Les invités

Le droit à la protection de la vie privée reste intact

Les entreprises doivent veiller à ce que toutes les données qu’elles enregistrent soient sûres. Dans certaines branches, la protection des données clients mérite une attention particulière. L’Autorité fédérale de surveillance des marchés financiers (Finma) a adopté récemment des principes contraignants dans le secteur bancaire, déterminants également pour d’autres secteurs économiques

Les invités

Le droit à la protection de la vie privée reste intact

* Directeur Audit ** DirecteurConsulting, PwC Suisse

Toutes les entreprises ont des données à protéger, mais à des degrés divers. Celles sur le savoir-faire et la propriété intellectuelle sont prioritaires dans l’industrie. Il s’agit de prévenir l’espionnage industriel et les pertes de compétitivité qui menacent l’existence même de l’entreprise. Les données clients sont classées sensibles en particulier dans les banques et les compagnies d’assurances ainsi que dans les hôpitaux et les caisses maladie. Ici, des pertes ou une utilisation abusive de données clients porteraient atteinte aux droits fondamentaux de la personnalité au sens de la loi fédérale sur la protection des données (LPD) et entraîneraient aussi une perte de confiance massive de la part des clients, qui mettrait en péril la base de l’activité de l’entreprise.

La législation règle différemment la protection des données clients selon les branches. Sur la place financière suisse, la protection de la sphère privée bénéficie traditionnellement d’une grande attention. Le secret professionnel du banquier (ou secret bancaire) repose sur une culture du secret des affaires séculaire pour les banques privées suisses, et que la loi sur les banques de 1935 a élevée au rang d’obligation formelle. Depuis, les exigences dans le secteur bancaire se sont nettement durcies. La Finma exige des banques et des négociants en valeurs mobilières non seulement qu’ils protègent les données de leurs clients d’un accès non autorisé, mais aussi qu’ils veillent à ce que ces données ne disparaissent pas ou ne soient pas manipulées par des personnes non autorisées.

Dans sa circulaire «Risques opérationnels – banques» (Circ.-Finma 2008/21), soumise à une révision partielle depuis le printemps dernier, la Finma formule ses exigences qualitatives en matière de gestion des risques. La circulaire partiellement révisée a été publiée le 1er octobre 2013 et entrera en vigueur le 1er janvier 2015.

Les principes formulés dans la Circ.-Finma 2008/21 peuvent être aussi déterminants pour d’autres branches, par exemple pour le secteur de la santé où les hôpitaux et les médecins sont tenus depuis toujours de traiter confidentiellement et de protéger les données et informations concernant leurs patients. Les fichiers électroniques modernes, avec leurs diverses informations sur les patients, créent de nouveaux problèmes. Les informations tirées de l’anamnèse des patients peuvent être consultées et manipulées plus facilement qu’auparavant et peuvent aussi donner lieu à des discriminations auprès des assurances maladie.

Le secteur des télécommunications est particulier. Les fournisseurs de services de communication et d’Internet doivent respecter l’article 13 de la Constitution fédérale suisse, qui stipule que toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu’elle établit par la poste et les télécommunications. Les exceptions sont réglées dans la loi sur la surveillance de la correspondance par poste et télécommunication (LSCPT). Elle définit les circonstances autorisant les autorités à accéder à la correspondance par courrier, téléphone et e-mail, et les conditions que les prestataires doivent remplir pour être autorisés à effectuer des écoutes officielles.

Les évolutions technologiques rendent toujours plus facile l’intrusion illégale dans la correspondance téléphonique ou électronique. Les données de facturation, les enregistrements sur la localisation des appareils mobiles, ou les informations sur l’utilisation de la télévision contiennent des indications sur les lieux de séjour et les habitudes de consommation des utilisateurs, qui ne sont pas destinées à des tiers. Même si les pratiques d’écoute de la NSA américaine récemment révélées pourraient porter à croire que le droit à la protection de la vie privée est depuis longtemps obsolète, il n’en est rien: sa validité juridique demeure intacte.

Avec l’apparition des «big data» – génération et traitement automatisés de grandes quantités de données –, de nouveaux besoins de protection émergent dans des secteurs jusqu’ici peu concernés par la législation sur la protection des données. Les cartes de clients associées aux programmes de fidélisation des grands distributeurs et de l’hôtellerie génèrent des registres de données qui ne servent pas seulement au démarchage ciblé des clients, mais aussi à établir des profils de consommation personnalisés. Certains clients n’apprécient guère l’idée que des tiers – qui restent dissimulés – examinent à la loupe leur consommation et leurs lieux de séjour.

La sécurité des données clients, mais aussi de toutes les données, se traduit par trois objectifs: confidentialité, intégrité et disponibilité. La LPD se concentre sur l’objectif de confidentialité mais recherche aussi l’intégrité, c’est-à-dire la cohérence et l’exactitude des données traitées. En pratique, lorsqu’il s’agit de limiter les coûts, priorité est généralement donnée aux objectifs de disponibilité et d’intégrité, au détriment de celui de confidentialité.

Une bonne sécurité des données tient compte à la fois de tous les objectifs de protection et du principe de rentabilité. Trouver l’équilibre entre le niveau de sécurité et les coûts nécessaires pour l’obtenir requiert un concept global capable de coordonner les mesures organisationnelles et les compétences personnelles d’une part, et les systèmes techniques de l’autre. Les principes de la Circ.-Finma 2008/21 révisée, définis pour le secteur financier, peuvent servir de guide et d’exemple de «bonne pratique» dans toutes les branches.

Lorsqu’il s’agit de limiter les coûts, priorité est donnée aux objectifs de disponibilité et d’intégrité, au détriment de celui de confidentialité

Publicité