et la mise en œuvre d’une politique de sécurité trop interventionniste va à l’encontre de l’agilité souhaitée pour l’organisation.

De la même manière qu’un petit commerçant et une banque sécuriseront différemment l’argent qui leur est confié, le niveau de protection des données personnelles que vous traitez sera proportionnel :

  • au risque encouru,

  • à la sensibilité des données traitées,

  • à l’importance et à la fréquence des traitements,

  • à la quantité de données que vous traitez,

  • à la taille de votre organisation.

Le risque et son évolution, les événements extérieurs importants qui pourrait modifier ce risque seront pris en compte, comme par exemple l’utilisation de moyens cybercriminels à des fins partisanes dans le conflit entre la Russie et l’Ukraine.

Le cadre réglementaire peut lui aussi évoluer, comme par exemple l’accord récemment parvenu entre l’Union européenne et les États-Unis relatif à la protection des données. Cet accord fait des États-Unis un pays à nouveau adéquat pour le transfert des données sous réserve évidemment que la suisse valide cet accord ainsi que de l’adhésion au programme des entreprises concernées (en attendant une éventuelle possible invalidation à nouveau, selon le principe de l’éternel recommencement de la lutte entre l’épée et le bouclier).

Quoi qu’il en soit, l’évaluation régulière des vulnérabilités et leur suivi continu imposent un monitoring constant des risques et des mesures de protection nécessaires.

Pour respecter la notion de « privacy by default » et de « privacy by design » il est nécessaire de limiter l’accès aux données personnelles aux personnes qui en ont besoin et de mettre en place une politique de gestion des accès et des autorisations qui concerne à la fois les accès physiques et les accès digitaux ainsi que les données active en même temps que les données qui ont été archivées.

Le principe de transparence impose aussi de prendre les mesures techniques pour documenter quels traitements de données sont réalisés, quels sont les droits des utilisateurs et ce que l’exercice de ces droits d’accès, de rectification, de suppression voire de limitation des traitements impliquent en termes d’organisation.

Il ne suffit pas de dire ce que l’on fait, il faut aussi faire ce que l’on dit.

En l’espèce une procédure de gestion des demandes et de réponse à ces demandes doit être mise en place non seulement pour réagir dans les délais mais aussi pour en apporter la confirmation.

Il faudra évidemment prendre des mesures particulières et supplémentaires pour les données sensibles, par exemple des données médicales ou relatives aux croyances religieuses dont la divulgation causerait un tort particulier aux personnes concernées.

Qui dit sensibilité dit protection supplémentaire.

Il s’agit à la fois d’organiser les mesures de sécurité mais aussi d’organiser la preuve de l’exécution de ces mesures en fonction du choix de chaque utilisateur, car on ne traitera et on ne conservera que les données qui sont absolument requises au traitement, aussi longtemps que le traitement est nécessaire ou que l’utilisateur, un intérêt prépondérant ou la loi nous en donne le mandat.

Si un certain nombre de traitements sont réalisés sur la base du consentement, par exemple l’inscription à un bulletin d’information, alors il faudra être capable de gérer ce consentement et la preuve de son obtention.

Parmi les mesures à mettre en œuvre, la formation et la sensibilisation des utilisateurs et du personnel ne doivent pas être omises. Une formation régulière sur la protection des données personnelles et une formation continue sur les bonnes pratiques sont indispensables pour toutes les organisations, quelle que soit leur taille.

Enfin il faut être prêt en cas d’incident de sécurité et ne pas limiter le cadre des incidents de sécurité aux attaques extérieures, comme des e-mails de phishing ou des demandes de ransomware. On parlera aussi d’accès non autorisé, de divulgation volontaire ou non, d’altération, de panne, de destruction (par exemple en cas d’incendie) et même de la perte d’un téléphone, d’un ordinateur dans un train, de tous ces tracas de la vie improbables jusqu’à ce qu’ils surviennent.

Et là encore la notion de proportionnalité s’applique, on ne prendra pas les mêmes mesures selon qu’il s’agisse des vidéos des revendeurs partenaires lors de la dernière sortie de motivation en rafting ou bien des données concernant le traitement des patients d’un chirurgien esthétique spécialisé dans le Gotha[1].

Finalement, prévoir les mesures techniques et organisationnelles relève du bon sens collectif : être vigilants et attentifs, anticiper le meilleur tout en préparant le pire.

Et si vous souhaitez vraiment faire l’effort ultime, celui du petit supplément d’âme, vous pouvez programmer des exercices de simulation, mettre en place une équipe de réponse en cas d’incidents et définir un plan de continuité.

Les recommandations que nous faisons à nos clients ne le mentionnent pas systématiquement, sauf par exemple pour les établissements bancaires soumis à la directive FINMA 23/01. Et même dans ce cas, le principe de proportionnalité s’applique[2], qui exempt les plus petits établissements de certaines exigences.

Et si les procédures et moyens à mettre en œuvre vous apparaissent toujours comme l’Hydre de Lerne, sachez que, comme Hercule vous pouvez vous faire aider, non pas de votre neveu Iolas mais, plus prosaïquement d’Abilene Advisors dont les analyses des écarts serviront à isoler toutes les têtes du serpent pour vous aider à mieux vous en débarrasser.

[1] Seules les violations de la sécurité des données susceptibles d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées doivent être annoncées au PFPDT sur le portail du préposé fédéral : https://databreach.edoeb.admin.ch/report .

[2] Circ.-FINMA 23/1 « Risques et résilience opérationnels – banques » III. Principe de proportionnalité

Previous
Previous

Embracing the Paradox

Next
Next

nLPD : Article 5