Photo: Lianhao Qu, Unsplash

Comment gérer correc­te­ment les données?

La sécurité et la protection des données sont deux concepts qui vont de pair. Même les organismes à but non lucratif ne peuvent ignorer ces questions: quels sont les défis existants et sur quels éléments faut-il se montrer vigilant?

La numé­ri­sa­tion a simpli­fié le trai­te­ment des données à certains égards. Mais elle comporte aussi de nouveaux risques. Dans l’étude de Horak/Baumüller parue en 2018 (enquête du Control­ler-Insti­tut autri­chien), 88 pour cent des insti­tu­ti­ons inter­ro­gées ont cité «le renfor­ce­ment des exigen­ces en matière de sécu­rité des données» comme le princi­pal incon­vé­ni­ent attendu de la numérisation.

Sécu­rité des données

La sécu­rité des données a pour objec­tif tech­ni­que de proté­ger les données de toute nature contre la perte, le vol, la mani­pu­la­tion et autres menaces dans une mesure suffi­sante. C’est la direc­tion d’une entre­prise qui est respons­able de la sécu­rité des données. Le contrôle relève de la responsa­bi­lité de la direc­tion stra­té­gique. Des mesu­res orga­ni­sa­ti­on­nel­les et tech­ni­ques appro­priées doiv­ent être prises. 

Proté­gez vos données en adop­tant les mesu­res suivantes:

  1. Instal­lez un contrôle d’accès adéquat à vos locaux et en parti­cu­lier à l’infrastructure infor­ma­tique ainsi que des restric­tions d’accès aux données
  2. Utili­sez des mots de passe suffi­sam­ment comple­xes ou une authen­ti­fi­ca­tion multiple
  3. Utili­sez des droits d’utilisateur rest­reints de sorte que, par exemple, les fichiers système ne puis­sent pas être modifiés
  4. Mettez à jour vos logiciels
  5. Désin­stal­lez les logi­ciels obsolè­tes, dange­reux et inutilisés
  6. Créez des sauvegar­des sur un support de stockage séparé, dans un deuxi­ème centre de données avec mise en miroir redondante ou en utili­sant des solu­ti­ons de cloud computing.
  7. Instal­lez un antivirus
  8. Instal­lez un pare-feu
  9. Désac­ti­vez les conte­nus actifs
  10. Cryp­ter les données sensi­bles, notam­ment en cas de trans­mis­sion de données

Toutes ces mesu­res ne seront toute­fois d’aucune utilité si les employés font preuve d’insouciance. La sensi­bi­li­sa­tion et les compé­ten­ces des employés à ce sujet doiv­ent donc être une prio­rité abso­lue. Outre des mesu­res tech­ni­ques, un système de sécu­rité effi­cace envi­sage égale­ment des mesu­res d’organisation et de personnel.

Protec­tion des données

L’année dernière, l’UE a adapté la base juri­di­que du trai­te­ment des données. En effet, le 25 mai 2018, le nouveau Règle­ment géné­ral sur la protec­tion des données (RGPD) est entré en vigueur dans l’UE. Il est contrai­gnant dans tous les pays de l’UE/EEE et établit de nouvel­les normes dans le domaine de la protec­tion et de la sécu­rité des données. Le Parle­ment suisse examine actu­el­lement le projet qui a pour but de révi­ser entiè­re­ment la loi sur la protec­tion des données. Ce projet de loi se fonde sur les normes euro­péen­nes. À l’avenir, les orga­ni­sa­ti­ons à but non lucra­tif suis­ses seront égale­ment confron­tées à des exigen­ces accrues en matière d’information, de docu­men­ta­tion ou d’obligations éten­dues en matière d’information et de rapports, asso­ciées à des sanc­tions puni­ti­ves sévères.

Les orga­ni­sa­ti­ons à but non lucra­tif trai­tent des données person­nel­les, qu’elles provi­en­nent de dona­teurs, de mécè­nes, d’employés ou de person­nes de contact d’organisations parten­aires. Tout trai­te­ment, tel que la collecte, la trans­mis­sion ou le stockage de données person­nel­les, telles que le nom et l’adresse, est protégé par la loi sur la protec­tion des données. Il suffit qu’une personne physi­que soit iden­ti­fia­ble. Des exigen­ces parti­cu­liè­res s’appliquent aux données à carac­tère person­nel parti­cu­liè­re­ment sensi­bles telles que les infor­ma­ti­ons sur les opini­ons poli­ti­ques, la santé, la protec­tion sociale ou l’orientation sexu­elle. Pour que ces données soient trai­tées lici­te­ment, des exigen­ces supplé­men­taires en matière d’information de la personne concer­née s’appliquent. Dans certai­nes circon­stan­ces, le consen­te­ment doit être obtenu.

Par le paiement d’un don, la parti­ci­pa­tion à un événe­ment ou l’inscription à un bulle­tin d’information, la personne ne donne aucun consen­te­ment géné­ral pour pouvoir utili­ser ses données à d’autres fins.

Que le RGPD s’applique ou non en plus du droit suisse, il est néces­saire d’agir au sein des orga­ni­sa­ti­ons à but non lucratif.

Vous devriez considé­rer les points suiv­ants comme des mesu­res immédiates:

  1. Défi­nir les responsabilités
    • Iden­ti­fier les gesti­onn­aires de projet
    • Libé­rer des ressources
    • Assu­rer une assi­stance interne et externe
    • Étab­lir des rapports
  2. Obtenir une vue d’ensemble et fixer des priorités
    • Docu­men­ter l’existence et le trai­te­ment des données à carac­tère person­nel, notam­ment au moyen d’un réper­toire de procédures
    • Évaluer les risques
    • Prendre et docu­men­ter les mesu­res tech­ni­ques et orga­ni­sa­ti­on­nel­les en matière d’informatique
    • Élabo­rer d’autres mesu­res et défi­nir des priorités
  3. Mettre en place des processus
    • Signa­ler les inci­dents liés à la protec­tion des données
    • Droits des person­nes concer­nées (deman­des d’information, de recti­fi­ca­tion et de suppression)
    • Instau­rer des nouveaux systè­mes IT et évalua­tions des facteurs rela­tifs à la vie privée

Votre adresse e-mail ne sera pas publiée.

StiftungSchweiz encourage une philanthropie qui atteint plus avec moins de moyens, qui est visible et perceptible par tous, et qui apporte de la joie.

Suivez StiftungSchweiz sur

The Philanthropist par abonnement
Profitez-en maintenant !