«La protection intégrée de la vie privée peut apporter des avantages tangibles en termes de compétitivité»

Depuis toujours, la REMP considère la protection des données personnelles comme un sujet central. Depuis un an environ, elle a renforcé ses activités dans ce domaine et pris à ses côtés, comme intervenant extérieur chargé de la protection des données, Reto C. Zbinden, fondateur et propriétaire de Swiss Infosec AG. Dans un entretien avec le chargé en interne de la protection des données à la REMP, Marc Sele, ce spécialiste chevronné aborde les défis sur lesquels notre secteur d’activité devrait se pencher en matière de protection des données personnelles, en quoi, sur ce point, la REMP se distingue d’autres entreprises, ce qu’elle a déjà bien fait et ce qu’elle pourrait encore améliorer.

Bonjour, Monsieur Zbinden! La loi fédérale suisse sur la protection des données (LPD) est applicable, en l’état, depuis vingt-six ans. Depuis l’entrée en vigueur du règlement général de l’UE sur la protection des données (RGPD), en 2018, de nombreux efforts sont en cours, également dans notre pays, bien que ce règlement ne soit, dans un premier temps, applicable qu’aux pays membres de l’UE. Qu’est-ce qui vous préoccupe actuellement le plus?

En tous les cas, le règlement général de l’UE sur la protection des données dont vous venez de parler a donné en la matière des impulsions essentielles qui vont au-delà de l’Europe. Il n’en reste pas moins que les obligations imposées vont si loin que pratiquement aucune entreprise n’est en mesure d’affirmer qu’elle est capable, en mettant en œuvre des moyens raisonnables, de les respecter toutes. Cette réalité engendre à son tour le risque potentiel d’arbitraire de la part des autorités dès lors qu’il s’agira de prononcer des amendes. Qui sanctionner si je peux, en fait, sanctionner tout le monde? Nous faisons volontiers confiance aux autorités pour qu’elles prennent ce genre de décisions de manière circonspecte et équitable, mais un certain malaise persiste néanmoins.

Les entreprises suisses traitent-elles en général la protection des données avec trop de légèreté?

Nous avons pu observer des écarts importants lors de nos entretiens de conseil et lors des formations, mais de nombreuses entreprises ont la volonté de rattraper leur retard. Il y a deux ans, d’innombrables organismes ont décidé, suite à l’introduction de la réglementation européenne plus stricte en matière de protection des données, de porter davantage d’attention au sujet. Bien qu’il soit possible d’obtenir des résultats d’envergure en peu de temps, une sensibilisation sur ce thème a besoin du soutien à long terme des instances dirigeantes et, ne l’oublions pas, de persévérance de la part de tous les acteurs.

Selon vous, à quels défis le secteur des médias et de la publicité va-t-il se trouver concrètement confronté?

Il s’agit sans aucun doute des conséquences d’une numérisation qui va encore se renforcer. Dans le secteur en ligne, le type de modèle commercial dans lequel la prestation n’est pas fournie contre paiement mais «contre des données », devrait occuper une place croissante. Si ces données ont un caractère personnel, la protection des données doit être respectée.

Le législateur va d’ici peu mettre la pression sur le démarchage téléphonique auprès des particuliers. À l’avenir, les personnes sans astérisque seront mises sur un pied d’égalité avec celles ayant un astérisque. Les appels non sollicités seront donc pratiquement prohibés.

Pour prendre en compte convenablement la protection des données, des mesures sont nécessaires, tant en termes d’organisation que de technique informatique. Lesquelles considérez-vous comme incontournables?

L’attribution parfaitement claire des domaines de compétences au sein de l’entreprise se révèle régulièrement comme étant l’un des éléments névralgiques. En outre, il apparaît bien souvent que les meilleures recettes n’apportent pas grand-chose si elles ne parviennent pas à pénétrer l’entité par tous ses pores. La sensibilisation et les formations axées au maximum sur la pratique vont dans ce sens. Enfin, nous voyons aussi un grand avantage à effectuer régulièrement des analyses de la situation, éventuellement en consultant des spécialistes qui sont en mesure d’apporter, si nécessaire, un point de vue de l’extérieur.

Il y a un an, environ, vous avez pris la fonction de chargé de la protection des données à la REMP. En quoi la REMP se distingue-t-elle de vos autres clients?

La REMP s’investit déjà très fortement au stade de la protection préventive des données en faisant des efforts déterminants pour que les données soient collectées, autant que faire se peut, de façon anonyme, ce qui est rendu possible par une anonymisation en amont.

En tant qu’organisme de recherche sectoriel, la REMP travaille dans un domaine sensible en termes de droit relatif à la protection des données, où les données à caractère personnel jouent un rôle important. Comment évaluez-vous les efforts de la REMP dans ce domaine?

La REMP encourage la protection des données de manière absolument systématique dans son domaine d’influence tout en veillant scrupuleusement à l’aspect rigoureux des différentes mesures. Il convient de souligner à cet égard également l’analyse approfondie de la sécurité informatique qui a été réalisée et l’exhaustivité des règles internes de protection des données.

Ces mesures mobilisent des ressources très importantes (personnel, temps, coûts…). Cet énorme investissement est-il justifié pour une petite entreprise comme la REMP ou une version «allégée» aurait-elle suffi?

Comme je l’ai déjà mentionné, la protection des données est aussi une affaire de persévérance. Il est, selon nous, parfaitement légitime de s’interroger sur le fait que proportionnellement, les PME doivent, pour certaines, peut-être investir davantage que les grandes entreprises. Cependant, dès lors que le produit en soi est constitué de données ou de leur traitement, la protection intégrée de la vie privée peut, de nos jours, représenter un avantage substantiel en termes de compétitivité et même éventuellement renforcer le potentiel de certaines données.

En quoi la REMP peut-elle encore s’améliorer?

Il est toujours possible de s’améliorer, mais nous déconseillons de viser la perfection. Il s’agit plutôt de mettre en place des mesures adaptées à l’environnement du marché et aux risques pour les individus, aussi en tenant compte de coûts que cela engendre. À la REMP comme dans de très nombreuses autres entreprises, les différentes procédures internes pourraient être encore mieux consignées dans des documents.

Merci beaucoup de ces passionnantes explications et de vos suggestions.

Media-Scout
hide