# 01\. Données sensibles :::admonition ## Objectifs * Retrouver les informations essentiels (loi, règlement, etc.) * Connaitre les différentes types de données * Connaitre les 7 principes de la protection des données ::: ## Les lois Les données et leur confidentialité sont soumises à des lois : Pour la Suisse, c'est la LDP (loi sur la protection des données) : [LPD](https://www.fedlex.admin.ch/eli/cc/1993/1945_1945_1945/fr/) Pour l'Union Européenne, c'est la RGPD (Règlement européen sur la protection des données) : [RGPD](https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679) La nouvelle LDP est entrée en vigueur le 1er septembre 2023 et renforce notamment : * Les droits des personnes (accès, rectification, effacement), * L’obligation d’information, * Et la responsabilité des entreprises en cas de violation. Un site intéressant pour se sensibiliser la protection des données : [Think Data](https://thinkdata.ch/) Le site sur la protection des données suisses : [PFPDT](https://www.edoeb.admin.ch/fr) (Préposé fédéral à la protection des données et à la transparence) ## Données et données sensibles Une donnée est une information qui est traitée et stockée de manière numérique. Il existe les données et les données personnelles. Les premières sont liées à des informations concernant un produit, une caractéristique, etc. Les secondes sont liées à des informations concernant une personne physique ou moral qui est identifiée ou identifiable. Certaines données personnelles sont dites sensibles, à savoir les opinions ou activités religieuses, philosophiques, politiques, syndicales ou culturelles ; les informations sur la santé, la sphère intime (Les faits et gestes que la personne ne veut pas partager avec autrui ou que dans un cercle très restreint, les convictions, les impressions, les goûts etc.), l'appartenance ethnique, les mesures d'aide sociale, les poursuites et sanctions pénales ou administratives. **Exemple de type de données** | Type de donnée | Exemple | Risque éthique | | ------------------ | -------------------------- | :------------- | | Donnée simple | Température d’un serveur | Faible | | Donnée personnelle | Adresse e-mail d’un client | Moyen | | Donnée sensible | Diagnostic médical | Élevé | Quelques exemples de fuite de données : * Fuite de données de la **Confédération (2024)** suite à une cyberattaque. L'entreprise Xplain a été victime d'un ransomware. [Cyberattaque contre l'entreprise Xplain](https://www.ejpd.admin.ch/fedpol/fr/home/aktuell/informationen/2023-09-11.html) * Cas **Swisscom 2018** : données clients exposées via un accès non autorisé via un partenaire commercial de Swisscom. [Quelque 800'000 clients de Swisscom victimes d'un vol de données](https://www.rts.ch/info/suisse/9315415-quelque-800000-clients-de-swisscom-victimes-dun-vol-de-donnees.html#:~:text=Les%20coordonn%C3%A9es%20de%20quelque%20800%27000%20clients%20de%20Swisscom,et%20les%20mesures%20de%20s%C3%A9curit%C3%A9%20ont%20%C3%A9t%C3%A9%20renforc%C3%A9es.) **Mini-cas de notre entreprise SX-Technologie** *"Un développeur propose d’utiliser une base de données américaine pour héberger les infos clients. Que doit-on vérifier avant d’accepter ?"* ## Confidentialité et protection des données Toutes les données sont soumises à un traitement et ont une durée de vie. Le schéma suivant doit être respecté : Collecte → conservation → exploitation → modification → communication → archivage → destruction ## Les principes en protection des données ### Licéité [nécessité] ou légalité Le traitement de données personnelles doit reposer sur une base légale, sur le consentement ou sur un intérêt prépondérant public ou privé. ### Finalité Les données personnelles ne doivent être traitées que dans le but indiqué lors de leur collecte, qui est prévu par la loi ou qui ressort des circonstances. ### Proportionnalité [minimisation] Le traitement des données personnelles doit être nécessaire, adéquat et le moins intrusif possible. ### Exactitude Les données personnelles sont correctes et mises à jour ; si nécessaire (par ex. inexactes ou incomplètes) sont effacées ou rectifiées ### Bonne foi [loyauté] Les données ne doivent en principe pas être collectées et traitées à l’insu de la personne concernée ou contre sa volonté. ### Transparence de la collecte [information] La collecte de données personnelles et sa finalité doivent être reconnaissables pour la personne concernée. ### Sécurité Les données personnelles doivent être protégées contre tout traitement non autorisé, par des mesures organisationnelles et techniques appropriées : * La disponibilité * L’intégrité (données intactes) * La confidentialité ## Discussion ouverte Peut-on vraiment garantir la confidentialité des données à l’ère du cloud et de l’IA ?