Analyse d’impact sur la vie privée

Nouvelle obligation imposée au responsable de traitement tant par la LPD (art. 22) que le RGPD (art. 35) qui consiste à réaliser une analyse d'impact lorsqu'un traitement envisagé est susceptible d'entrainer un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées. L'analyse contient au minimum une description détaillée du traitement envisagé, une évaluation des risques ainsi que les mesures de protection envisagées.

Lorsque le responsable de traitement doit réaliser une analyse d'impact, il demande conseil au délégué à la protection des données (DPO), pour autant qu'il en ait un... Si l'analyse révèle un risque élevé, le responsable de traitement doit consulter l'autorité de surveillance préalablement à la mise en oeuvre du traitement.

retour en haut de la page

Anonymisation

L'anonymisation de données regroupe les différentes techniques (data masking, data fading p.ex) permettant de modifier le contenu ou la structure des données afin de rendre très difficile, voire impossible, la ré-identification de personnes physiques.

Du point de vue de la sécurité informatique, l'anonymisation est la technique la plus sûre pour protéger des données personnelles puisque, une fois anonymisée, il n'y a en principe plus moyen de retrouver la donnée d'origine. Cette sécurité doit néanmoins être mise en balance avec les finalités du traitement car elle peut constituer une barrière ou un frein, notamment en matière de recherche médicale p.ex. Selon le cas d'usage, le chiffrement ou la pseudonymisation peuvent constituer des moyens de sécurité plus adaptés que l'anonymisation.

retour en haut de la page

Chiffrement

En cryptographie, le chiffrement consiste à encoder de l'information au moyen d'un algorithme permettant de convertir l'information originalement "en clair" dans une forme alternative appelée "chiffrée". L'objectif est de protéger une information en ne la rendant utilisable qu'aux détenteurs des clés de chiffrement / déchiffrement.

Historiquement, l'utilisation du chiffrement pour sécuriser des échanges était très complexe et nécessitait de solides compétences pour maîtriser tant les logiciels que les processus d'échanges de clés. Grâce à l'évolution technologique, l'utilisation du chiffrement s'est largement démocratisée et est même souvent devenue transparente pour les utilisateurs. Par contre, pour que la sécurité soit véritablement garantie, l'importance d'une bonne compréhension et gestion des clés de chiffrement demeure.

retour en haut de la page

Conseiller à la protection des données

Cette fonction a pour rôle d'assister et de conseiller le responsable de traitement sur toutes les questions relatives à la protection des données à caractère personnel. Pour ce faire, il/elle doit disposer:

  • D'un niveau d'expertise proportionnel à la sensibilité, la complexité et au volume des données traitées,

  • De connaissances spécialisées du droit et des pratiques en matière de protection des données (mesures techniques et organisationnelles),

  • D'une bonne expérience du secteur d'activité du responsable de traitement,

  • D'un haut niveau d'intégrité et de déontologie,

  • D'un degré suffisant d'autonomie et d'indépendance.

Également appelé "délégué à la protection des données" ou "Data Protection Officer" selon la terminologie RGPD.

A noter que la loi suisse n'impose pas aux responsable de traitement privés d'avoir un conseiller à la protection des données. Seuls les organe fédéraux sont tenus d'en désigner un. Dans la pratique, si un responsable de traitement entend atteindre un niveau de conformité légale suffisant, il est fortement recommandé de recourir à cette fonction.

retour en haut de la page

Cyber attaque

Tentative d'utilisation abusive d'informations par des actions telles que le vol, la destruction ou la divulgation. Les cyber attaques peuvent également viser à perturber ou détruire les systèmes et réseaux informatiques

Selon lune étude demandée par le Parlement européen, le coût de la cybercriminalité pour l'économie mondiale a atteint 5’500 milliards d'euros en 2020, soit le double de celui de 2015. [source]

Cyber sécurité

La cybersécurité comprend la sécurité de l'information et des communications, les technologies opérationnelles et les plateformes informatiques nécessaires pour assurer la sécurité des systèmes numériques. Le but de la cyber sécurité est de protéger la confidentialité, l'intégrité et la disponibilité de l'information.

Le terme "protection de l'information" (information protection en anglais) est également fréquemment utilisé en alternance avec "cyber sécurité". Ils sont synonymes. Tout deux regroupent des domaines d'expertises plus spécifiques tels que network security, computer security, software security et IT security.

Cyber défense

La cyberdéfense comprend les analyses et les stratégies de cybersécurité et de menaces pour se protéger contre les menaces dirigées contre les citoyens, les institutions et les gouvernements.

Cyber résilience

Capacité d'un système ou d'une organisation à continuer de fonctionner en dépit de circonstances adverses telles que pannes, perturbations externes, attaques ou violations de sécurité.

