Application de la nouvelle législation chez Swissmedic Protection des données et sécurité de l’information : des priorités absolues

La révision complète de la loi sur la protection des données (LPD), entrée en vigueur le 1er septembre 2023, vise à améliorer la protection des données, à accroître la transparence au niveau de leur collecte et de leur traitement et à renforcer le droit des citoyens à l’autodétermination dans le domaine de l’information. « La LPD prend en compte l’évolution du contexte technologique et social afin de relever les défis nés de l’utilisation accrue des solutions numériques », explique Helga Horisberger, cheffe du secteur juridique, qui siège également à la direction de l’institut. « Nous avons mis en œuvre la nouvelle réglementation en suivant une approche conforme au droit mais aussi pragmatique que possible », continue-t-elle. « Ce qui complique fortement la tâche en l’occurrence, c’est que Swissmedic est soumis, en tant qu’autorité fédérale, à des exigences plus strictes que les entreprises privées, par exemple. »

La sensibilisation de l’ensemble du personnel est tout aussi importante que la réalisation technique des mesures en question. Car c’est ainsi que l’on peut s’assurer de ne collecter et stocker que les données réellement nécessaires – rien de plus ni de moins que ce qui est indispensable. En effet, « le plus gros risque en matière de protection des données ne réside pas dans la numérisation mais dans le facteur humain », explique notre experte. « C’est par notre comportement individuel et par les décisions que nous prenons que nous réduisons – ou augmentons – les risques en la matière. »

« Le plus gros risque en matière de protection des données se situe au niveau du comportement de chaque être humain et non de la numérisation. »

Transparence et contrôle

Swissmedic a analysé et renforcé ses propres pratiques en matière de protection des données afin de mettre en œuvre les modifications légales, notamment en élaborant une politique et des principes correspondants. Ces documents fondamentaux précisent les aspects organisationnels et techniques en décrivant les procédés et leur déroulement, et abordent par ailleurs les droits et les obligations de l’ensemble des collaborateurs internes et externes dans tous les secteurs en matière de traitement des données personnelles. Swissmedic a créé un guichet interne pour toutes les questions relatives à la protection des données, qui est aussi l’interlocuteur du Préposé fédéral à la protection des données et à la transparence (PFPDT). Les responsables de la protection des données au niveau des divisions se rencontrent régulièrement et de nombreuses formations sont proposées au personnel.

Les modifications de la LPD visent à aligner la Suisse sur les normes internationales, dont la législation européenne sur la protection des données, ce qui était déterminant pour que l’UE puisse reconnaître en décembre 2023 les mesures mises en place en Suisse pour protéger les données.

Les droits des personnes en point de mire

Les deux principes importants et nouveaux que sont « Privacy by Design » (protection des données par des moyens techniques) et « Privacy by Default » (protection des données grâce à un paramétrage favorable par défaut à la protection des données), garantissent l’intégration de cette nécessité dès la planification des modalités de traitement des données. En outre, la loi introduit l’obligation d’analyser l’impact sur la protection des données personnelles (AIPD), notamment lorsque le recours à de nouvelles technologies pour traiter de grandes quantités de données personnelles sensibles présente un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées. Cette analyse vise à identifier et à réduire les risques d’atteinte à la personnalité des personnes concernées. Le cas échéant, Swissmedic doit consulter le PFPDT, notamment lorsqu’un grand projet de numérisation risque d’occasionner la collecte et le stockage de données personnelles qui ne sont pas directement nécessaires pour accomplir les tâches prévues. Dans certains cas, il y a lieu d’édicter des règlements sur le traitement des données afin de préciser et de standardiser les modalités de collecte, de stockage, de protection, de transmission et de suppression des données personnelles.

