{"id":1833,"date":"2023-09-19T12:00:00","date_gmt":"2023-09-19T10:00:00","guid":{"rendered":"https:\/\/wp.unil.ch\/newsci\/?p=1833"},"modified":"2024-02-28T14:16:19","modified_gmt":"2024-02-28T13:16:19","slug":"nouvelle-loi-federale-sur-la-protection-des-donnees-et-le-cloud-a-lunil","status":"publish","type":"post","link":"https:\/\/wp.unil.ch\/newsci\/nouvelle-loi-federale-sur-la-protection-des-donnees-et-le-cloud-a-lunil\/","title":{"rendered":"Nouvelle loi f\u00e9d\u00e9rale sur la Protection des Donn\u00e9es et le Cloud \u00e0 l\u2019UNIL"},"content":{"rendered":"\n

Entr\u00e9e en vigueur le 1er septembre 2023 apr\u00e8s de longues ann\u00e9es de n\u00e9gociation, la nouvelle loi f\u00e9d\u00e9rale sur la protection des donn\u00e9es (nLPD<\/a>) est d\u00e9sormais applicable dans toute la Suisse, un d\u00e9fi pour les entreprises priv\u00e9es et les institutions publiques f\u00e9d\u00e9rales. Quels sont pour l\u2019UNIL les enjeux de cette nouvelle loi qui cadre les opportunit\u00e9s offertes par les technologies, dont l\u2019h\u00e9bergement Cloud ? Pour obtenir un \u00e9clairage direct sur la question, nous avons eu le privil\u00e8ge d\u2019un entretien avec le D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPO) de l’UNIL, M. Mikha\u00ebl Salamin, et le responsable s\u00e9curit\u00e9 du syst\u00e8me d’information, M. Yassine Ghennai. Voici une restitution crois\u00e9e de leurs r\u00e9ponses \u00e0 nos questions :<\/p>\n\n\n\n

Q : Dans quelle mesure est-ce que l\u2019entr\u00e9e en vigueur de la nouvelle loi f\u00e9d\u00e9rale sur la protection des donn\u00e9es (nLPD) impacte l\u2019Universit\u00e9 de Lausanne ?<\/h5>\n\n\n\n

D\u2019un point de vue strictement juridique, l\u2019Universit\u00e9 de Lausanne n\u2019est pas impact\u00e9e par cette nouvelle loi (nLPD). En tant qu\u2019institution publique cantonale, l\u2019UNIL est soumise \u00e0 la Loi du Canton de Vaud sur la Protection des Donn\u00e9es (LPrD), dont on attend pour le courant de 2025 une r\u00e9vision totale visant \u00e0 son alignement avec la nouvelle loi f\u00e9d\u00e9rale. Cela dit, le changement de pratique amorc\u00e9 dans l\u2019Union Europ\u00e9enne il y a 5 ans avec l\u2019introduction du R\u00e8glement G\u00e9n\u00e9ral sur la Protection des Donn\u00e9es (RGPD) et cette ann\u00e9e \u00e0 l\u2019\u00e9chelle f\u00e9d\u00e9rale avec la nLPD impose un nouveau standard dans le traitement des donn\u00e9es, que l\u2019UNIL ne peut pas ignorer. En attendant de conna\u00eetre la nature exacte de la nouvelle loi cantonale, une pr\u00e9paration \u00e0 la mise en conformit\u00e9 avec la nouvelle loi \u00e0 venir est donc d\u00e9j\u00e0 en cours \u00e0 l\u2019UNIL.<\/p>\n\n\n\n

Q: Comment l\u2019UNIL est-elle en train de se pr\u00e9parer \u00e0 la nouvelle LPrD?<\/h5>\n\n\n\n

