La nouvelle loi sur la protection des données va bientôt entrer en vigueur en Suisse. La date butoir du 1er septembre 2023 implique également pour StiftungSchweiz quelques changements importants qui n’ont pas été mis en œuvre du jour au lendemain. Dans cet article, nous vous montrons les préparatifs que nous avons entrepris et comment la protection des données est mise en œuvre dans la pratique au sein de StiftungSchweiz. Nous souhaitons en outre vous montrer que la protection des données n’est pas un simple slogan, mais une attitude que StiftungSchweiz vit activement. Il nous tient à cœur de garantir efficacement la protection des données de nos utilisateurs grâce à une préparation minutieuse.
Préparation et regard extérieur
Afin de nous assurer que nos efforts se concentrent sur les bons éléments, nous avons déjà fait réaliser un audit externe à l’automne dernier. Un expert a examiné notre inventaire et notre traitement des données à la lumière des dispositions européennes en matière de protection des données et a constaté que, selon cette analyse d’impact sur la protection des données, le risque ne devait généralement pas être considéré comme élevé.
Cet examen a également permis de mettre en évidence les lacunes à combler au regard des nouvelles dispositions – notre liste de choses à faire était donc bien remplie. La question de principe, importante pour la protection des données, de savoir si des données personnelles sensibles, telles que des données génétiques et biométriques, sont traitées, peut être résolue à un stade précoce. En même temps, cette première évaluation nous a permis d’aborder la mise en œuvre de la protection des données avec discernement et d’estimer où le travail de préparation serait moindre et où il serait plus important.
En matière de protection des données, un regard extérieur est toujours une bonne idée – mais un accompagnement ponctuel suffit généralement et les offres sont faciles à trouver. Si nécessaire, un expert peut également vous aider à rédiger ou à réviser des documents relatifs à la protection des données, tels que la déclaration de protection des données. Il existe en outre des offres passionnantes comme l’outil outil d’auto-évaluation de la protection des données (DSAT) ou le générateur de protection des données de Partenaire de protection des données sur le web, mais nous y reviendrons plus tard.
Modèle de données : l’éthique comme base des décisions axées sur les données
Nous avons décidé de faire d’abord un pas en arrière. En effet, indépendamment des obligations imposées par la loi sur la protection des données, c’est l’occasion idéale de réfléchir à la manière de traiter les données.
En mars de cette année, nous avons donc défini dans une charte de données notre approche générale des données. Il sert de guide pour les décisions guidées par les données. Ce document souligne notre responsabilité vis-à-vis de nos utilisateurs et de nos parties prenantes et montre que la protection des données n’est pas seulement un devoir, mais aussi une affaire de cœur. La charte n’est pas un élément obligatoire de la protection des données, mais c’est un élément judicieux et utile – et donc chaudement recommandé de l’imiter (faites-nous savoir si nous pouvons vous accompagner dans cette démarche).
Au cœur : l’inventaire des données et des traitements de données
L’inventaire des données est une pierre angulaire centrale et généralement le point de départ de l’étude de la protection des données :
Une préparation minutieuse commence par un inventaire complet des données collectées et des opérations de traitement qui ont lieu avec ces données. Identifiez toutes les catégories de données que vous traitez et documentez l’étendue et la finalité du traitement des données dans votre entreprise. La question de savoir qui a accès à ces données en tant que destinataire, importante pour la protection des données, en fait également partie. Notez également les logiciels que vous utilisez par catégorie – nous reviendrons sur ce point.
Pour StiftungSchweiz, nous avons défini 15 catégories de traitement de données, qui sont consignées dans un document détaillé de plus de 20 pages. Les catégories sont par exemple l’administration du personnel, la gestion des données de nos clients ou l’assistance à la clientèle, mais aussi la signature électronique des contrats ou le classement des documents qui, dans notre cas, est géré par Microsoft Office 365. Le choix des catégories demande un peu de réflexion, car il faut aussi peu de catégories que possible et autant que nécessaire – et en règle générale, une catégorie supplémentaire n’est nécessaire que lorsqu’un cas particulier apparaît au vu des données concernées, des destinataires ou du logiciel utilisé.
En Suisse, si aucune donnée personnelle sensible n’est traitée et qu’aucun profilage à haut risque n’est effectué, seules les entreprises et organisations comptant 250 collaborateurs ou plus doivent tenir un inventaire de tous les traitements. Mais l’effort en vaut également la peine pour les petites entreprises : L’inventaire détaillé permet de comprendre en profondeur la manière dont les données sont collectées, stockées et utilisées. Ce n’est qu’ainsi que nous pouvons garantir qu’aucun détail important n’est négligé et que toutes les données sont traitées conformément à une norme de protection des données appropriée. Et cela, nous le pensons à StiftungSchweiz est clairement notre exigence, même avec seulement une douzaine de collaborateurs.
