Protection des données
Recommandations
- Lors de l’élaboration du règlement, il convient de respecter des spécifications et des exigences suffisamment précises pour que la protection des données puisse être mise en œuvre par des mesures efficaces.
- Encouragement de l’harmonisation intercantonale de la protection des données.
- Mise en place par la Confédération de programmes de recherche dans le domaine du contrôle systématique et de la traçabilité du traitement et des flux de données (p. ex. via le FNS).
- Définition et maintien continu de normes minimales et de bonnes pratiques en matière d’anonymisation et de pseudonymisation par le Préposé fédéral à la protection des données et à la transparence (PFPDT).
Etat des lieux
La numérisation croissante engendre une production toujours plus importante de données qui peuvent notamment faire l’objet d’attaques ciblées menées à des fins criminelles. La protection de la personnalité étant au cœur de la protection des données, cette dernière revêt une importance de plus en plus grande. Cybersécurité et protection des données vont de pair. En l’absence de mesures adéquates, il est possible pour des personnes non autorisées de pénétrer dans les systèmes et d’accéder aux données. Leur protection n’est ainsi plus garantie. Il est donc crucial de considérer la cybersécurité comme composant à part entière de la protection des données.
La législation suivante s’applique aux entreprises suisses actives dans le traitement de données:
- Nouvelle loi suisse sur la protection des données (LPD): la LPD entièrement révisée est actuellement débattue à l’Assemblée fédérale. L’entrée en vigueur de la loi est attendue pour 2021. La loi suisse actuelle sur la protection des données est en vigueur depuis 1992. Une révision totale est devenue nécessaire. D’une part, afin de l’adapter aux méthodes modernes de traitement des données. D’autre part, le règlement général sur la protection des données RGPD est en vigueur en Europe depuis mai 2018 et la loi suisse devra s’y aligner: la Suisse s’efforce de mettre en place une législation équivalente et comparable en matière de protection des données.
- Règlement général de l’UE sur la protection des données (RGPD): il définit l’obligation de diligence en matière de traitement des données et concerne les entreprises suisses si elles offrent des biens ou des services dans l’Espace économique européen (EEE).
Actuellement, les réglementations en matière de protection des données connaissent de grands bouleversements dans le monde entier. De nombreux pays suivent soit une approche comparable à la RGPD, soit une approche basée sur la législation américaine qui se concentre sur la sécurité informatique.
Défis
Accorder aux personnes concernées un contrôle et un accès partiels à leurs propres données à caractère personnel est un problème qu’il est possible de résoudre. Il est plus difficile de contrôler le flux de données, leur traitement et le maintien d’une limitation implicite ou explicite de l’utilisation des données après leur diffusion. Il convient de s’assurer que les flux de données et la manipulation des données peuvent être analysés rétrospectivement et que les responsabilités sont traçables et non manipulables. En ce sens, l’objectif est de permettre aux personnes concernées d’avoir un certain contrôle sur leurs propres données à caractère personnel.
Aujourd’hui, le contrôle et la traçabilité systématiques des flux de données et du traitement des données à caractère personnel au sein de plusieurs organisations ou stations ne sont, au mieux, que partiellement résolus.
L’anonymisation et la pseudonymisation des données à caractère personnel ne sont pas aisées et les méthodes connues n’assurent pas toujours une protection suffisante de la confidentialité ou de l’intégrité des données.
Nécessité d’agir
Les organisations traitant des données devraient exploiter un système de gestion de la protection des données (SGPD) approprié et systématique – en tant que base organisationnelle structurelle et procédurale pour la mise en œuvre de la protection des données. Dans la pratique, la mise en œuvre des mesures de sécurité fondamentales n’est souvent effectuée que de manière incomplète ou inefficace.
Le contrôle systématique et la traçabilité du traitement des données et des flux de données nécessitent des travaux de recherche et de développement supplémentaires.
Afin de répondre de manière durable aux exigences légales en matière de protection des données (Suisse et UE), il est nécessaire de définir des normes minimales et des bonnes pratiques en matière d’anonymisation et de pseudonymisation, et de les adapter en permanence au développement de méthodes et de solutions d’analyse.