- Le PFPDT publie un guide actualisé sur les mesures techniques et organisationnelles de la sécurité des données (15 janvier 2024), qui remplace l’édition précédente de 2015.
- Le guide n’est pas un guide juridique et ne vise qu’à reproduire des dispositions légales à titre informatif, sans les interpréter ni les appliquer de manière contraignante.
- Contient des recommandations sur la DSFA, l’anonymisation, la journalisation et les TOM concrètes ; certaines critiques de fond sont mises en évidence.
Le PFPDT a fait appel au Guide sur les mesures techniques et organisationnelles de la sécurité des données publié dans une nouvelle version (du 15 janvier 2024). Le site Édition précédente datait d’août 2015.
Le guide est un “guide”, mais se défend de toute validité :
Ce document n’est pas un guide juridique. Il reprend certes les principales dispositions de la loi sur la protection des données, mais essentiellement à titre d’information. Le guide n’a pas pour but de développer, de commenter ou de préciser ces dispositions légales. Il ne constitue donc pas une base pour l’application ou l’interprétation de ces règles.
Le guide concerne en premier lieu les obligations responsable privémais il parle aussi Organes fédéraux de l’entreprise. Il contient tout d’abord des déclarations très succinctes avec quelques recommandations sur des thèmes relatifs à la protection des données, par exemple sur les principes de traitement, le registre des traitements, les droits des personnes concernées, etc. Le lien avec la sécurité des données est parfois assez lâche.
Une deuxième partie est un peu plus technique et aborde par exemple des thèmes tels que la pseudonymisation ou l’anonymisation. On y trouve également des recommandations sur des mesures concrètes telles que la sécurisation de l’infrastructure, l’identification et l’authentification, le cryptage, la sauvegarde et la suppression des données, la sécurité du réseau, etc.
Sur le fond, la plupart des points n’appellent pas de commentaires, à l’exception peut-être de ce qui suit :
- Le site Principe de légalité exige qu’un traitement ne viole “aucune disposition légale” ; cela “ne se limite pas à la LPD, mais englobe l’ensemble des normes juridiques (en particulier le droit pénal, comme par exemple les articles 138 et suivants et 179 et suivants du CP)”. C’est inexact de manière aussi générale ; le principe de légalité ne peut être violé que par la violation de normes qui ont un caractère de protection de la personnalité (Décision d’Helsana).
- Le PFPDT s’exprime à peine sur la Analyse d’impact sur la protection des données (DSFA). Cela va bien sûr de soi, car les mesures techniques et organisationnelles (TOM) sont l’un des éléments essentiels d’une DSFA et une DSFA est aussi souvent le meilleur format pour susciter une discussion entre la protection des données et l’informatique. Mais la DSFA elle-même n’est pas une mesure (minimale) de sécurité des données et son omission ne peut pas être punissable via l’art. 8 al. 3 en relation avec 61 let. c LPD (ce que le PFPDT ne dit pas non plus ; concernant les mesures minimales voir aussi ici).
- Il faut saluer l’indication selon laquelle les Anonymisation est réussie si l’anonymisation n’est pas réversible sans effort disproportionné ; le critère est ici l’identifiabilité. Les critères sont donc les mêmes que pour la question de la référence à la personne en général. Cela va de soi, mais est souvent présenté différemment.
- Vers Consignation des données (à ce sujet, voir aussi ici), le PFPDT constate ce qui suit :
- Aucune journalisation séparée des données personnelles et de la sécurité de l’information n’est attendue. Une redondance n’est donc pas nécessaire.
- L’obligation de journalisation s’applique exclusivement aux données personnelles dans les systèmes de traitement automatisé des données. Par exemple, un accès manuel à un document texte contenant des informations personnelles ne doit pas obligatoirement être journalisé conformément à l’article 4 OLPD. En revanche, si un script est exécuté dans le même document pour effacer des données personnelles, cela doit être consigné.
- Néanmoins, il convient de noter qu’il peut être dans l’intérêt du responsable de consigner ces activités ou de ne pas autoriser le traitement de certaines données personnelles dans des documents non consignés.
- Par “généralement accessibles au public”, il faut entendre les données qui sont accessibles sans identification ou qui sont accessibles à un grand nombre de personnes.