Sécurité des données : la base de la protection des données

La protection des données a pour but de protéger les droits de la personnalité et de garantir que les données à caractère personnel sont collectées et traitées conformément à la loi. En l’occurrence, les données à caractère personnel sont toutes les informations qui se rapportent à une personne (physique) identifiée ou identifiable, mais qui ne comprennent pas les données anonymisées.

Dispositions légales claires

Lors du traitement de données à caractère personnel, les principes de la protection des données doivent être respectés. Notre graphique montre les questions que les entreprises qui traitent des données doivent se poser afin de se conformer à des principes tels que la légitimité, l’exactitude des données, la bonne foi, la transparence, la finalité et la sécurité des données. La violation de ces principes entraîne une atteinte à la personnalité, qui peut toutefois être justifiée dans certaines circonstances. La Loi suisse sur la protection des données (LPD)[i] mentionne trois motifs justificatifs : le consentement exprès de la personne concernée, un intérêt privé ou public prépondérant, ou une base légale permettant, voire prescrivant, le traitement de données.

Traitement des données : le client est roi

En tant que prestataire de services IT, il faut être particulièrement conscient que dès que nous traitons des données à caractère personnel pour le compte de nos clients, nous sommes considérés comme des sous-traitants de données et devons donc respecter des obligations légales claires. Les obligations essentielles sont notamment les deux suivantes : non seulement nous pouvons traiter les données uniquement dans le cadre du contrat et conformément aux instructions du client, mais en plus de cela, nous devons à tout moment prendre les mesures techniques et organisationnelles appropriées pour que le niveau de protection soit au moins égal à celui que le client devrait lui-même respecter. 

Où la protection des données s’arrête et la sécurité des données commence

La sécurité des données constitue non seulement la base technique et organisationnelle sans laquelle une protection efficace des données ne serait pas possible, mais elle dépasse aussi largement la protection des données à caractère personnel. La sécurité des données protège toutes les données d’une entreprise, c’est-à-dire les secrets commerciaux, les données financières, les documents techniques ou d’autres informations sensibles sans lien avec des personnes. La mise en œuvre de la sécurité des données se fait en coordonnant des mesures techniques et organisationnelles. Les mesures techniques comprennent, entre autres, le cryptage, des contrôles d’accès modernes, des pare-feu, des systèmes de détection d’intrusion, des logiciels antivirus, ainsi que des solutions de sauvegarde et de restauration fiables. À cela s’ajoutent la consignation et la surveillance continues des systèmes concernés. Sur le plan organisationnel chez UMB, nous misons sur des directives claires pour classifier et traiter les données, sur la formation régulière et la sensibilisation de tous les membres de l’équipe, ainsi que sur des responsabilités précises et des processus d’approbation univoques. Sont également importants des plans d’urgence et de redémarrage, ainsi que des audits de sécurité réguliers et une gestion de la continuité des activités (Business Continuity Management)[ii] qui fonctionne.

dCadre plus large fourni par la sécurité de l’information et la cybersécurité

La sécurité de l’information constitue le concept principal et poursuit les objectifs de protection classiques que sont la confidentialité, l’intégrité et la disponibilité des informations. Des normes qui ont fait leurs preuves, telles qu’ISO 27001, fournissent le cadre pour un système de management de la sécurité de l’information (SMSI) cohérent. Aux clients qui souhaitent une analyse d’efficacité plus rigoureuse, les rapports conformes à ISAE 3402 Type II, à SOC 2 ou – en fonction du secteur – à DORA offrent une sécurité supplémentaire.

Dans un monde de plus en plus interconnecté, les cybermenaces modernes, comme les ransomwares, le phishing ou les menaces persistantes avancées (Advanced Persistent Threats) se trouvent au centre de l’attention. En l’occurrence, la sécurité informatique classique, qui garantit la protection de l’infrastructure, et la cybersécurité, qui se concentre sur la défense contre les scénarios d’attaque récents, fusionnent pour devenir une stratégie de sécurité globale. Cela fait partie d’une gouvernance d’entreprise responsable et nécessite des responsabilités claires.

Protection des données : une partie intégrante de la culture d’entreprise d’UMB

La protection et la sécurité des données sont tout simplement indispensables. Chez UMB, nous prenons cette responsabilité au sérieux et mettons systématiquement en œuvre des mesures techniques et organisationnelles. 

Nos clients peuvent compter sur le fait que chez nous, la compliance et une protection fiable ne sont pas des options supplémentaires coûteuses, mais qu’elles font partie de la culture de notre entreprise. C’est pourquoi nos clients peuvent dormir tranquille la nuit – et nous aussi. Si vous souhaitez en savoir plus, nous restons volontiers à votre disposition pour un entretien.