La protection des données a rendez-vous avec l’informatique : avez-vous déjà opté pour le cryptage ou faites-vous partie des personnes qui continuent de croiser les doigts ?
La révision de la loi fédérale sur la protection des données entrera en vigueur le 1er septembre 2023. Cette révision était nécessaire pour adapter la loi, qui commençait à accuser le poids des années. À l’avenir, les droits des personnes concernées seront renforcés et la transparence du traitement des données garantie, par exemple grâce à l’extension du devoir d’informer.
En particulier, le niveau de protection des données en Suisse doit être maintenu à un niveau élevé afin de conserver un échange des données avec l’Union européenne (UE) qui soit continu et non compliqué. Pour mettre en pratique la protection des données de manière durable, un bon échange entre les personnes responsables de la protection des données et l’informatique est très important, une condition qui se reflète dans le texte de la loi. Citons à cet égard l’énoncé de l’art. 8 de la nouvelle LPD, qui porte le titre sobre « Sé-curité des données » : « Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données person-nelles par rapport au risque encouru. »
Les mesures techniques incluent notamment le cryptage des données, qui contribue à protéger avec efficacité les données personnelles et surtout les données personnelles particulièrement sensibles, à condition d’appliquer et d’activer une solution de cryptage. Vous trouverez ci-dessous une explication plus précise à l’aide de deux exemples issus de l’usage quotidien.
En quoi consiste un cryptage ?
Le cryptage, également appelé « codage », décrit en principe un processus de transformation des données. Une manipulation permet de transformer des données lisibles et compréhensibles dans le texte clair en un chiffre. Ce dernier est encore lisible, mais son contenu n’est plus compréhensible. Pour être de nouveau lues et comprises, les données doivent être décryptées. À titre d’exemple, « FIDUCIAIRE|SUISSE » prend la forme du chiffre « HJ23KL%?ZB56NN! ». S’il arrive que ces don-nées cryptées soient saisies ou dérobées par un tiers non autorisé, son contenu effectif demeure protégé, car le tiers ne dispose pas de la clé adéquate pour le décryptage. De ce fait, le tiers ne peut tout simplement pas utiliser les données.
Le cryptage a donc pour but de garantir la confidentialité, l’intégrité et l’authenticité des données. Il convient de préciser qu’il existe différents types de procédures de cryptage.
Cryptage d’e-mails
Impossible aujourd’hui de concevoir le quotidien au travail sans e-mails. À la dernière minute, le client envoie à son agent fiduciaire le dernier certificat de salaire sous forme de pièce jointe à l’e-mail, ou la collaboratrice en charge du dossier veut encore rapidement poser une question sur la facture d’un fournisseur de prestations médicales afin de finaliser la déclaration d’impôt – et hop, l’e-mail est rédi-gé, la pièce jointe attachée et elle appuie sur « Envoyer ». Plutôt simple, mais plutôt délicat du point de vue de la protection des données.
On sait rarement que l’e-mail normal n’est pas protégé et ne convient pas à l’envoi de données per-sonnelles ou d’autres informations sensibles. L’e-mail peut être considéré comme une carte postale. Il suffit de le saisir pour en lire le contenu, très facilement – d’où l’importance de toujours crypter les e-mails. À cet égard, les fiduciaires ont tout intérêt à mettre en place une solution appropriée et de sen-sibiliser leur clientèle dans ce sens.
Ici, il est important de faire la distinction entre une signature d’e-mail et une solution de cryptage. En effet, ces deux termes sont souvent utilisés comme des synonymes, à tort. La signature confirme uniquement que le message provient vraiment de l’expéditeur indiqué – mais la signature n’entraîne pas de cryptage, et par conséquent le contenu du message demeure lisible. En revanche, le cryptage garantit qu’un e-mail n’est pas envoyé en clair.
Cryptage de clouds
Le travail « dans le nuage » fait lui aussi désormais partie de notre quotidien. La mise à disposition d’applications, d’environnements, de puissances de calcul, de réseaux ou de lieux de stockage en tant que service standardisé et automatisé, que l’on peut au besoin consulter et facturer sur la base d’un modèle dépendant de l’utilisation est ô combien simple. Cela évite de devoir préparer, installer et exploiter des propres systèmes, ce qui occasionne des coûts élevés.