La notion de résilience est utilisée dans de multiples contextes: En mécanique, on parle de capacité à résister à un choc. En psychologie, de la capacité d'un individu à vivre de manière satisfaisante malgré des circonstances traumatiques. En écologie, c'est plutôt la notion d'adaptabilité d'une espèce ou d'un écosystème face à des perturbations externes. Force est de constater qu'en informatique, on utilise du matériel, qu'elle est gérée (pour l'heure) par des individus et que son utilisation en réseau représente un écosystème en soi.

retour en haut de la page

Data centric security

La sécurité centrée sur les données est une approche de la sécurité qui met l'accent sur la fiabilité des données elles-mêmes plutôt que sur la sécurité des réseaux, des serveurs ou des applications. [...] La sécurité centrée sur les données permet également aux organisations de surmonter la déconnexion entre la technologie de sécurité informatique et les objectifs de la stratégie commerciale en reliant directement les services de sécurité aux données qu'ils protègent implicitement ; une relation qui est souvent occultée par la présentation de la sécurité comme une fin en soi. [source: Wikipedia]

DP&S préconise l'approche suivante en matière de sécurité centrée sur les données:

DÉCOUVRIR --> identifier les différentes catégories de données (structurées ou non) et leur importance pour le business.

ANALYSER --> Comprendre pourquoi l'organisation considérée a besoin de ses données, définir qui peut les utiliser (vs qui les utilisent vraiment...) et où elles transitent / résident.

PROTEGER --> Établir des règles d'utilisation, gérer les droits d'accès et implémenter les contrôles techniques adaptés au niveau de sensibilité des données.

retour en haut de la page

Data Loss ( or Leakage) Prevention

Technologie de sécurité orienté sur la protection des données. Une véritable solution DLP doit a minima permettre de définir des règles de détection couvrant les trois problématiques suivantes:

  • Données en mouvement (DiM),

  • Données statiques (DaR)

  • Données en utilisation (DiU)

ainsi qu''offrir des moyens de réponse lorsque des incidents sont détectés (bloquer ou rediriger un flux, notifier un responsable, avertir l'utilisateur, etc..)

Souvent décriées pour leur utilisation complexe, les technologies DLP n'en demeurent par moins très efficaces pour autant que l'entrerprise qui souhaite les utiliser dispose d'un niveau de maturité suffisant an matière de gouvernance de ses données, connaisse ses risques et souhaite définir des contrôles précis basés sur des besoins business reconnus par le top management (protection de la propriété intellectuelle ou exigence de conformité légale p.ex.)

retour en haut de la page

Data mapping

Inventaire des catégories et flux de données personnelles transitant au sein des systèmes d'informations. L'inventaire des catégories de données est un pré requis à l'établissement du registre des traitements. (cf. RGPD art. 30, nLPD art. 12)

On ne peut pas protéger ce que l'on ne connait pas. Derrière cette évidence se cache toutefois la complexité de regagner la visibilité sur le contenu du système d'information. La principal difficulté du data mapping consiste à définir le bon niveau de granularité des catégories de données à inventorier et de les lier aux processus opérationnels qui les utilisent.

retour en haut de la page

GRC

Acronyme pour Gouvernance, gestion des Risques et Conformité. Le but de la GRC est de coordonner ces trois disciplines afin de fonctionner de manière efficiente. Les activités de gouvernance doivent garantir que les informations de gestion essentielles qui arrivent à la direction sont suffisamment complètes et exactes pour permettre la prise de décisions. La haute direction doit également fournir les mécanismes de contrôle permettant de s'assurer que les stratégies soient mises en oeuvre efficacement par la direction. La gestion des risques regroupe l'ensemble des processus par lesquels la direction identifie, analyse et agit en cas de necessité en matière d'événements pouvant impacter négativement la marche des affaires. Quant à la notion de conformité, elle a pour but de s'assurer que l'organisation respecte les exigences applicables, que celles-ci soient légales, normatives ou contractuelles.

Les cyber risques représentent un défi stratégique pour les dirigeants d'entreprises et ce quelque soit le secteur d'activité concerné. L'évolution rapide des technologies et réseaux numériques requiert une attention et compréhension que (trop) peu de dirigeants adressent correctement, soit par manque de compréhension des enjeux que les cyber risques impliquent pour la marche de leurs affaires, soit par choix délibéré de continuer à considérer l'IT comme n'étant qu'un simple outil. A l’heure du tout numérique, la GRC devient une discipline nécessaire même pour les petites et moyennes entreprises.

retour en haut de la page

LPD ou nLPD

(nouvelle) Loi suisse sur la Protection des Données, applicable à tous les responsables de traitements qu'ils soient publics ou privés. Son objectif est de faire respecter les principes fondamentaux de la protection des données à caractère personnel, c’est à dire de protéger les droits des individus dont les données sont traitées. La LPD n’a donc pas pour but de protéger les données elles-mêmes.

