À mesure que la numérisation se généralise, les données produites sont toujours plus nombreuses et peuvent notamment être utilisées à des fins criminelles, avec par exemple des attaques informatiques ciblées. Aussi, la protection des données revêt une importance toujours plus marquée. La confidentialité des données a pour aspect central la protection de la personnalité, tandis que la protection des données est le moyen utilisé pour y parvenir.
La cybersécurité et la confidentialité des données vont de pair. Sans la mise en place de mesures de sécurité adaptées, des intrus peuvent par exemple s’introduire dans des systèmes informatiques et accéder aux informations, de telle sorte que leur confidentialité n’est plus assurée. Il est donc essentiel d’appréhender la cybersécurité comme un élément de la confidentialité des données.
En Suisse, le traitement des données est régi par la législation suivante :
Nouvelle loi suisse sur la protection des données (nLPD) : adoptée par le Conseil national et le Conseil des États au cours de la session d’automne 2020, la révision complète de la LPD a été promulguée en septembre 2023 (la LPD précédente était en vigueur depuis 1992). Cette révision complète s’imposait, d’une part pour adapter la loi aux méthodes modernes de traitement des données et d’autre part, pour aligner la législation suisse sur le règlement européen en vigueur depuis mai 2018, le RGPD : la Suisse dispose désormais d’une législation équivalente et comparable en matière de confidentialité des données.
Règlement général sur la protection des données de l’UE (RGPD) : le RGPD définit les exigences relatives au traitement des données. Il concerne les entreprises suisses dès lors qu’elles offrent des biens ou des services dans l’espace économique européen (EEE).
Les règlementations en matière de confidentialité des données connaissent de profondes évolutions partout dans le monde. Un grand nombre de pays adoptent une approche qui est soit comparable à celle du RGPD, soit inspirée par la législation aux Etats-Unis, plus axée sur la cybersécurité.
La confidentialité des données recouvre trois aspects majeurs : assurer la confidentialité, l’intégrité et la disponibilité. Le respect de la confidentialité des données vise donc à permettre le contrôle partiel et l’accès des personnes concernées à leurs propres données à caractère personnel tout en protégeant ces dernières contre un accès non autorisé (confidentialité) ou contre une modification non intentionnelle (intégrité). Parallèlement, il faut également veiller à ce que les personnes autorisées puissent accéder aux données lorsqu’elles en ont besoin (disponibilité).
Respecter ces trois éléments centraux de la confidentialité des données constitue en soi un défi pour de nombreuses entreprises. La difficulté principale réside toutefois dans le contrôle des flux de données, dans le traitement des informations ainsi que dans le respect de la finalité, implicite ou explicite, de leur utilisation après qu’elles ont été partagées. Il est donc essentiel que les flux de données et les manipulations puissent faire l’objet d’une analyse a posteriori et que les responsabilités soient définies de manière claire et inaltérable. Sur le plan technique, il reste impossible aujourd’hui d’assurer pleinement la traçabilité et le contrôle systématiques des flux de données et le traitement des données personnelles dès lors que plusieurs bureaux ou entités sont impliqués.
Lorsque sont utilisées des données qui, en vertu de la loi, ne peuvent l’être qu’à la condition de ne pas être directement attribuables, il y a lieu de les anonymiser ou pseudonymiser. Ces techniques permettant de masquer des données à caractère personnel sont toutefois loin d’être triviales et les méthodes les plus répandues n’offrent pas toujours une protection suffisante en termes de confidentialité ou d’intégrité des informations.
Il existe certes des bases légales régissant l’utilisation des données, mais une mise en œuvre efficace et efficiente constitue un véritable défi. Une gestion inadéquate des informations a des répercussions fâcheuses à l’arrivée de toute nouvelle technologie ou bien lorsque la règlementation ou les exigences évoluent, par exemple avec des applications d’intelligence artificielle ou dans le cadre de nouveaux référentiels de cybersécurité notamment. Il est donc utile d’appuyer la mise en œuvre de la confidentialité des données sur une base appropriée et fondée sur le risque.
Ce principe vaut pour tous les secteurs et toutes les entreprises, quelle que soit leur taille. Les organisations qui traitent des données ont donc tout intérêt à opérer un système approprié et cohérent de sécurité de l’information et de protection des données (ISMS & DSMS), qui permettra d’organiser et de structurer la mise en application des exigences liées à la confidentialité des données.
Le contrôle et la traçabilité systématiques des traitements et des flux de données nécessitent des travaux de recherche et de développement complémentaires.
Afin de répondre durablement aux exigences légales en matière de protection des données (Suisse et UE), il y a lieu de définir des normes minimales et des « bonnes pratiques » en matière d’anonymisation et de pseudonymisation et de les ajuster à mesure que les méthodes et les solutions d’analyse évoluent.
Une harmonisation intercantonale en matière de confidentialité des données est souhaitable.
L’objectif serait que la Confédération mette des programmes de recherche en place (p. ex. via FNS) dans le domaine du contrôle systématique et de la traçabilité du traitement de données.
Les organisations qui traitent des données doivent implémenter et opérer la mise en œuvre des exigences liées à leur confidentialité sur une base appropriée et fondée sur le risque grâce à un système adapté et cohérent de sécurité de l’information et de protection des données (ISMS & DSMS).
Définition et ajustements continus de normes minimales et de « bonnes pratiques » en matière d’anonymisation et de pseudonymisation par le Préposé fédéral à la protection des données et à la transparence (PFPDT).
LPD (Suisse) : https://www.admin.ch/opc/de/classified-compilation/19920153/index.html
OLPD (Suisse) : https://www.admin.ch/opc/de/classified-compilation/19930159/index.html
OCPD (Suisse) : https://www.admin.ch/opc/de/classified-compilation/20071826/index.html
Délégué à la protection des données (canton de Zurich) : http://dsb.zh.ch
PFPDT (Suisse) : https://www.edoeb.admin.ch/edoeb/de/home.html
RGPD : https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:02016R0679-20160504
Anonymisation et pseudonymisation : quand les méthodes habituelles d’anonymisation des données échouent (en allemand uniquement) : http://www.heise.de/-4624450
Anonymisation des données : un bilan désastreux (en allemand uniquement) : http://www.heise.de/-4479968
Umberto Annino, Microsoft | Matthias Bossardt, KPMG | Martin Leuthold, Switch | Andreas Wespi, IBM Research
Endre Bangerter, HESB | Alain Beuchat, Banque Lombard Odier & Cie SA | | Daniel Caduff, AWS | Adolf Doerig, Doerig & Partner | Stefan Frei, EPF Zurich | Roger Halbheer, Microsoft | Katja Dörlemann, Switch | Pascal Lamia, BACS | Hannes Lubich, conseil d'administration et conseiller | Luka Malisa, SIX Digital Exchange | Adrian Perrig, EPF Zurich | Raphael Reischuk, Zühlke Engineering AG | Ruedi Rytz, BACS | Riccardo Sibilia, DDPS | Bernhard Tellenbach, armasuisse | Daniel Walther, Swatch Group Services
