«La protection des données nʼest pas un sprint, cʼest un marathon»

min de lecture

Exigences de sécurité pour les solutions Cloud, sécurité des données dans l'entreprise, révision de la loi sur la protection des données – le thème de la protection des données devient de plus en plus important et complexe. Andrea Tams, Senior Legal Counsel, nous explique dans cette interview où se situent les plus grands défis pour les entreprises, ce que prévoit la nouvelle loi sur la protection des données et comment Abacus protège ses données.

Les données dans le Cloud ou les solutions Cloud sont encore souvent considérées comme peu sûres. Est-ce le cas ?

Andrea Tams: Tout dépend de la solution Cloud concernée. En choisissant soigneusement le fournisseur de services Cloud, il devrait être possible dʼatteindre un niveau élevé de sécurité des données et de satisfaire aux exigences de sécurité souhaitées, tout en respectant des règles de base importantes. Les questions suivantes doivent être posées: quʼen est-il de la sécurité informatique, est-elle certifiée ISO, où se trouve le site du serveur et est-il situé à lʼétranger? Y a-t-il des transferts de données vers une entreprise étrangère? Les sociétés mères américaines et les sites de serveurs situés en dehors de la Suisse et de lʼUE peuvent actuellement présenter des risques juridiques. Les fournisseurs suisses avec des sites de serveurs en Suisse sont à privilégier si lʼon ne dispose pas de ses propres solutions de serveurs. Abacus opte pour de tels sites et essaie dʼutiliser des propositions helvétiques chez des prestataires certifiés, comme lʼentreprise DeepCloud qui a fait certifier sa solution Cloud ISO 27001.

Où se trouvent les propres données de lʼentreprise Abacus? Comment sont-elles protégées ?

En principe, Abacus essaie – dans la mesure du possible – dʼutiliser ses propres solutions informatiques sur ses propres serveurs. LorsquʼAbacus propose des solutions Cloud à ses clients, comme Swiss21/AbaNinja – le logiciel de comptabilité dans le Cloud –, une grande importance est accordée à une sécurité informatique élevée, si possible avec des certifications ISO attestées ou des niveaux de sécurité correspondant à ces certifications. Le fournisseur de services Cloud choisi par Abacus répond parfaitement à ces exigences. Si le client utilise le logiciel Abacus avec le modèle de licence Abacus, les données se trouvent en principe chez lui, sauf sʼil choisit indépendamment dʼAbacus une solution Cloud chez son provider Cloud.

Quels sont les solutions Cloud proposées par Abacus ?

Les solutions Cloud Abacus sont 21.AbaNinja et 21.AbaSalary. Si des services DeepBox sont sollicités au sein du logiciel Abacus, la solution Cloud «DeepBox» est aussi utilisée. Les logiciels Abacus peuvent être utilisés par des prestataires Cloud dans le cadre des abonnements web Abacus, indépendamment dʼAbacus. Dans ce cas, ce nʼest pas Abacus mais les prestataires respectifs qui sont responsables de ces Clouds. Seul le logiciel utilisable dans les Clouds provient dʼAbacus.

Comment fonctionne lʼinteraction entre les offres de DeepCloud et le logiciel de gestion Abacus en ce qui concerne la protection des données ?

Le client Abacus est responsable de la protection des données qui sont traitées dans son application Abacus. Si des données du logiciel Abacus sont transmises à sa DeepBox via la société DeepCloud, il donne au préalable son accord pour ce transfert. La transmission des données et des documents sʼeffectue de manière sécurisée selon les dernières technologies. Les informations sont ensuite enregistrées dans la solution Cloud certifiée ISO 27001 de la société DeepCloud. Tant pour Abacus que pour DeepCloud, la protection des données et la sécurité informatique sont une priorité absolue.

«Nous avons pour objectif – dans la mesure du possible – de conserver toutes les données soit en Suisse, soit dans les pays de lʼUE qui présentent un niveau de protection des données approprié.»

Andrea Tams, Conseillère juridique principale et responsable de la protection des données pour Abacus

Comment se présentent les échanges de données avec Abacus DEEP lorsque les clients utilisent des services Deep ?

Cela dépend du service DeepBox utilisé. Si un client souhaite envoyer des documents depuis son installation Abacus à sa DeepBox ou les analyser avec DeepO, ces documents seront transmis du logiciel Abacus à la solution Cloud de la société DeepCloud, où ils seront soit stockés, soit analysés. DeepCloud fait ici appel à un fournisseur de services Cloud qui a également été contrôlé dans le cadre de la certification ISO de DeepCloud !

Où en est la révision du droit de la protection des données en Suisse ?

Le droit suisse de la protection des données, qui se compose de la loi sur la protection des données (LPD) et de ses dispositions dʼexécution (ordonnance relative à la LPD/OLPD), a fait lʼobjet dʼune révision complète afin, notamment, de se rapprocher du règlement général sur la protection des données (RGPD) de lʼUE. Désormais, il y aura également une ordonnance sur les certifications en matière de protection des données. Après de longues discussions, les textes juridiques sont désormais définitivement publiés et entreront en vigueur en 2023. Abacus a déjà commencé à mettre en œuvre les nouvelles directives dès 2021. Nous garantissons ainsi que les changements nécessaires, y compris ceux apportés au logiciel Abacus, pourront être implémentés avant lʼentrée en vigueur du nouveau droit. Les exigences imposées aux responsables en matière de Privacy by Design sont particulièrement significatives pour un éditeur de logiciels.