La LPD révisée devrait entrer en vigueur fin 2022 et remplacera le texte datant de 1992. A noter que sa portée effective restera limitée en comparaison du RGPD européen. Les raisons principales sont dues à l'absence de véritables mesures de mise en œuvre, des pouvoirs limités de l'autorité de surveillance (PFPDT) ainsi que des sanctions peu dissuasives.

retour en haut de la page

Minimisation des données

La minimisation des données est l'un des principes fondamentaux de la protection des données personnelles. Il requiert que l'on ne traite que les données qui sont nécessaires à l'atteinte d'une finalité identifiée et que l'on se départisse des données devenues obsolètes.

D'un point de vue législatif, ce principe de base figure dans toutes les privacy laws dès les années 80. Dans la pratique, l'évolution des technologies de communication et l'absence de règles contraignantes ont permis tant aux entreprises privées qu'aux gouvernements de collecter a peu près tout sur n'importe qui et n'importe comment. L'entrée en vigueur du RGPD en 2018 tente de remettre l'avantage du côté des personnes dont les données sont traitées en obligeant les responsables de traitement et leurs sous-traitants à prendre les bonnes décisions de gouvernance ainsi qu’implémenter les mesures opérationnelles et techniques adéquates.

retour en haut de la page

Notification des violations de sécurité

Tant selon la nLPD (art.24) que le RGPD (art.33), les responsables de traitement ont désormais l'obligation de notifier toute violation à l'autorité de contrôle compétente, dans les meilleurs délais (72 heures selon le RGPD), à moins que celle-ci ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes concernées. Lorsque cela est nécessaire, ou si l'autorité l'exige, le responsable de traitement doit également informer les personnes concernées. En ce qui concerne les sous-traitants, ceux-ci doivent informer sans délai le responsable de traitement tout cas de violation de la sécurité des données.

La portée de cette exigence légale ne doit pas être sous-estimée par le responsable de traitement car, au-delà des risques d'amendes élevées si le RGPD devait lui être applicable, elle pose la question de l'organisation interne en matière de traitement des incidents de sécurité. Dans la pratique, on constate que le manque de maturité et de visibilité sur son propre patrimoine informationnel conduisent à des erreurs dont les conséquences ne font qu'aggraver l'impact des incidents. Il est donc essentiel de se préparer correctement pour mieux réagir le jour J.

On peut également relever, selon toute logique, que l’obligation de notification est plus impactante pour le responsable de traitement que pour le sous-traitant. Cela doit inciter les les entreprises à bien distinguer les traitements pour lesquels elles sont responsables de ceux dont elles n’ont qu’un rôle de sous-traitant. Le registre des traitements a notamment pour but d’opérer cette distinction.

retour en haut de la page

Patrimoine informationnel

Le patrimoine informationnel, ou capital immatériel, est un élément non monétaire et sans substance physique, constitué par les informations et connaissances détenues, et ayant une valeur positive, par une organisation. [source : Wikipedia]

On pourrait écrire une thèse sur l'importance du patrimoine informationnel à l'heure du numérique. Pour rester concis, pensez simplement au fait que tout ce qu'une organisation a besoin pour fonctionner est désormais numérisé. Qu'il s'agisse de données plus ou moins structurées (bases de données clients, fournisseurs, employés p.ex) ou déstructurées (plans, propriété intellectuelle, processus internes matérialisant le savoir-faire d'une organisation), ces actifs immatériels doivent être maintenus, mutualisés et évolutifs si l'organisation qui les détient entend atteindre un niveau de résilience suffisant en cas de problème.

retour en haut de la page

Plan de réponse en cas d’incident

Le plan de réponse a pour objectifs d’améliorer la posture de sécurité d'une organisation afin de :

_ Détecter rapidement une attaque.

_ Minimiser l’impact d’un incident de sécurité par une réponse efficace

_ Rétablir au plus vite les services impactés par l’incident.

_ Communiquer correctement avec toutes les parties concernées.

Le plan de réponse en cas d'incident fait partie intégrande de la politique de sécurité d'une organisation. Encore faut-il que celle-ci existe… et lorsque c'est la cas, les scénarios d'incidents n'intègrent pas ou peu les violations de sécurité, la priorité étant mise sur les notions de "disaster recovery" ou "business continuity" qui traitent elles de la perte d'un site p.ex ou des conséquences d'une catastrophe naturelle. Les violations de sécurité sont toutefois bien plus fréquentes et nécessitent, à tout le moins, que le plan de réponse permette des stratégies de réponses plus nuancées.

retour en haut de la page

Protection des données dès la conception et par défaut

Plus connue dans son appellation anglaise (data privacy by design & default), cette obligation fondamentale, que l'on retrouve dans quasi toutes les privacy laws , porte sur la mise en œuvre de mesures appropriées et de contrôles garantissant l'implémentation effective des principes de protection des données.