Il y a plusieurs gros chantiers \u00e0 mener pour se mettre en conformit\u00e9 avec la nouvelle loi, alors qu\u2019on ne peut \u00e0 l\u2019heure actuelle pas encore en pr\u00e9voir les d\u00e9tails. Ce que l\u2019on sait, c\u2019est que les personnes qui travaillent avec des donn\u00e9es personnelles doivent dor\u00e9navant \u00eatre sensibilis\u00e9es et form\u00e9es \u00e0 la protection de ces donn\u00e9es. Il est \u00e9galement n\u00e9cessaire de r\u00e9inventorier tous les traitements de donn\u00e9es personnelles au sein de l\u2019institution pour les g\u00e9rer dans un registre, un peu \u00e0 la fa\u00e7on de ce que fait le service financier avec la comptabilit\u00e9. C\u2019est \u00e0 la fois une obligation l\u00e9gale et une plus-value pour la conservation dans le temps de la valeur des donn\u00e9es personnelles. Ce registre permettra ensuite de retravailler l\u2019information mise \u00e0 disposition des personnes dont l\u2019UNIL d\u00e9tient les donn\u00e9es. Ce ne sont l\u00e0 que quelques exemples qui illustrent un changement de paradigme : la Suisse reconnait l\u2019\u00e9mergence d\u2019un march\u00e9 mondial centr\u00e9 autour des donn\u00e9es personnelles et encourage sa lib\u00e9ralisation \u00e0 condition que les entit\u00e9s publiques et priv\u00e9es soient en mesure de d\u00e9montrer qu\u2019elles respectent le droit fondamental des personnes \u00e0 la vie priv\u00e9e et \u00e0 la pr\u00e9servation de leur personnalit\u00e9. Un vrai d\u00e9fi pour toutes les parties prenantes !<\/p>\n\n\n\n

Q: Concr\u00e8tement, qu\u2019est-ce que les employ\u00e9es et employ\u00e9s de l\u2019UNIL doivent faire face \u00e0 ce changement de cadre l\u00e9gal ?<\/h5>\n\n\n\n

Ce que l\u2019on peut faire actuellement, c\u2019est anticiper les changements \u00e0 venir ; un travail qui consiste pour l\u2019essentiel \u00e0 se former au vocabulaire et aux concepts de la protection des donn\u00e9es, \u00e0 prendre conscience des traitements de donn\u00e9es dont l\u2019UNIL est responsable et \u00e0 consolider les bonnes pratiques qui permettent la gestion du risque juridique dans le temps. Pour les d\u00e9tails, il faudra attendre de connaitre la nature exacte de la r\u00e9vision de la loi cantonale.<\/p>\n\n\n\n

Q : Il n\u2019y a pas seulement les lois qui changent mais aussi les pratiques : les outils bas\u00e9s sur le Cloud ne sont-ils pas devenus incontournables aujourd\u2019hui ?<\/h5>\n\n\n\n

Oui\u2026 pour une grande partie, ils sont devenus incontournable. C\u2019est pourquoi la Direction de l\u2019UNIL a d\u00e9velopp\u00e9 et adopt\u00e9 une doctrine Cloud. Son application passe par l\u2019usage syst\u00e9matique d\u2019une grille d\u2019\u00e9valuation des risques sp\u00e9cifiques \u00e0 l\u2019externalisation Cloud. L\u2019objectif est de d\u00e9terminer si l\u2019usage propos\u00e9 de l\u2019outil bas\u00e9 sur le Cloud pr\u00e9sente un risque acceptable pour les personnes concern\u00e9es (dont les donn\u00e9es seront trait\u00e9es par l\u2019outil), et pour l\u2019institution. Ceux dont la grille \u00e9tablit qu\u2019ils pr\u00e9sentent un risque faible peuvent \u00eatre accept\u00e9s sans autre proc\u00e9dure, les autres sont soumis \u00e0 l\u2019approbation de la Direction.<\/p>\n\n\n\n

Q : Quelle importance accordez-vous au lieu du stockage des donn\u00e9es et du si\u00e8ge social de l’entreprise derri\u00e8re l’outil Cloud ?<\/h5>\n\n\n\n

La localisation des serveurs est un des facteurs d\u00e9terminants mais ce sont avant tout les engagements contractuels de la part du prestataire sur l’emplacement g\u00e9ographique de ces serveurs qui comptent. Le si\u00e8ge social de l\u2019entreprise a aussi son importance, il faut notamment s\u2019assurer que la loi applicable et les tribunaux reconnus par les contrats permettraient \u00e0 l\u2019UNIL de faire valoir ses droits. Sans entrer dans trop de d\u00e9tails, les fournisseurs localis\u00e9s en Suisse et dans l\u2019Union Europ\u00e9enne sont g\u00e9n\u00e9ralement privil\u00e9gi\u00e9s parce qu\u2019ils sont soumis \u00e0 des lois qui assurent un niveau de protection juridique ad\u00e9quat et sont soumis \u00e0 des tribunaux plus faciles d\u2019acc\u00e8s. M\u00eame si la localisation des serveurs est un facteur d\u00e9terminant, d\u2019autres facteurs peuvent l\u2019\u00eatre tout autant.<\/p>\n\n\n\n

