Entrée en vigueur le 1er septembre 2023 après de longues années de négociation, la nouvelle loi fédérale sur la protection des données (nLPD) est désormais applicable dans toute la Suisse, un défi pour les entreprises privées et les institutions publiques fédérales. Quels sont pour l’UNIL les enjeux de cette nouvelle loi qui cadre les opportunités offertes par les technologies, dont l’hébergement Cloud ? Pour obtenir un éclairage direct sur la question, nous avons eu le privilège d’un entretien avec le Délégué à la Protection des Données (DPO) de l’UNIL, M. Mikhaël Salamin, et le responsable sécurité du système d’information, M. Yassine Ghennai. Voici une restitution croisée de leurs réponses à nos questions :
Q : Dans quelle mesure est-ce que l’entrée en vigueur de la nouvelle loi fédérale sur la protection des données (nLPD) impacte l’Université de Lausanne ?
D’un point de vue strictement juridique, l’Université de Lausanne n’est pas impactée par cette nouvelle loi (nLPD). En tant qu’institution publique cantonale, l’UNIL est soumise à la Loi du Canton de Vaud sur la Protection des Données (LPrD), dont on attend pour le courant de 2025 une révision totale visant à son alignement avec la nouvelle loi fédérale. Cela dit, le changement de pratique amorcé dans l’Union Européenne il y a 5 ans avec l’introduction du Règlement Général sur la Protection des Données (RGPD) et cette année à l’échelle fédérale avec la nLPD impose un nouveau standard dans le traitement des données, que l’UNIL ne peut pas ignorer. En attendant de connaître la nature exacte de la nouvelle loi cantonale, une préparation à la mise en conformité avec la nouvelle loi à venir est donc déjà en cours à l’UNIL.
Q: Comment l’UNIL est-elle en train de se préparer à la nouvelle LPrD?
Il y a plusieurs gros chantiers à mener pour se mettre en conformité avec la nouvelle loi, alors qu’on ne peut à l’heure actuelle pas encore en prévoir les détails. Ce que l’on sait, c’est que les personnes qui travaillent avec des données personnelles doivent dorénavant être sensibilisées et formées à la protection de ces données. Il est également nécessaire de réinventorier tous les traitements de données personnelles au sein de l’institution pour les gérer dans un registre, un peu à la façon de ce que fait le service financier avec la comptabilité. C’est à la fois une obligation légale et une plus-value pour la conservation dans le temps de la valeur des données personnelles. Ce registre permettra ensuite de retravailler l’information mise à disposition des personnes dont l’UNIL détient les données. Ce ne sont là que quelques exemples qui illustrent un changement de paradigme : la Suisse reconnait l’émergence d’un marché mondial centré autour des données personnelles et encourage sa libéralisation à condition que les entités publiques et privées soient en mesure de démontrer qu’elles respectent le droit fondamental des personnes à la vie privée et à la préservation de leur personnalité. Un vrai défi pour toutes les parties prenantes !
Q: Concrètement, qu’est-ce que les employées et employés de l’UNIL doivent faire face à ce changement de cadre légal ?
Ce que l’on peut faire actuellement, c’est anticiper les changements à venir ; un travail qui consiste pour l’essentiel à se former au vocabulaire et aux concepts de la protection des données, à prendre conscience des traitements de données dont l’UNIL est responsable et à consolider les bonnes pratiques qui permettent la gestion du risque juridique dans le temps. Pour les détails, il faudra attendre de connaitre la nature exacte de la révision de la loi cantonale.
Q : Il n’y a pas seulement les lois qui changent mais aussi les pratiques : les outils basés sur le Cloud ne sont-ils pas devenus incontournables aujourd’hui ?