Quelles sont les nouveautés prévues par la loi ?

La législation prévoit des obligations dʼinformation et de documentation plus étendues de la part des entreprises, lʼoctroi de droits étendus aux personnes concernées ainsi que le principe de Privacy by Design et Privacy by Default. Privacy by Design signifie que la protection des données doit être prise en compte dès la planification du traitement des données. Cʼest pourquoi cette exigence doit être prise en compte dès le développement de nos logiciels. Privacy by Default signifie quʼil est possible de définir des paramètres par défaut garantissant la protection des données. Par exemple, une application logicielle peut être configurée de manière à nʼenregistrer, par défaut, que les données nécessaires et non des données supplémentaires qui ne sont peut-être pas nécessaires.

En quoi la LPD est-elle importante ?

En principe, la LPD révisée est similaire à la LPD actuelle. Néanmoins, les entreprises seraient bien avisées de mettre en œuvre rapidement les nouvelles exigences qui seront posées. La nouvelle LPD entrera en vigueur le 1er septembre 2023 sans période de transition, quʼune entreprise y soit préparée ou non. Il est donc important de sʼinformer dès aujourdʼhui sur les nouvelles dispositions qui entraîneront des changements pour sa propre entreprise, afin de pouvoir réaliser les adaptations nécessaires dans les meilleurs délais.

Quelles technologies de protection des données les entreprises devraient-elles privilégier et adopter le plus rapidement possible ?

Il existe une offre importante de logiciels destinés uniquement à simplifier les démarches des entreprises en matière de protection des données. Chez Abacus, nous cherchons nos propres solutions en interaction avec notre logiciel pour répondre à ces exigences. Bien que la technologie ne simplifie pas toujours la protection des données, mais la complique plutôt, dans la mesure où elle permet souvent de collecter davantage de données, elle peut nous soulager de certaines tâches liées à la protection des données. Il est par exemple possible de transposer un concept de suppression de manière à ce que les données puissent être automatiquement supprimées après une durée de conservation définie, comme dans le module Abacus de gestion des candidats. Je pense également aux fonctions de recherche inter-applications qui simplifient la recherche dʼinformations dans lʼensemble du logiciel Abacus. Ainsi, les demandes de renseignements ou de suppression de données peuvent être traitées beaucoup plus rapidement.

Quelle conséquence cela a-t-il pour Abacus ?

Il y a ici deux points de vue: dʼune part, en tant quʼentreprise, nous sommes nous-mêmes responsables de la protection des données et nous devons appliquer les nouvelles exigences que la loi nous impose. Ainsi, ma fonction de déléguée à la protection des données existe déjà depuis plus de trois ans au sein du groupe Abacus. Une ligne directrice sur ce sujet a été élaborée pour toutes les entreprises du groupe Abacus. Nous sensibilisons tous les collaborateurs sur des thèmes tels que la protection des données, la sécurité informatique et bien dʼautres encore. Ainsi, nous renforçons la protection des données à tous les niveaux chez Abacus. Mais ces tâches représentent également un travail considérable. Cʼest pourquoi une équipe dédiée à la protection des données à lʼéchelle du groupe a été constituée cette année pour me soutenir dans mon travail. Je suis très reconnaissante aux directions des entreprises du groupe Abacus qui encouragent cette démarche très activement. Cʼest dire lʼimportance de la protection des données dans lʼentreprise. Dʼautre part, en tant que développeurs de logiciels, nous nous devons de programmer les logiciels Abacus de manière à ce que nos clients puissent respecter les exigences de la loi sur la protection des données et les appliquer chez eux le plus simplement possible. Nous avons également élaboré des concepts dans ce domaine afin de pouvoir proposer ces tâches jusquʼà lʼentrée en vigueur de la loi révisée sur la protection des données. Nous avons bon espoir dʼy parvenir.

Quels sont les principaux défis actuels et à venir ?

La protection des données nʼest pas un sprint, cʼest plutôt un marathon. Elle est présente dans notre travail quotidien. Tous nos collaborateurs veillent à la protection des données, ils sont les principaux acteurs dans ce thème. Selon moi, le risque le plus élevé pour la sécurité des données dans lʼentreprise en plus bien sûr de la sécurité informatique exigée  ne réside pas forcément dans la technologie, mais en nous-mêmes. Il est dans la nature humaine de commettre des erreurs. La formation des collaborateurs est donc primordiale. Cʼest pourquoi nous adaptons continuellement nos concepts de formation afin que tous les collaborateurs disposent des connaissances les plus récentes.

Un autre défi se pose également dʼun point de vue juridique: depuis le jugement de la CJUE rendant impossible le transfert de données vers les ÉtatsUnis, nous misons de plus en plus sur des solutions suisses proposées par des fournisseurs helvétiques. Ainsi, nous avons pour objectif – dans la mesure du possible – de conserver toutes les données soit en Suisse, soit dans les pays de lʼUE qui présentent un niveau de protection des données approprié. Les États-Unis, en revanche, ne disposent pas dʼun tel niveau. Cʼest pourquoi il est important dʼavoir une alternative aux grands fournisseurs Cloud américains avec DeepBox et son stockage de données en Suisse.

Andrea Tams

Andrea Tams a rejoint Abacus Research en mai 2019 en tant que Senior Legal Counsel et déléguée à la protection des données pour les entreprises du groupe Abacus. Elle a longtemps travaillé comme avocate en Allemagne et en Suisse, avec une spécialisation dans le droit des contrats et la protection des données. Elle est mariée et est maman de deux filles adolescentes.