De quoi il est question: la protection des données du futur

Avec la numérisation, non seulement la quantité de données augmente, mais les possibilités technologiques permettant l’analyse et le traitement des données disponibles, comme le Big Data, l’apprentissage automatique et l’intelligence artificielle, se font également de plus en plus nombreuses. La nouvelle loi fédérale sur la protection des données, adoptée à l’automne 2020 par le Parlement, tient compte de ces évolutions. Elle remplace une loi qui remonte à 1992, une époque où l’Internet n’en était alors qu’à ses balbutiements. «La nouvelle loi sur la protection des données intervient désormais partout où des données personnelles sont traitées. Pour une banque dont l’activité est basée sur les données et pilotée par l’informatique, cette loi a un impact significatif dans de nombreux secteurs», confie Jürg Frei, qui dirige chez PostFinance le projet cadre sur la protection des données. Les points centraux de la nouvelle loi sur la protection des données sont notamment les suivants:

• Seules les données des personnes physiques sont protégées
• Les obligations d’information des personnes concernées sont plus complètes
• Les données additionnelles, comme par exemple les données génétiques ou biométriques, qui peuvent permettre d’identifier une personne de manière unique, sont considérées comme particulièrement sensibles
• Les entreprises de plus de 250 collaborateurs doivent tenir un relevé de tous les traitements de données effectués
• Le traitement des données doit être organisé et mis en œuvre de telle manière que les prescriptions en matière de protection des données soient respectées (principe «Privacy by Design»)
• Il existe désormais un droit à la portabilité des données: chaque personne peut exiger que la transmission de ses données personnelles soit effectuée dans un format électronique courant
• Des sanctions claires sont définies

Quelles solutions sont requises pour une protection des données du futur: les défis

Pour PostFinance, le traitement consciencieux des données personnelles est un engagement qu’elle a toujours honoré. Par le passé, l’établissement financier avait tendance à établir des solutions pour chaque situation spécifique mais, avec la nouvelle loi sur la protection des données, ses actions s’inscrivent désormais dans une vision globale. «Aujourd’hui, les données ne se situent plus simplement dans un réservoir de données cloisonné, mais elles circulent par exemple d’une application à une autre ou bien peuvent encore être étoffées au passage. Nous tenons compte de cette situation en adoptant vis-à-vis de cette thématique une approche globale», explique Jürg Frei. Selon lui, une des étapes consiste donc en la création et la gestion d’un relevé interne, conformément à ce qu’exige la loi, et répertoriant tous les traitements de données effectués, ce qui permet une gestion interne en toute transparence. Ce relevé constitue à son tour la base pour la création d’une déclaration de protection des données, qui permet ainsi de pouvoir faire preuve de transparence à l’externe.

Comment PostFinance se prépare: un projet d’envergure pour la protection des données du futur

PostFinance se prépare à l’entrée en vigueur de la nouvelle loi sur la protection des données au moyen d’un projet d’envergure en matière de protection des données et définit et hiérarchise les mesures à appliquer dans le cadre de ce projet. Selon Jürg Frei, une distinction fondamentale doit être faite entre les exigences de la protection des données et celles de la sécurité des données: en effet, la protection des données permet de protéger le droit de la personnalité, notamment au niveau juridique. Pourtant, cela ne peut avoir lieu sans sécurité des données. Cela définit la manière dont les données sont traitées au sein des organisations. Stephan Zimmermann, responsable Customer Security chez PostFinance, unité qui s’occupe notamment de thématiques comme la sécurité en ligne, la sécurité de la monnaie plastique et la lutte contre la fraude, déclare: «En matière de protection des données, le plus important est de faire preuve de transparence vis-à-vis des clients: non seulement nous avons le devoir de les informer des finalités pour lesquelles les données sont collectées et utilisées, mais ceux-ci doivent également avoir la possibilité dans certains cas par exemple de refuser la collecte de données par une entreprise, car celles-ci ne lui sont pas pertinentes.» Selon Stephan Zimmermann, la sécurité des données consiste quant à elle à définir comment une entreprise garantit cette sécurité tout au long du cycle de vie des données, de leur collecte à leur suppression définitive. Il s’agit également de s’assurer qu’aucune personne non autorisée ne puisse avoir accès aux données.

Ce qu’exige concrètement la nouvelle protection des données: trois exemples

Pourquoi la nouvelle protection des données est importante pour tous: la sensibilisation

Les collaborateurs représentent l’une des pièces maîtresses dans la mise en œuvre de la protection des données. «La protection des données doit être inscrite dans l’ADN de chacun d’entre nous», souligne Jürg Frei. «Les collaborateurs doivent comprendre la protection des données jusque dans ses fondements, savoir ce qui peut être fait et ce qui ne doit pas être fait, mais aussi être en mesure de reconnaître et de signaler une situation délicate. Il en va de même, en fait, que pour le secret bancaire.» C’est pourquoi PostFinance a lancé une vaste campagne de communication, comportant des vidéos explicatives sur les parties pertinentes de la loi sur la protection des données. Pour aller encore plus loin, le déroulement de formations plus approfondies et adaptées à chaque échelon est également prévu.

Ce qu’induit la nouvelle loi sur la protection des données: les conséquences

Selon Jürg Frei, la nouvelle loi sur la protection des données permettra d’améliorer de manière significative la transparence en matière de traitement des données personnelles. Cela aidera également les clients à prendre conscience des avantages que les nouvelles possibilités technologiques peuvent leur offrir. Il appartient évidemment aussi à PostFinance de cultiver la valeur ajoutée. Par exemple, des offres spécifiquement adaptées au client pourraient lui être proposées à l’avenir, sans que celui-ci doive crouler sous une avalanche de publicités. Jürg Frei ne voit aucun danger à ce que la nouvelle loi sur la protection des données vienne fondamentalement restreindre l’utilisation de technologies comme le Big Data, l’intelligence artificielle ou l’apprentissage automatique. «Nous entrons tout simplement dans une époque où les données sont traitées de manière plus consciencieuse. La loi sur la protection des données n’empêche pas leur traitement. Elle exige simplement que ce traitement soit fait dans le respect de certaines normes, c’est-à-dire avec la transparence nécessaire.» L’importance que PostFinance attache au traitement des données est reflétée par l’ampleur de ce projet cadre et par la place centrale que celui-ci tient au sein de l’entreprise.