Suisse : la conformité au RGPD et à la LPD est un pilier de la stratégie SSI

En Suisse, la première loi fédérale sur la protection des données date de 1992. Depuis 30 ans, se sont généralisés l’usage d’Internet et des smartphones, le recours aux réseaux sociaux, au cloud ou à l’Internet des objets. La LPD, qui entrera en vigueur en septembre prochain, concerne aussi bien les entreprises que les organes fédéraux.

Avant la promulgation de cette loi, il est à noter qu’un nombre significatif de sociétés suisses se sont d’abord mises en conformité avec le RGPD, antérieur et plus exigeant que la LPD. L’une des grandes différences entre cette loi et ce règlement réside en effet dans le montant de l’amende, qui s’élèvera au maximum à 250 000 francs suisses (environ 250 000 euros), en cas d’infraction, alors qu’elle s’élève à 20 millions d’euros ou 4% du chiffre d’affaires dans le cas de manquements les plus graves côté RGPD.

L’autre différence entre la LPD et le RGPD a pour trait l’obligation de tenir un registre des traitements : le Conseil fédéral prévoit des exceptions pour les entreprises qui emploient moins de 250 salariés et dont le traitement des données présente un risque limité d’atteinte à la personnalité des personnes concernées.

Comme l’indique de son côté la Cnil, « le RGPD a rehaussé les exigences en matière de sécurisation des données personnelles, et a ainsi renforcé le rôle des autorités de protection des données auprès de l’ensemble des entreprises et des administrations en matière de cybersécurité ».

Nouvelles mesures

La mise en conformité à la LPD, tout comme au RGPD, impose la mise en place de mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru. Les mesures doivent permettre d’éviter toute violation de la sécurité des données.

Les entreprises devront décrire les mesures visant à garantir la sécurité des données, notamment le contrôle des accès (mots de passe uniques, authentification 2FA, l’accès des tiers…), la formation de tous les collaborateurs, l’utilisation d’antivirus et de pare-feu, la mise à jour des applications et logiciels, la segmentation des réseaux pour éviter la propagation des attaques, l’inventaire des actifs IT, la gestion de l’obsolescence, les processus pour garantir des configurations sécurisées, la limitation des droits des utilisateurs, la détection d’opérations anormales, la journalisation, la surveillance de l’ensemble du périmètre informatique, l’analyse des vulnérabilités, le chiffrage des données en transit et au repos.

En Suisse comme dans l’UE, la conformité à la LPD impose aux entreprises de s’interroger sur la gouvernance de leurs données, leur maturité en matière de cybersécurité et leur responsabilité numérique : quelles données sont collectées pour quelle finalité ? Qui a accès ? Comment protéger les données de mes clients ? Comment éviter que ces données soient transférées, volées, perdues, diffusées ?

A ce titre, les nouvelles lois suisses font l’objet de nombreux débats. Ceux qui sont favorables affirment que des changements de nombreuses pratiques sont nécessaires et urgents : limiter les données collectées, demander le consentement, être plus transparent en cas de violation de données. Les « contre » avancent que la mise en conformité sera un nouveau coût pour les PME : cartographier, documenter, mettre en place des règles, former etc.

Les progrès en matière de protection des données sont le résultat de la loi, qui oblige les acteurs économiques à prendre des mesures mais quand les sanctions sont faibles, comme en Suisse, la loi n’est pas le seul moteur d’amélioration. Les cyberattaques, de plus en plus nombreuses, provoquent des dégâts plus importants que l’amende qui sera infligée en cas d’infraction avérée.

Malgré ses limites, la loi reste un « excellent cadre »

Le respect de la loi n’est pas le premier objectif. La conformité doit servir le business. En effet, la loi est un excellent cadre et permet à l’entreprise d’apprendre, de gagner en maturité, d’identifier les priorités concernant ses propres activités. La transformation numérique a modifié les opérations commerciales, de production, de gestion à grande vitesse, sans que les droits des citoyens ne soient respectés.

Les principes de transparence (quel usage est fait de la donnée ?), de minimisation (ne collecter que le strict nécessaire), de sécurisation (renforcer les moyens pour protéger les données) ont dû être définis, clarifiés, pour que les pratiques soient améliorées.

La LPD a permis de faire un grand pas mais il reste encore beaucoup à faire dans certains secteurs d’activité à risques (traitement de données sensibles). La conformité au RGPD et à la LPD est un pilier indispensable de la sécurité des systèmes d’informations. Elle permet de mobiliser l’ensemble des métiers et des fonctions traitant des données personnelles : ce n’est pas l’unique responsabilité de la direction informatique, des prestataires informatiques et des responsables de sécurité informatique.

Il s’agit d’un travail collectif qui implique tous les collaborateurs traitant les données personnelles utiles aux activités de l’entreprise. La conformité devrait permettre à tous de devenir acteur de la protection des données et systèmes informatiques, et aussi de s’interroger sur la valeur des données et la création de valeur potentielle pour l’entreprise, qui saura développer des services sur la base d’une bonne gestion et une bonne exploitation des données !