Comment gérer correc­te­ment les données?

La numé­ri­sa­tion a simpli­fié le trai­te­ment des données à certa­ins égards. Mais elle comporte aussi de nouveaux risques. Dans l’étude de Horak/Baumüller parue en 2018 (enquête du Control­ler-Insti­tut autri­chien), 88 pour cent des insti­tu­ti­ons inter­ro­gées ont cité «le renforce­ment des exigen­ces en matière de sécu­rité des données» comme le prin­ci­pal incon­vé­ni­ent attendu de la numérisation.

Sécu­rité des données

La sécu­rité des données a pour objec­tif tech­ni­que de proté­ger les données de toute nature contre la perte, le vol, la mani­pu­la­tion et autres menaces dans une mesure suffi­sante. C’est la direc­tion d’une entre­prise qui est responsable de la sécu­rité des données. Le contrôle relève de la responsa­bi­lité de la direc­tion stra­té­gique. Des mesu­res orga­ni­sa­ti­on­nel­les et tech­ni­ques appro­priées doivent être prises. 

Proté­gez vos données en adop­tant les mesu­res suivantes:

1. Instal­lez un contrôle d’accès adéquat à vos locaux et en parti­cu­lier à l’infrastructure infor­ma­tique ainsi que des rest­ric­tions d’accès aux données
2. Utili­sez des mots de passe suffi­sam­ment comple­xes ou une authen­ti­fi­ca­tion multiple
3. Utili­sez des droits d’utilisateur rest­reints de sorte que, par exemple, les fichiers système ne puis­sent pas être modifiés
4. Mettez à jour vos logiciels
5. Désin­stal­lez les logi­ciels obsolè­tes, dange­reux et inutilisés
6. Créez des sauvegar­des sur un support de stockage séparé, dans un deuxième centre de données avec mise en miroir redond­ante ou en utili­sant des solu­ti­ons de cloud computing.
7. Instal­lez un antivirus
8. Instal­lez un pare-feu
9. Désac­ti­vez les conte­nus actifs
10. Cryp­ter les données sensi­bles, notam­ment en cas de trans­mis­sion de données

Toutes ces mesu­res ne seront toute­fois d’aucune utilité si les employés font preuve d’insouciance. La sensi­bi­li­sa­tion et les compé­ten­ces des employés à ce sujet doivent donc être une prio­rité abso­lue. Outre des mesu­res tech­ni­ques, un système de sécu­rité effi­cace envi­sage égale­ment des mesu­res d’organisation et de personnel.

Protec­tion des données

L’année dernière, l’UE a adapté la base juri­di­que du trai­te­ment des données. En effet, le 25 mai 2018, le nouveau Règle­ment géné­ral sur la protec­tion des données (RGPD) est entré en vigueur dans l’UE. Il est contraignant dans tous les pays de l’UE/EEE et établit de nouvel­les normes dans le domaine de la protec­tion et de la sécu­rité des données. Le Parle­ment suisse examine actu­el­le­ment le projet qui a pour but de révi­ser entiè­re­ment la loi sur la protec­tion des données. Ce projet de loi se fonde sur les normes euro­pé­en­nes. À l’avenir, les orga­ni­sa­ti­ons à but non lucra­tif suis­ses seront égale­ment confron­tées à des exigen­ces accrues en matière d’information, de docu­men­ta­tion ou d’obligations éten­dues en matière d’information et de rapports, asso­ciées à des sanc­tions puni­ti­ves sévères.

Les orga­ni­sa­ti­ons à but non lucra­tif trai­tent des données person­nel­les, qu’elles provi­en­nent de dona­teurs, de mécè­nes, d’employés ou de person­nes de cont­act d’organisations parten­aires. Tout trai­te­ment, tel que la coll­ecte, la trans­mis­sion ou le stockage de données person­nel­les, telles que le nom et l’adresse, est protégé par la loi sur la protec­tion des données. Il suffit qu’une personne physi­que soit iden­ti­fia­ble. Des exigen­ces parti­cu­liè­res s’appliquent aux données à carac­tère person­nel parti­cu­liè­re­ment sensi­bles telles que les infor­ma­ti­ons sur les opini­ons poli­ti­ques, la santé, la protec­tion sociale ou l’orientation sexu­elle. Pour que ces données soient trai­tées lici­te­ment, des exigen­ces supp­lé­men­tai­res en matière d’information de la personne concer­née s’appliquent. Dans certai­nes circon­s­tances, le consen­te­ment doit être obtenu.

Par le paiement d’un don, la parti­ci­pa­tion à un événe­ment ou l’inscription à un bulle­tin d’information, la personne ne donne aucun consen­te­ment géné­ral pour pouvoir utili­ser ses données à d’autres fins.

Que le RGPD s’applique ou non en plus du droit suisse, il est néces­saire d’agir au sein des orga­ni­sa­ti­ons à but non lucratif.

Vous devriez considé­rer les points suivants comme des mesu­res immédiates:

1. Défi­nir les responsabilités
   • Iden­ti­fier les gesti­on­n­aires de projet
   • Libé­rer des ressources
   • Assurer une assis­tance interne et externe
   • Étab­lir des rapports
     
2. Obte­nir une vue d’ensemble et fixer des priorités
   • Docu­men­ter l’existence et le trai­te­ment des données à carac­tère person­nel, notam­ment au moyen d’un réper­toire de procédures
   • Évaluer les risques
   • Prendre et docu­men­ter les mesu­res tech­ni­ques et orga­ni­sa­ti­on­nel­les en matière d’informatique
   • Élabo­rer d’autres mesu­res et défi­nir des priorités
     
3. Mettre en place des processus
   • Signaler les inci­dents liés à la protec­tion des données
   • Droits des person­nes concer­nées (deman­des d’information, de recti­fi­ca­tion et de suppression)
   • Instau­rer des nouveaux systè­mes IT et évalua­tions des facteurs rela­tifs à la vie privée