Oui… pour une grande partie, ils sont devenus incontournable. C’est pourquoi la Direction de l’UNIL a développé et adopté une doctrine Cloud. Son application passe par l’usage systématique d’une grille d’évaluation des risques spécifiques à l’externalisation Cloud. L’objectif est de déterminer si l’usage proposé de l’outil basé sur le Cloud présente un risque acceptable pour les personnes concernées (dont les données seront traitées par l’outil), et pour l’institution. Ceux dont la grille établit qu’ils présentent un risque faible peuvent être acceptés sans autre procédure, les autres sont soumis à l’approbation de la Direction.
Q : Quelle importance accordez-vous au lieu du stockage des données et du siège social de l’entreprise derrière l’outil Cloud ?
La localisation des serveurs est un des facteurs déterminants mais ce sont avant tout les engagements contractuels de la part du prestataire sur l’emplacement géographique de ces serveurs qui comptent. Le siège social de l’entreprise a aussi son importance, il faut notamment s’assurer que la loi applicable et les tribunaux reconnus par les contrats permettraient à l’UNIL de faire valoir ses droits. Sans entrer dans trop de détails, les fournisseurs localisés en Suisse et dans l’Union Européenne sont généralement privilégiés parce qu’ils sont soumis à des lois qui assurent un niveau de protection juridique adéquat et sont soumis à des tribunaux plus faciles d’accès. Même si la localisation des serveurs est un facteur déterminant, d’autres facteurs peuvent l’être tout autant.
Q : Comment évaluez-vous le risque d’un usage non voulu de nos données ? Existe-t-il des alternatives pour minimiser ce risque ?
Quand on parle d’un usage non voulu des données, on peut considérer deux cas de figure : le premier est lié à la cybersécurité, par exemple si un fournisseur Cloud se fait hacker, ou que l’un des membres de son personnel accède de manière indue aux données qu’il héberge ; le second est qu’un gouvernement étranger exige légalement un accès à des données personnelles, hébergées dans un Cloud sous sa juridiction. Dans ces deux cas, le risque d’accès indu doit être réduit au minimum. Une évaluation systématique des mesures techniques (e.g. chiffrement) et organisationnelles (e.g. accès limités et contrôlés) de sécurité mises en place par le fournisseur Cloud est nécessaire. Il s’agit ensuite de réduire ces risques tout en gardant à l’esprit que les cyberattaques sont en fortes croissances et que tous les gouvernements ont des lois de surveillance et de police qui les autorisent à obtenir des données personnelles auprès de services Cloud. Il n’y a donc pas de risque zéro dans ce domaine. C’est dans cette perspective que, si un fournisseur ne répond pas aux exigences de la doctrine Cloud UNIL (voir ci-dessus), nous négocions avec lui une personnalisation des configurations ou envisageons des solutions alternatives, jusqu’à l’obtention d’un risque acceptable.
Q : Comment prenez-vous en compte la réputation d’une solution Cloud lors de votre évaluation ?
La bonne réputation d’un fournisseur peut influencer positivement une analyse de risque. La réputation ne remplace en revanche pas une analyse méthodique de la situation selon notre grille d’évaluation des risques Cloud.
Q : Comment garantissez-vous l’effacement approprié des données après utilisation d’un outil Cloud ?
L’effacement des données compte parmi les critères clés de l’analyse. Nous nous assurons que le fournisseur ait des politiques claires sur la suppression des données après la résiliation du contrat et qu’il s’engage contractuellement à la mettre en place et à nous fournir les preuves de destruction.
Conclusion
À l’ère où les données et les technologies se croisent dans le nuage numérique, l’Université de Lausanne s’efforce de créer un équilibre subtil entre l’innovation technologique et la préservation de la vie privée. Grâce à des critères d’évaluation clairs, une validation adaptée pour les chercheuses et chercheurs et un processus transparent pour les employées et employés, l’UNIL montre la voie à suivre pour une utilisation judicieuse et conforme des outils Cloud dans le respect des nouvelles lois sur la protection des données.
Plus d’infos
Image d’en-tête : Batu Gezer sur unsplash.com