De quoi il est question: la protection des données du futur

Avec la numérisation, non seulement la quantité de données augmente, mais les possibilités technologiques permettant l’analyse et le traitement des données disponibles, comme le Big Data, l’apprentissage automatique et l’intelligence artificielle, se font également de plus en plus nombreuses. La nouvelle loi fédérale sur la protection des données, adoptée à l’automne 2020 par le Parlement, tient compte de ces évolutions. Elle remplace une loi qui remonte à 1992, une époque où l’Internet n’en était alors qu’à ses balbutiements. «La nouvelle loi sur la protection des données intervient désormais partout où des données personnelles sont traitées. Pour une banque dont l’activité est basée sur les données et pilotée par l’informatique, cette loi a un impact significatif dans de nombreux secteurs», confie Jürg Frei, qui dirige chez PostFinance le projet cadre sur la protection des données. Les points centraux de la nouvelle loi sur la protection des données sont notamment les suivants:

• La nouvelle loi fédérale sur la protection des données porte désormais uniquement sur la protection des personnes physiques et s’aligne donc sur les normes internationales, pertinentes.
• Le devoir d’informer les personnes concernées est largement étendu et inclut des exigences minimales.
• Davantage de données personnelles sont considérées comme des données sensibles: c’est notamment le cas des données génétiques et des données biométriques identifiant une personne physique de manière univoque.
• Toute entreprise comptant au moins 250 collaborateurs doit tenir un registre des activités de traitement.
• Le traitement de données personnelles doit être planifié et mis en œuvre de sorte qu’il puisse être effectué conformément aux dispositions de la protection des données dès la conception (privacy by design).
• Un droit à la transmissibilité des données est instauré: toute personne peut demander à ce que ses données personnelles lui soient remises sous un format électronique couramment utilisé.
• Des sanctions claires sont définies. Ces sanctions prévoient d’engager la responsabilité pénale individuelle des responsables de traitement. Il faut considérer que ce sont avant tout les organes de direction tels que les membres du Conseil d’administration ou du comité directeur qui pourraient être concernés, voire le conseiller à la protection des données (nouveau nom du responsable de la protection des données) en cas d’agissement inapproprié.

Ce qu’implique la protection des données du futur: les défis

Pour PostFinance, le traitement consciencieux des données personnelles est un engagement qu’elle a toujours honoré. Par le passé, l’établissement financier avait tendance à établir des solutions pour chaque situation spécifique mais, avec la nouvelle loi sur la protection des données, ses actions s’inscrivent désormais dans une vision globale. «Aujourd’hui, les données ne se situent plus simplement dans un réservoir de données cloisonné, facile à contrôler, mais elles circulent d’une application à une autre, peuvent encore être étoffées au passage et tenues à disposition pour être traitées ultérieurement. Nous tenons compte de cette situation en adoptant vis-à-vis de cette thématique une approche globale», explique Jürg Frei. Selon lui, l’une des étapes consiste donc à créer et à gérer le registre des traitements exigé par la loi, qui répertorie tous les traitements de données personnelles effectués. La transparence interne ainsi créée sert notamment de base pour l’élaboration de déclarations de protection des données, qui permettent de pouvoir faire preuve de transparence à l’externe.

Comment PostFinance se prépare: un projet d’envergure pour la protection des données du futur

PostFinance se prépare à l’entrée en vigueur de la nouvelle loi sur la protection des données au moyen d’un projet d’envergure en matière de protection des données et définit et hiérarchise les mesures à appliquer dans le cadre de ce projet. Selon Jürg Frei, une distinction fondamentale doit être faite entre les exigences de la protection des données et celles de la sécurité des données: en effet, la protection des données permet de protéger le droit de la personnalité, notamment au niveau juridique. Pourtant, cela ne peut avoir lieu sans sécurité des données. Cela définit la manière dont les données sont traitées au sein des organisations. Stephan Zimmermann, responsable Customer Security chez PostFinance, unité qui s’occupe notamment de thématiques comme la sécurité en ligne, la sécurité de la monnaie plastique et la lutte contre la fraude, déclare: «En matière de protection des données, le plus important est de faire preuve de transparence vis-à-vis des clients: non seulement nous avons le devoir de les informer des finalités pour lesquelles les données sont collectées et utilisées, mais ceux-ci doivent également avoir la possibilité dans certains cas par exemple de refuser la collecte de données par une entreprise, car celles-ci ne lui sont pas pertinentes.» Selon Stephan Zimmermann, la sécurité des données consiste quant à elle à garantir la confidentialité, l’intégrité et la disponibilité des données et ce, tout au long de leur cycle de vie, soit de leur collecte à leur effacement. Il s’agit également de s’assurer qu’aucune personne non autorisée ne puisse avoir accès aux données ou qu’aucune donnée ne soit perdue en cas de défaillance du système. 

Ce qu’exige concrètement la nouvelle protection des données: trois exemples

Pourquoi la nouvelle protection des données est importante pour tous: la sensibilisation

Les collaborateurs représentent l’une des pièces maîtresses dans la mise en œuvre de la protection des données. «La protection des données doit être inscrite dans l’ADN de chacun d’entre nous», souligne Jürg Frei. «Les collaborateurs doivent comprendre la protection des données jusque dans ses fondements, savoir ce qui peut être fait et ce qui ne doit pas être fait, mais aussi être en mesure de reconnaître et de signaler une situation délicate. Il en va de même, en fait, que pour le secret bancaire.» C’est pourquoi PostFinance a lancé une vaste campagne de communication, comportant des vidéos explicatives sur les parties pertinentes de la loi sur la protection des données. Pour aller encore plus loin, le déroulement de formations plus approfondies et adaptées à chaque échelon est également prévu.

Ce qu’induit la nouvelle loi sur la protection des données: les conséquences

Selon Jürg Frei, la nouvelle loi sur la protection des données permettra d’améliorer de manière significative la transparence en matière de traitement des données personnelles. Cela aidera également les clients à prendre conscience des avantages que les nouvelles possibilités technologiques peuvent leur offrir. Il appartient évidemment aussi à PostFinance de cultiver la valeur ajoutée. Par exemple, des offres spécifiquement adaptées au client pourraient lui être proposées à l’avenir, sans que celui-ci doive crouler sous une avalanche de publicités. Jürg Frei ne voit aucun danger à ce que la nouvelle loi sur la protection des données vienne fondamentalement restreindre l’utilisation de technologies comme le Big Data, l’intelligence artificielle ou l’apprentissage automatique. «Nous entrons tout simplement dans une époque où les données sont traitées de manière plus consciencieuse. La loi fédérale sur la protection des données n’empêche pas le traitement des données personnelles. Elle exige simplement que ce traitement soit fait dans le respect des normes, soit avec la transparence et la diligencerequises.» L’importance que PostFinance attache au traitement des données est reflétée par l’ampleur de ce projet cadre et par la place centrale que celui-ci tient au sein de l’entreprise.