Exigeante, mais cruciale : l’évaluation d’impact
Sur la base de l’inventaire, il s’agit ensuite de réaliser une analyse d’impact sur la protection des données par catégorie afin d’identifier les risques potentiels pour la sphère privée et de développer des mesures pour minimiser ces risques. Il s’agit d’une mesure décisive, en particulier pour les traitements de données à grande échelle, qui est également soutenue par des outils en ligne, par exemple par l’Open Source Privacy Impact Assessment PIA du fournisseur français CNIL.
Pour cette étape, nous avons eu recours à la collection de modèles utiles du « Datenschutz Selfassessment Tool DSAT », également accessible gratuitement. En effet, de nombreux éléments de la protection des données en Suisse fonctionnent selon le principe de l’auto-déclaration. En d’autres termes, chacun:e doit décider lui-même de la précision avec laquelle il:elle prend les choses et de l’exigence qu’il:elle a, mais il:elle est également responsable de sa déclaration et de son évaluation. Les formulaires de dsat.ch permettent également des évaluations très pragmatiques. Elles sont d’ailleurs gratuites, car l’auteur et juriste David Rosenthal est convaincu que la protection des données en Suisse doit être gérée de manière rentable et surtout raisonnable – une conviction que nous défendons également à StiftungSchweiz.
Sur la base de l’inventaire, l’infrastructure technique est ensuite également contrôlée quant à sa conformité avec la protection des données et aux failles de sécurité. Il s’agit de définir des mesures de sécurité appropriées, telles que le cryptage, les contrôles d’accès et les mises à jour régulières de sécurité, afin de garantir l’intégrité et la confidentialité des données. Ces mesures peuvent être fixées soit de manière générale pour l’entreprise, soit seulement pour certaines catégories. En outre, la liste des logiciels utilisés contenue dans l’inventaire donne la vue d’ensemble nécessaire pour savoir où les données sont stockées et traitées. Pour chaque logiciel, vous devriez en effet savoir si cela se passe en Suisse ou au sein de l’Espace économique européen, ou en dehors et donc généralement aux États-Unis. Nous reviendrons sur ce point.
Instruction sur la protection des données : formation pour une prise de conscience globale
La différence entre la nouvelle et l’ancienne loi sur la protection des données réside avant tout dans la cohérence de la mise en œuvre – et de l’application. Cela signifie qu’en Suisse, le traitement des données reste légal dans la plupart des cas, moyennant une déclaration correspondante et une communication active aux personnes concernées. Mais si les données sont collectées au-delà de leur finalité, si elles sont stockées de manière inappropriée ou insuffisamment protégées, ou si la protection des données est tout simplement revendiquée mais pas appliquée, alors il faudra désormais prendre les choses au sérieux. Et ce, contrairement à l’Allemagne par exemple, surtout pour le management et la direction en personne. Dans le cas de StiftungSchweiz, il s’agit du CEO – et auteur de ce blog post.
En cas de protection insuffisante des données, les premiers soupçons se portent souvent sur des lacunes techniques (nous y reviendrons). Mais le facteur humain est tout aussi décisif. Dans de nombreux incidents dits de protection des données, où la protection des données a donc été violée, l’élément déclencheur n’était pas une erreur technique, mais une erreur humaine.
Nous sommes convaincus que la protection des données ne doit pas seulement exister sur le papier. C’est pourquoi nous avons élaboré une directive sur la protection des données qui n’est pas seulement précise et claire, mais qui est également comprise par tous les collaborateurs. La formation de nos collaborateurs est un élément central pour créer la conscience nécessaire à la protection des données : Une première session a eu lieu et d’autres suivront. Cela contribue à ce que TOUS les collaborateurs de notre organisation traitent les données de manière responsable et que la protection des données devienne une culture vécue. D’ailleurs, nous avons directement intégré la directive sur la protection des données dans nos conditions générales d’emploi, de sorte qu’elle fait partie intégrante des contrats de travail.
Logiciels : nos sous-traitants
Outre la formation des collaborateurs, une autre question est particulièrement décisive pour une mise en œuvre soigneuse de la protection des données : le choix du logiciel que vous utilisez pour traiter vos données. Dans l’esprit de la protection des données, il s’agit souvent d’une externalisation et le fournisseur du logiciel est alors ce qu’on appelle un sous-traitant.