Pourtant, le cloud est lui exposé à d’éventuelles attaques : d’une part, des tiers non autorisés peuvent obtenir un accès au nuage et, d’autre part, le cloud est exposé au risque du prestataire de cloud lui-même, ce que beaucoup d’utilisateurs ignorent.
Les prestataires de cloud font de la publicité tapageuse en avançant des arguments comme « cryp-tage » et « Vos données sont sûres », ce qui sonne vraiment bien aux premiers abords. Toutefois, en fonction de la solution, le prestataire de cloud a souvent lui-même une clé pour pouvoir accéder aux données qui se trouvent sur le cloud en procédant au décryptage. La métaphore du journal intime mis sous clé illustre bien à la situation – vous confiez ce journal à un tiers (le prestataire de cloud) pour qu’il le conserve en sécurité. En fait, vous remettez le journal avec la clé qui l’ouvre. Dans ce cas, êtes-vous réellement sûr que les données qui se trouvent dans le journal intime sont vraiment proté-gées ? Qu’en dites-vous ? Ceci suscite une certaine gêne ? Exactement ! Dans ce cas, une propre solution de décryptage où vous êtes seul à détenir la clé, peut être utile.
Le cryptage de données personnelles contribue à minimiser le risque que des données personnelles et autres informations délicates atterrissent dans les mains de tiers non autorisés lors de l’envoi d’e-mails mais aussi de l’utilisation de solutions cloud.
Check-list
Une entreprise qui décide de procéder au cryptage de ses données doit se poser les questions ci-après.
1. Est-ce que je connais le stock de mes données et quel type de données y sont enregis-trées ?
2. Suis-je soumis à des réglementations légales spécifiques, p. ex. la LPD ?
3. Quelles sont les données sensibles dans mon stock de données ?
4. À quel risque potentiel ces données sont-elles exposées ?
5. Quelle est l’ampleur du besoin de protection dans ce contexte ?
6. Où se trouvent ces données et qui pourrait y accéder ?
7. Quel est le processus de cryptage qui couvre au mieux le besoin de protection ?
8. Quelles aptitudes et capacités supplémentaires dois-je instaurer dans l’exploitation ?
9. Quelles sont les dépendances avec les fournisseurs des solutions ?
10. Quelles sont les dispositions à prendre face à un cas d’urgence ou à une situation de crise ?
11. Quel est le rapport entre coûts et utilité de la solution privilégiée ?
Conclusion
La protection des données comprend toutes les mesures empêchant un traitement non voulu de don-nées personnelles et couvre seulement celles-ci. En outre, il y a des informations techniques qui ne sont pas protégées par les dispositions juridiques de protection de données, car il ne s’agit pas de données personnelles. Pourtant, ces informations techniques pourraient, du point de vue de l’entreprise, mériter d’être protégées. Elles incluent par exemple des secrets commerciaux, des re-cettes, des données de fabrication et de construction ou des stratégies.
Le recours à des technologies de cryptage non seulement tient compte de la protection des données en mettant en œuvre une mesure technique appropriée, mais, par effet de synergie, il permet aussi de protéger d’autres informations techniques sensibles de l’entreprise.
«Écouter le Blog»
À l’avenir, vous pourrez aussi l’écouter le Blog: en voiture, en train, en faisant du sport ou au bureau – là où cela vous convient.
Anja
Schmitz
Partner
Projektas GmbH,
Zug
Anja Schmitz ist Juristin und Senior Consultant sowie Partner der Projektas GmbH, mit Sitz in Zug/Schweiz. Sie ist spezialisiert auf die Themen Corporate Governance, Compliance und Datenschutz sowie dem Business Continuity Management. Ein Schwerpunkt ihrer Arbeit liegt in der Management-Beratung und in der Projektleitung.
Anja Schmitz ist Juristin und Senior Consultant sowie Partner der Projektas GmbH, mit Sitz in Zug/Schweiz. Sie ist spezialisiert auf die Themen Corporate Governance, Compliance und Datenschutz sowie dem Business Continuity Management. Ein Schwerpunkt ihrer Arbeit liegt in der Management-Beratung und in der Projektleitung.
S'inscrire au blog
Vous ne voulez pas manquer d'articles de blog ? Abonnez-vous à notre blog ici.