Cette article est de la catégorie Services et du dossier Identity Management

Prudence lors du traitement de données personnelles

À quoi faut-il veiller lors du traitement de données personnelles en rapport avec la Swiss edu-ID ?

Texte: Esther Zysset, publié le 26.11.2015

Des données personnelles sont traitées en divers endroits en rapport avec la Swiss edu-ID. Une certaine prudence est ce faisant de mise, les principes de la protection des données s'appliquant alors.

Ces principes sont :

  • Licéité : Existe-t-il d'autres normes juridiques qui interdisent le traitement concret des données ?
  • Reconnaissabilité : Le traitement des données est-il reconnaissable pour la personne concernée ?
  • Proportionnalité : Le traitement ne porte-t-il vraiment que sur les données nécessaires pour atteindre le but poursuivi ?
  • Respect des finalités du traitement : Les données ne sont-elles traitées qu'en vue des buts communiqués ou reconnaissables ?
  • Exactitude : Les données sont-elles exactes quant au contenu ?
  • Communication à l'étranger : Les principes applicables sont-ils respectés ?
  • Sécurité des données : Les données sont-elles protégées moyennant des mesures techniques et organisationnelles appropriées ?

Comme le suggèrent certains des termes, la manière de mettre en œuvre ces principes doit être appréciée au cas par cas. C'est-à-dire que la question de savoir si un traitement de données est reconnaissable pour l'utilisateur s'apprécie différemment selon la prestation de services concrète. Je peux ainsi reconnaître que mes données personnelles sont transmises à l'étranger quand j'envoie un courrier électronique à une personne résidant à l'étranger. Quand en revanche j'ouvre un compte sur une boutique en ligne, je peux pas forcément reconnaître que mes données seront utilisées à des fins de marketing.

Une bonne protection des données se caractérise non seulement par le respect des principes susmentionnés, mais également par le fait que sa mise en œuvre offre à l'individu la plus grande transparence et le plus grand contrôle sur ses données possibles. S'agissant de la Swiss edu-ID, SWITCH vise à la mise en œuvre suivante de la protection des données :

  • Reconnaissabilité : L'utilisateur de la Swiss edu-ID a accès à son compte. Les attributs utilisés s'y trouvent aussi ; lorsqu'ils sont transmis à un Service Provider, l'utilisateur en est averti, de manière similaire à ce qui se passe dans SWITCHaai avec le module "uApprove". L'implémentation de ce module est recommandée à toutes les hautes écoles. Si la haute école se sert de la Swiss edu-ID à des fins administratives sans que l'utilisateur puisse le reconnaître, elle devra l'y rendre attentif de manière appropriée.
  • Proportionnalité : Les catégories d'attributs se limiteront à des attributs faisant sens et légitimes dans le contexte de la Swiss edu-ID. Elles n'incluront pas d'attributs n'entrant pas dans le cadre des finalités de traitement de la Swiss edu-ID ; de plus, l'Identity Provider (cette fonction sera en principe assumée par SWITCH) aura la possibilité d'exercer un contrôle sur les attributs transmis aux Service Providers. Il importera par conséquent que SWITCH examine dans chaque cas de manière critique les attributs demandés par les Service Providers et qu'elle refuse, lorsque nécessaire, de transmettre à ces derniers lesdits attributs.
  • Respect des finalités du traitement : Les données traitées par SWITCH ne le seront qu'à des fins opérationnelles liées à la Swiss edu-ID.
  • Exactitude : La qualité des données est un élément capital de la Swiss edu-ID et de son succès ; il faudra par conséquent y accorder la plus haute importance. La règle de base suivante s'appliquera aussi : l'utilisateur répond seul des données qu'il aura lui-même introduites.
  • Communication à l'étranger : Lorsque des données personnelles sont transmises à des Service Providers à l'étranger, le respect des principes de la protection des données sera garanti au moyen d'un Code of Conduct destiné aux Service Providers. Pour les quelques Service Providers sis hors de l'UE/EEE, l'on veillera à obtenir au cas par cas le consentement de l'utilisateur avant la transmission des données.
  • Sécurité : La sécurité des données doit être garantie au lieu de stockage des attributs, soit en premier lieu dans les hautes écoles et chez SWITCH, qui est le Service Operator. SWITCH est consciente de l'importance d'un stockage sécurisé des données et fait en sorte, s'agissant de la conservation et du transfert des données, de disposer des technologies les plus récentes et, en particulier, d'accorder les droits d'accès de manière très restrictive à l'interne.

Afin que la protection des données soit assurée non seulement chez SWITCH, mais également chez les Service Providers, ces derniers devront s'engager par voie de contrat à respecter les principes pertinents en la matière. Il en va déjà ainsi dans le cadre de SWITCHaai.

Autres contributions consacrées aux aspects juridiques de la Swiss edu-ID :

 

 

L'auteur
Esther   Zysset

Esther Zysset

Esther Zysset dirige le service juridique chez SWITCH depuis 2012. Précédemment, elle travaillait comme avocate dans une étude économique.

E-mail

Swiss edu-ID

SWITCH est en train de créer, en collaboration avec les hautes écoles suisses, une identité numérique valable à vie. Grâce à elle, tous les titulaires pourront avoir accès à des services universitaires. Plutôt que d’avoir plusieurs identités pour des accès différents, ils n’en auront plus besoin que d’une seule. La Swiss edu-ID est une évolution de SWITCHaai, mis en place il y a dix ans et utilisé par plus de 400 000 personnes. La Swiss edu-ID représente une avancée décisive : SWITCHaai a été conçu pour l’utilisation de ressources web et présuppose l’appartenance à une institution. En revanche, la Swiss edu-ID a été créée pour être utilisée de manière plus globale et en tant qu’identité durable.

http://projects.switch.ch/eduid/
Autres articles