Tweets by TwitterDev " />

Beaucoup d’entreprises voient la protection des données comme une chicane administrative et ont fait pression sur le Parlement pour affaiblir la nouvelle loi. C’est un faut calcul!

Une révision de la Loi sur la Protection des Données (nLPD) qui, après s'être éternisée plus de 10 ans dans les méandres du pouvoir, voit son entrée en vigueur une nouvelle fois repoussée, une stratégie Cloud de la Confédération aussi nébuleuse que contre-productive pour l’économie locale, des cyber attaques à répétition qui révèlent au grand jour le faible niveau de préparation de nos autorités face à des risques pourtant identifiés depuis plus de deux décennies... N'en jetez plus !

Notre pays peut continuer à se gausser sur l'excellence de son industrie horlogère, la solidité de ses institutions et son amour pour le chocolat, la vérité est que nous sommes globalement des cybers nuls et que notre capacité d'innovation dans le domaine dépend essentiellement de nos relations avec nos partenaires étrangers.

Pardon pour les quelques belles entreprises* qui tentent de porter haut les couleurs helvétiques, mais le constat global n’est pas digne d’une économie du XXI siècle.  


Une loi qui rate sa cible

Avec le RGPD, l’Europe s’est fermement positionnée en faveur de la protection des données personnelles de ses citoyens; Renforcement des droits des personnes concernées, clarification des attentes imposées aux responsables de traitement et à leurs sous-traitants, sanctions administratives en cas de violations… Les choses sont (+/-) claires pour chacun des acteurs et les mesures attendues renforcent la cyber résilience des organisations.

Quant à elle, la LPD révisée espère satisfaire à l’évolution des technologies tout en limitant les exigences imposées aux entreprises privées ou publiques qui traitent des données personnelles. Pour ce faire, elle reprend a minima les principes du RGPD et restreint autant que possible les pouvoirs de l’autorité de surveillance (PFPDT).

Sur le papier, cette nouvelle loi permet théoriquement aux petites et moyennes entreprises suisses opérant sur le territoire de ne rien changer à leurs pratiques. En d’autres termes, circulez, il n’y a rien à voir !

Concrètement, rares sont celles qui peuvent se satisfaire de cette « économie ». Pourquoi ?

1.     Parce qu’au-delà de la conformité légale, elles doivent fournir à leurs clients des prestations au moins équivalentes à celles de leurs concurrents étrangers. Y compris en ce qui concerne la protection des droits humains dont le respect de la sphère privée (privacy) fait partie intégrante.

2.     Parce que le niveau actuel de maturité des entreprises en matière de protection des données personnelles est globalement insuffisant. Un cyber incident peut s’avérer fatal pour une organisation mal préparée. Et je ne parle même pas ici des impacts infligés aux véritables victimes : clients, patients, assujettis, citoyens que nous sommes tous.

3.     Parce que certaines nouvelles obligations (analyse d’impact sur la vie privée préalablement au traitement, devoir de notification des violations de sécurité, obligation de tenir un registre des activités de traitement, …) ne peuvent tout simplement pas être atteintes sans mettre en œuvre un programme de privacy management cohérent et consistant.

Après avoir trop longtemps tergiversé sur ce sujet, le politique envoie donc un mauvais message tant aux entreprises qu’aux citoyens :  

  • faible incitation pour les entreprises à adopter des cyber pratiques plus responsables,

  • pas d’améliorations concrètes de la protection de nos données si l’on considère le peu de moyens et prérogatives alloués au Préposé fédéral pour faire respecter cette loi.


Un manque de cyber stratégie

Entreprises suisses écartées de l’appel d’offre pour le cloud de la Confédération, torpillage des solutions de vote en ligne par la frange conservatrice du Parlement, ratage complet sur le concept d’identité numérique, ping-pong entre cantons et communes en matière de gouvernance des systèmes d’information, PME à la “cyber ramasse”…  La Suisse digitale se cherche encore!

Sauf que nous sommes au XXIe siècle et que ce sujet est devenu un chantier incontournable.

Certes, la sécurité absolue n’existe pas et mon propos ne vise en aucun cas à promouvoir des mesures excessivement contraignantes. Mais le laxisme de nos autorités est dangereux.

La cyber criminalité ne va pas disparaître parce que nos politiciens ont décidé de l’ignorer ou de la minimiser. Les technologies de l’information font partie de notre quotidien depuis les années 90 et leur développement s’accélère.  A quand une véritable prise de conscience que ce changement va au-delà du remplacement de la machine à écrire par des écrans interconnectés ? Quand adopterons-nous enfin une cyber hygiène qui fera de nous des acteurs du numérique responsables et proactifs ?


Alors… boomerang ou autogoal ?

On parle d'effet boomerang quand une tentative de persuasion produit l'effet inverse de celui attendu. Mais dans le cas d’espèce, la Suisse n’a jusqu’ici rien tenté, elle n’a fait que suivre et subir. Cette passivité ne peut que mener à des effets prévisibles : La cyber criminalité perdurera et notre manque d’anticipation nous coûtera cher.

L’autogoal, c’est parfois de la malchance, souvent de la maladresse. Dans les faits, c’est marquer un but contre son camp. La malchance n’a aucun rôle à jouer dans quelque stratégie que ce soit, numérique ou autre. La maladresse peut être pardonnée à l’occasion, mais pas systématiquement car on parle alors d’’incompétence.

Peut-être est-ce là le fond du problème :  Le manque de cyber compétences de nos élus. Tant que nous ne l’aurons pas résolu, nous continuerons d’encaisser des buts plus que d’en marquer.

Stéphane Droxler

*Logitech, Infomaniak , Protonmail,  Netguardians, Nexthink, Kudelski, Threema