Renforcement continu de la sécurité de l’information

La sécurité de l’information vise principalement à protéger toutes les informations pertinentes d’une organisation de tout accès non autorisé, de la perte ou de modifications non approuvées. « Dans le jargon, cela revient à garantir les objectifs de protection que sont la confidentialité, l’intégrité, la disponibilité et la traçabilité », explique Daniel Leuenberger, chef du secteur Infrastructure, lui aussi membre de la direction. Il s’agit parfois d’aspects très terre-à-terre comme la prévention des dommages aux ordinateurs ou aux systèmes de communication.

Face aux nouvelles menaces qui apparaissent sans cesse, il est indispensable de rester attentif en permanence et de s’adapter continuellement pour garantir la conformité juridique avec la nouvelle LPD et pour renforcer encore la sécurité de l’information. Les attaques par hameçonnage réalisées à l’aide de l’intelligence artificielle constituent un exemple récent. Des cybercriminels se servent de grands modèles de langage afin d’extraire à moindres frais des informations contextuelles plausibles provenant de communiqués ou de rapports d’activités, et de rédiger ensuite sur cette base de fausses dépêches réalistes pratiquement impossibles à dissocier des informations réelles.

Favoriser la prise de conscience pour réduire les risques

La loi sur la sécurité de l’information (LSI), entrée en vigueur le 1er janvier 2024, a créé un cadre juridique unique régissant la sécurité du traitement de l’information par la Confédération. Cette loi comble de nombreuses lacunes et sert de base pour améliorer durablement la sécurité de l’information. Déjà avant son entrée en vigueur, Swissmedic avait, en tant qu’unité administrative décentralisée de la Confédération, analysé les nouvelles dispositions en détail, afin de définir proactivement des règles, procédés et mesures permettant de piloter, de contrôler, de garantir et d’optimiser la sécurité de l’information. « Pour l’autorité agile et centrée sur les données qu’est l’institut, la confiance est un aspect essentiel », rappelle Daniel Leuenberger. « Les nouvelles dispositions légales envisagent les mesures en matière de sécurité de l’information comme un système global, ce qui nous conforte dans notre volonté de renforcer continuellement et systématiquement cet aspect. »

Concrètement, Swissmedic a déjà lancé plusieurs projets dans ce sens ces dernières années, dont la création du nouveau poste de Chief Information Security Officer (CISO) ainsi que du Bureau CISO, qui compte deux collaborateurs, afin de garantir la coordination, la mise en œuvre et la documentation de la sécurité de l’information dans l’ensemble de l’organisation. Un élément-clé en la matière est la création d’un système complet de management de la sécurité de l’information (SMSI) conforme à la norme ISO/CEI 27001, qui dépasse les exigences légales.

« Ce système garantit la mise en œuvre coordonnée de l’ensemble des mesures dans le système global de Swissmedic », explique Clemens Chizzali-Bonfadin, CISO de Swissmedic. « La sécurité de l’information, qui était jadis considérée essentiellement comme une thématique informatique, est vue de plus en plus comme une tâche holistique. » Le système global englobe tous les secteurs d’activités. La sécurité est ainsi organisée au niveau de l’institut dans son ensemble. « Les risques sont gérés et atténués là où ils se matérialisent », complète Clemens Chizzali-Bonfadin. En d’autres termes, les équipes directement concernées par un risque précis assument également la responsabilité de sa gestion, car elles sont les mieux à même d’en comprendre les conséquences et de prendre des mesures pour les réduire. Dès lors, les responsables des applications et des processus opérationnels rédigent eux-mêmes les documents sur les objets à protéger avec l’appui du Bureau CISO.

Le projet actuel d’introduction du SMSI chez Swissmedic s’est achevé en juin 2023, mais la gestion au quotidien de ce système implique des améliorations et des adaptations constantes. L’inventaire de l’ensemble des objets à protéger et des diverses applications, l’analyse régulière des risques, et la révision de la documentation sur les objets à protéger font également partie intégrante du SMSI, au même titre que les formations récurrentes proposées au personnel. Une application spécialisée a ainsi été déployée pour faciliter, standardiser et automatiser les processus et documents de ce système en mars 2024.