Concrètement, cela implique que le respect de la vie privée soit intégré dès la conception et ceci tant dans l'architecture des systèmes informatiques que dans les pratiques commerciales. Ce n'est donc pas une option que l'on rajoute après coup, mais un élément essentiel de la fonctionnalité de base fournie.
La protection des données doit faire partie intégrante du système, sans en diminuer la fonctionnalité.

A noter que "les mesures techniques et organisationnelles dovient être appropriées au regard notamment de l'état de la technique, du type de traitement et de son étendue, ainsi que du risque que le traitement des données présente pour la poersonnalité ou les droits fondamentaux des personnnes concernées". (nLPD, art 7 al.2). Concrètement, cela signifie qu'il ne suffit pas de traiter la question de la protection des données uniquement à la conception, mais bien qu'il faut que le responsable de traitement réevalue la situation en fonction de l'évolution de ces différents paramètres. Brève remarque également sur la notion "de protection des données par défaut": Il est attendu que les responsable de traitement choisissent ou proposent systèmatiquement les options les moins invasives pour la vie privée. Ceci est un changement de pardigme très important si l'on considère que l'explosion des technologies de l'information ont incité de nombreux modèles d'affaires a sur collecter des données, respectivement à considérer pour acquis le consentement de la personne concernée au travers de systèmes d'opt-in déjà pré-cochés.

retour en haut de la page

Pseudonymisation

Technique de protection des données personnelles qui consiste à empêcher l'identification d'une personne physique sans avoir recours à des informations complémentaires.

En termes de sécurité, le processus de pseudonymisation est moins fort que le processus d'anonymisation car il n'est pas irréversible. Qui connait la tâble de conversion peut retrouver l'information pseudonymisée. Son utilité n'en reste pas moins très pertinente selon les traitements, p.ex pour masquer certains champs d'une base de données à des utilisateurs qui n'ont pas besoin de connaître l'identité de la personne dont ils traitent les informations.

retour en haut de la page

Registre des activités de traitement

Comme son nom l'indique, le registre des activités de traitement permet de recenser les traitements de données afin d'établir une vue d'ensemble de ce qu'une entreprise ou organisation fait avec les données personnelles. La tenue d'un tel registre est une exigence légale prévue aux articles 12 de la LPD et 30 du RGPD. Elle s'applique tant aux responsables de traitements qu'aux sous-traitants.

A noter que les deux lois prévoient des exceptions de tenir un tel registre pour les entreprises de moins de 250 collaborateurs. Ces dérogations sont toutefois limitées et sont, à notre avis, à étudier au cas par cas.

"On ne peut pas protéger ce que l'on ne connaît pas".
L'utilité d'un tel registre va bien au-delà des exigences de conformité légale et de sa documentation. Cet inventaire des données personnelles permet de regagner de la visibilité tant sur les processus organisationnels que sur le contenu des systèmes d'information. Bien réalisé, il devient un véritable outil de pilotage de la data gouvernance permettant de se poser les questions essentielles en matière de collecte, conservation, droits d'accès et mesures de protection adéquates. Si les exigences légales portent uniquement sur les données personnelles, les organisations ont tout intérêt à élargir le périmètre afin d’identifier toute donnée essentielle à la réalisation de leur mission.

retour en haut de la page

règlement général sur la protection des données (RGPD)

Texte de loi entré en vigueur en 2018 au sein de l'Union Européenne visant à :

  1. Obliger les entreprises traitant des données à caractère personnel à les protéger correctement,

  2. Préciser les mesures attendues en matière de sécurité tant opérationnelle que technique et

  3. Renforcer les droits des citoyens en matière de respect de la sphère privée.

Il a remplacé l’ancienne Data Protection Directive 95/46/EC en y intégrant les points ci-dessus et, notamment, des amendes administratives élevées pour les contrevenants.

Ce texte de loi est devenu une quasi référence mondiale en matière de data privacy. Au delà du régime de sanctions sévères en cas de violation des règles, il entend positionner l'Europe comme leader de la protection des données personnelles et ainsi offrir à ses citoyens une protection efficace face aux pratiques souvent très laxistes des acteurs de la cyber économie.

retour en haut de la page

VIOLATION DE LA SéCURITé DES DONNéES

Tout violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données. (LPD art. 5 let.h)

La LPD reprend quasi mot pour mot la définition du RGPD (art. 4 ch.12). A noter que le caractère accidentel de l'incident ne dispense pas un responsable de traitement ou un sous-traitant du devoir de notification. Concrètement, cela signifie que la divulgation accidentelle de données personnelles a les mêmes impacts qu'une cyber attaque.