Q : Comment \u00e9valuez-vous le risque d’un usage non voulu de nos donn\u00e9es ? Existe-t-il des alternatives pour minimiser ce risque ?<\/h5>\n\n\n\n

Quand on parle d\u2019un usage non voulu des donn\u00e9es, on peut consid\u00e9rer deux cas de figure :  le premier est li\u00e9 \u00e0 la cybers\u00e9curit\u00e9, par exemple si un fournisseur Cloud se fait hacker, ou que l\u2019un des membres de son personnel acc\u00e8de de mani\u00e8re indue aux donn\u00e9es qu\u2019il h\u00e9berge ; le second est qu\u2019un gouvernement \u00e9tranger exige l\u00e9galement un acc\u00e8s \u00e0 des donn\u00e9es personnelles, h\u00e9berg\u00e9es dans un Cloud sous sa juridiction. Dans ces deux cas, le risque d\u2019acc\u00e8s indu doit \u00eatre r\u00e9duit au minimum. Une \u00e9valuation syst\u00e9matique des mesures techniques (e.g. chiffrement) et organisationnelles (e.g. acc\u00e8s limit\u00e9s et contr\u00f4l\u00e9s) de s\u00e9curit\u00e9 mises en place par le fournisseur Cloud est n\u00e9cessaire. Il s\u2019agit ensuite de r\u00e9duire ces risques tout en gardant \u00e0 l\u2019esprit que les cyberattaques sont en fortes croissances et que tous les gouvernements ont des lois de surveillance et de police qui les autorisent \u00e0 obtenir des donn\u00e9es personnelles aupr\u00e8s de services Cloud.  Il n\u2019y a donc pas de risque z\u00e9ro dans ce domaine. C\u2019est dans cette perspective que, si un fournisseur ne r\u00e9pond pas aux exigences de la doctrine Cloud UNIL (voir ci-dessus), nous n\u00e9gocions avec lui une personnalisation des configurations ou envisageons des solutions alternatives, jusqu\u2019\u00e0 l\u2019obtention d\u2019un risque acceptable.<\/p>\n\n\n\n

Q : Comment prenez-vous en compte la r\u00e9putation d’une solution Cloud lors de votre \u00e9valuation ?<\/h5>\n\n\n\n

La bonne r\u00e9putation d\u2019un fournisseur peut influencer positivement une analyse de risque. La r\u00e9putation ne remplace en revanche pas une analyse m\u00e9thodique de la situation selon notre grille d\u2019\u00e9valuation des risques Cloud.<\/p>\n\n\n\n

Q : Comment garantissez-vous l’effacement appropri\u00e9 des donn\u00e9es apr\u00e8s utilisation d’un outil Cloud ?<\/h5>\n\n\n\n

L’effacement des donn\u00e9es compte parmi les crit\u00e8res cl\u00e9s de l\u2019analyse. Nous nous assurons que le fournisseur ait des politiques claires sur la suppression des donn\u00e9es apr\u00e8s la r\u00e9siliation du contrat et qu\u2019il s\u2019engage contractuellement \u00e0 la mettre en place et \u00e0 nous fournir les preuves de destruction.<\/p>\n\n\n\n

Conclusion<\/h2>\n\n\n\n

\u00c0 l’\u00e8re o\u00f9 les donn\u00e9es et les technologies se croisent dans le nuage num\u00e9rique, l’Universit\u00e9 de Lausanne s’efforce de cr\u00e9er un \u00e9quilibre subtil entre l’innovation technologique et la pr\u00e9servation de la vie priv\u00e9e. Gr\u00e2ce \u00e0 des crit\u00e8res d’\u00e9valuation clairs, une validation adapt\u00e9e pour les chercheuses et chercheurs et un processus transparent pour les employ\u00e9es et employ\u00e9s, l’UNIL montre la voie \u00e0 suivre pour une utilisation judicieuse et conforme des outils Cloud dans le respect des nouvelles lois sur la protection des donn\u00e9es.<\/p>\n\n\n\n

Plus d’infos<\/h3>\n\n\n\n