Cette article est de la catégorie Corporate et du dossier Services d'infrastructure

Le problème de la classification des données

Une haute école n’a pas le droit d’externaliser à son gré des données dans un cloud.

Texte: Floriane Zollinger-Löw, publié le 26.02.2016

De nombreuses lois limitent le traitement des données. Des dispositions correspondantes se trouvent notamment dans la législation sur la protection des données et dans les lois sur la sécurité des informations. Il convient aussi de respecter le secret de fonction. Les organisations qui sont certifiées selon la norme ISO 27001 et disposent donc d’un système de gestion de la sécurité des informations doivent observer des règles supplémentaires. Toutes ces dispositions doivent être respectées lorsque des données sont externalisées dans un nuage.

Législation sur la protection des données

Lors du traitement de données personnelles, il faut en particulier observer les principes généraux de licéité, de proportionnalité, de finalité, du caractère reconnaissable et de la sécurité des données. Pour les organes publics cantonaux ainsi que pour les organes de la Confédération, le traitement de données personnelles doit en outre reposer sur une base légale. Cela signifie notamment que les documents qui contiennent des données personnelles ne peuvent être transmis qu’à certaines conditions. Cela vaut non seulement pour la transmission des données vers l’extérieur, mais aussi au sein de la haute école.

Par ailleurs, les données personnelles doivent être protégées contre tout traitement non autorisé par des mesures techniques et organisationnelles adéquates. Ces mesures ont pour but de garantir la confidentialité, la disponibilité et l’intégrité des données.

Secret de fonction

L’externalisation de secrets de fonction dans un nuage peut être punissable si des tiers peuvent accéder aux données. Les hautes écoles doivent donc identifier les données qui relèvent du secret de fonction.

Le secret de fonction est régi par l’art. 320 du code pénal suisse (CP). Celui-ci interdit la révélation de secrets par des fonctionnaires ou membres des autorités. Sont considérés comme des secrets au sens de cette disposition les faits qui, premièrement, ne sont connus ou accessibles qu’à un cercle restreint de personnes, deuxièmement, que l’institution veut tenir secrets, et troisièmement, dont le maintien du secret présente un intérêt légitime.

N’est toutefois considéré comme un secret de fonction que ce qui peut être tenu secret en vertu de la loi sur la transparence. C’est par exemple le cas lorsque l’accès aux informations correspondantes peut révéler des secrets d’affaires. Les documents devraient néanmoins toujours être traités comme des secrets de fonction dès qu’il y a un intérêt subjectif au maintien du secret - peu importe qu’il existe ou non un secret de fonction au sens juridique dans le cas d’espèce. Il est vrai que cela ne permet pas d’éviter de devoir remettre les documents correspondants lors d’une éventuelle procédure ; mais cela permet d’éviter que les personnes qui traitent les informations ne les transmettent à autrui de leur propre chef.

Classification : propositions pour la mise en œuvre

Que peut faire une haute école pour satisfaire à toutes ces dispositions ? On ne peut pas s’attendre à ce que chaque collaborateur d’une haute école connaisse le régime légal des données qu’il est en train de traiter. Il serait plus simple pour une haute école d’établir en premier lieu des catégories de données pour lesquelles des règles contraignantes sont prévues en matière de traitement des données. Dans un deuxième temps, il convient d’attribuer des fichiers définis à ces catégories.

Malheureusement, une telle classification n’est pas si simple. Les données personnelles en sont l’exemple. Ces données ne peuvent pas être saisies comme un fichier de données indépendant étant donné qu’elles se trouvent dans les documents les plus divers. Il est toutefois possible d’identifier des fichiers qui contiennent quasiment toujours des données personnelles, comme par exemple les contrats, les données relatives à l’identité des étudiants ou les e-mails. La haute école pourrait dès lors attribuer ces documents à une catégorie qui en limite la transmission et prévoit d’autres conditions pour leur traitement.

Enfin, une classification de données n’a d'utilité que si elle est effectivement appliquée au sein de l’organisation. Le perfectionnisme ne doit toutefois pas être le but d’une classification des données, car une chose est sûre : sans classification des données, la protection des données n’est pas vraiment garantie. Une solution imparfaite vaut souvent mieux qu’aucune solution.

Photo: Dmitrii Kotin, iStock
Version complète de l’article (uniquement en allemand)
Cet article a paru au Journal SWITCH march 2016.

 

L'auteur
Floriane   Zollinger-Löw

Floriane Zollinger-Löw

Floriane Zollinger-Löw travaille depuis juillet 2014 comme conseillère juridique pour SWITCH. Elle a étudié le droit à l’Université de Zurich et obtenu son brevet d’avocate en Suisse. Avant de rejoindre SWITCH, elle a travaillé au sein d’un cabinet d’avocats spécialisé en droit commercial à Zurich et auprès du Tribunal de commerce du canton d’Argovie.

E-mail
Autres articles