La loi sur la protection des données impose également des obligations aux sous-traitants. En effet, chaque sous-traitant doit conclure un contrat de traitement des données (souvent appelé « Data Processing Agreement » ou DPA). La plupart des fournisseurs sérieux mettent d’ailleurs ce contrat à disposition directement sur leur site web. Si les données sont stockées en dehors de la Suisse ou de l’Espace économique européen (ainsi que de certains pays tiers dits sûrs), les choses se compliquent encore un peu plus. C’est notamment le cas des logiciels qui stockent les données aux États-Unis. Dans ce cas, une protection adéquate doit être mise en place via des clauses standard de protection des données, dont l’obtention peut s’avérer un peu plus complexe. Là encore, les fournisseurs américains sérieux les utilisent automatiquement, mais pas toujours avec une référence explicite à la Suisse. Avec le nouveau Data Privacy Framework DPF, ce point perdra en outre bientôt du point de vue suisse.
Une déclaration de protection des données transparente : une communication compréhensible vers l’extérieur
Enfin, et ce n’est pas le moins important, la protection des données, mais aussi exige une déclaration précise et claire sur le site web. Dans notre cas, c’est plus facile à dire qu’à faire, car nous utilisons un plus grand nombre de services pour assurer une bonne expérience utilisateur de notre site web, comme c’est le cas aujourd’hui pour toute plateforme moderne. Nous nous sommes donc appuyés sur le générateur de protection des données développé par Steiger Legal, le cabinet d’avocats de l’avocat Martin Steiger, qui génère une telle déclaration de protection des données pour une somme modique. D’une part, cette procédure nous permet de nous assurer qu’aucun traitement de données n’a été oublié et que nos utilisateurs sont pleinement informés de ce qu’il advient de leurs données. D’autre part, l’élaboration d’un tel document au niveau de précision requis n’est tout simplement pas réaliste pour les non-juristes.
D’ailleurs : en Suisse, selon l’estimation de juristes renommés, les cookies sont toujours nécessaires. aucune bannière de cookie n’est nécessaire. Celles-ci ne restent obligatoires que si l’on doit se conformer à la législation européenne en matière de télécommunications ou si l’on souhaite proposer des choix volontaires. Etant donné que stiftungschweiz.ch est orienté vers le marché suisse et qu’il procède déjà à une évaluation minutieuse dans sa charte des données, nous nous plaçons du point de vue que cela n’est pas nécessaire pour nous.
Checkpoint protection des données : où en êtes-vous ?
La préparation minutieuse de StiftungSchweiz aux nouvelles dispositions en matière de protection des données montre clairement que nous ne considérons pas la protection des données comme une corvée, mais comme une chance. Nous sommes prêts à améliorer en permanence nos pratiques en matière de protection des données et à construire ainsi une base de confiance pour notre organisation et nos parties prenantes.
De même, nous sommes prêts à partager les connaissances que nous avons accumulées sur la protection des données et les mesures nécessaires avec des organisations à but non lucratif. Notre nouveauservice « Checkpoint protection des données ». vous aide à identifier les éventuels besoins d’action et à prendre les mesures les plus importantes. Nous vous aidons à élaborer votre politique de protection des données ainsi qu’à dresser l’inventaire des traitements de données et vous facilitons le démarrage grâce à des modèles. Nous sommes très exigeants envers ces modèles, car nous les utilisons aussi pour nous-mêmes. Nous vous soutenons également volontiers pour l’élaboration de vos documents de formation.
Et notre conclusion ? En une phrase : le processus a été exigeant, mais instructif et très stimulant. Nous avons beaucoup appris et nous savons que nous continuerons à apprendre beaucoup en identifiant les points faibles à l’avenir et en optimisant notre protection des données. Nous nous sommes rendu compte que nous avions mis en place une protection des données solide, mais que nous avions encore un grand potentiel d’amélioration. Par exemple, nous voulons avoir tendance à réduire le nombre d’outils utilisés plutôt que d’en ajouter continuellement – tout en améliorant continuellement l’expérience utilisateur. C’est presque la quadrature du cercle. Des formations régulières sont d’ailleurs indispensables pour sensibiliser les collaborateurs aux questions de protection des données, les maintenir à jour et en faire des complices qui, à leur tour, identifient les potentiels d’amélioration et les proposent de manière autonome. En effet, la protection des données ne peut être efficace que si elle est vécue activement. Les données sont un bien précieux que nous voulons protéger à StiftungSchweiz – et ce, indépendamment des dispositions légales que nous voulons bien sûr respecter. En travaillant continuellement à l’amélioration de notre protection des données, nous créons en même temps la confiance de nos clients, partenaires et utilisateurs. Car c’est ce qui fait vivre un portail en ligne comme stiftungschweiz.ch.
