Skip to Main Content

Protection des données

Références

AGENCE NATIONALE DE LA SECURITE DES SYSTEMES D'INFORMATION (ANSSI). Guide d'hygiène informatique : renforcer la sécurité de son système d'information en 42 mesures. Version 2.0. Septembre 2017 [en ligne] [Consulté le 17.01.2020]

CISPE. Code de conduite des fournisseurs d'insfrastructures cloud relatif à la protection des données. 9 février 2021 [en ligne] [Consulté le 12.08.2021]

CNIL. Sécurité des données personnelles. Version 2024. Guide pratique RGPD. [en ligne] [Consulté le 03.05.2024]

CNIL. La sécurité des données personnelles (Les guides de la CNIL), 2018 [en ligne] [Consulté le 25.01.2019]

CONFEDERATION SUISSE. Département fédéral de justice et police (DFPJ). Note explicative relative à l'obligation de notifier une violation de données à caractère personnel en vertu de l'art. 33 RGPD. Berne, 4 septembre 2018. [en ligne] [Consulté le 23.01.2019]

DE WERRA, Jacques, BENHAMOU, Yaniv. Cyberassurance : instrument utile pour la cybersécurité des entreprises ? Analyse juridique et recommandations des mesures étatiques concernant les cyberassurances visant à protéger les entreprises (PME). In: Jusletter, 2020, n° 24 août. [en ligne] [Consulté le 12.08.2021]

EDPB. Guidelines 4/2019 on Art. 25 Data Protection by Design and by Default. Version 2.0. Adopted on 20 October 2020 [en ligne] [Consulté le 24.06.2021]

EDPB. Lignes directrices 4/2019 relatives à l'art. 25 Protection des données dès la conception et protection des données par défaut. Adoptées le 20 octobre 2020. Version 2.0 [en ligne] [Consulté le 12.08.2021]

ENISA (European Union Agency for Cybersecurity). Techniques et meilleures pratiques de pseudonymisation : recommandations sur l'usage des technologies conformément aux dispositions en matière de protection des données et de respect de la vie privée. Novembre 2019 [en ligne] [Consulté le 29.04.2021]

GROUPE DE TRAVAIL « ARTICLE 29 » SUR LA PROTECTION DES DONNEES. Avis 05/2014 sur les techniques d'anonymisation adopté le 10 avril 2014. 0829/14/FR WP 216. [en ligne] [Consulté le 23.01.2019]

PFPDT, Guide relatif aux mesures techniques et organisationnelles de la protection des données (TOM). Janvier 2024. [en ligne] [Consulté le 30.01.2024]

STAM, A. KLEINER, B. (2020). Data anonymization : legal, ethical, and strategic considerations. FORS Guide No. 11, Version 1.0. Lausanne : Swiss Centre of Expertise in the Social Sciences. DOI:10.24449/FG-2020-00011

Généralités

Jusqu'à présent la sécurité informatique était basée sur trois notions fondamentales (le triangle de la sécurité) :

  • la disponibilité des systèmes : doit être évaluée par rapport à l'impact sur la productivité si les collaborateurs ne peuvent accèder au système informatique ou aux données. Cette notion est souvent bien prise en compte par les entreprises par la mise en place de diverses mesures (dédoublement des infrastructures, replication des données, stratégie de sauvegarde, filtrage de connexion ...)
  • l'intégrité des applications : vise à déterminer si les données et les applications sont correctes et fiables. L'intégrité est plus difficile à atteindre car elle ne concerne pas seulement le niveau technologique mais implique la prise en compte des rôles et processus métiers.
  • la confidentialité des données : qui doit pouvoir accéder aux données et qui y accède vraiment. C'est la notion la plus complexe notamment en raison de la localisation des données dans le cloud.

Les nouvelles réglementations ont ajouté la notion de responsabilité de l'entreprise partant du principe que c'est celui qui traite les données qui doit les protéger, la protection étant proportionnelle à la sensibilité de l'information traitée.

Sécurité des données en droit suisse (LPD)

Les données personnelles doivent être protégées contre tout traitement non autorisé par des mesures organisationnelles et techniques appropriées (art. 7 LPD). La section IV de l'OLPD traite des mesures techniques et organisationnelles à mettre en place : mesures générales (art. 8), mesures particulières (art. 9)

  • La cause majeure des incidents de sécurité (violations de données) est une négligence interne.
  • L'article 8 LPD énumère les risques à couvrir (destruction accidentelle ou non autorisée, perte accidentelle, erreurs techniques, falsification, vol ou utilisation illicite, modification, copie, accès ou traitements non autorisés).
  • L'article 9 LPD détaille de manière précise ce qu'il est attendu des "maîtres de fichier". Dans la LPD actuelle, rien ne concerne le sous-traitant qui agit pour le compte du maître du fichier.

Sécurité des données en droit européen (RGPD)

En droit européen, ce sont les art. 32 à 34 qui portent sur la sécurité du traitement.

  • Le RGPD est plus précis que la LPD car il mentionne clairement les techniques de protection (pseudonymisation, chiffrement)
  • Les obligations s'adressent autant au responsable du traitement qu'au sous-traitant
  • On y trouve aussi les principes essentiels de la protection de l'information (confidentialité des données, intégrité des applications, disponibilité des systèmes)
  • L'art. 32 énumère les risques à couvrir (destruction, perte, altération, divulgation non autorisée, accès non autorisé)
  • L'art. 33 concerne la notification à l'autorité de contrôle d'une violation (dans les 72h)

L'art. 25 RGPD porte sur la protection des données dès la conception et par défaut (Privacy by design / Privacy by default)

La sécurité des données est un élément central et très important en matière de protection des données. Il est central à priori en tant que principe fondamental à respecter tout au long du processus du traitement et à postériori en cas de faille de sécurité. La sécurité des données s'applique tant aux données électroniques que papier.