La sécurité des données scolaires en Suisse laisse à désirer

Problèmes de santé, notes, comportement, téléphones et adresses mail, les établissements scolaires stockent des données importantes sur les élèves. Mais leur niveau de protection et leur conservation diffèrent selon les cantons.

Au total, ce sont des milliers de données personnelles qui sont collectées. Mais le directeur du collège l’assure: tout est mis en oeuvre pour protéger et sécuriser ces informations grâce, notamment, aux mots de passe qui sont changés régulièrement.

Mais surprise. Lorsque l’équipe de la RTS a tenté de se connecter, son navigateur l’a mise en garde: le site n’est pas suffisamment sécurisé.

Mais de l’aveu même du préposé à la protection des données des cantons de Neuchâtel et du Jura, Christian Flückiger, il est impossible de tout contrôler: “Il y a 2000 enseignants dans le canton de Neuchâtel et 20’000 élèves. Donc tout ce que je peux faire, c’est donner les bonnes pratiques et intervenir si quelqu’un dénonce un traitement incorrect. Mais on n’est pas à l’abri que, parmi les centaines de milliers de données, toutes ne respectent pas la protection des données. Je ne me fais pas d’illusion.”

Pour éviter les dérives, ces données scolaires doivent être détruites dès la fin de la scolarité. Mais les règles varient d’un canton à l’autre: de 3 ans de conservation en Valais contre 100 ans à Genève.

Des délais excessifs pour Sylvain Métille, avocat spécialisé dans la protection des données: “Ça paraît difficilement justifiable, puisque les données doivent être conservées le temps de l’objectif. On peut admettre un petit délai, ensuite ça devrait être basculé dans les archives.

Source : RTS Info

La Suisse est en retard en matière de protection des données personnelles

Les futures règles de l’Union européenne (UE) sont censées mieux encadrer les activités d’entreprises comme Facebook, qui brassent des millions de données chaque jour. Les utilisateurs, eux, seront mieux protégés.

Mais en Suisse, la modernisation de la législation en la matière prendra encore plusieurs années. Les utilisateurs suisses devront donc encore patienter et plusieurs spécialistes de la protection des données protestent contre ce retard.

Le Parlement a opté en janvier pour un examen en deux temps: d’abord la protection des données sous l’angle policier et sécuritaire et ensuite seulement le contrôle des plateformes et la protection des utilisateurs, au mieux l’an prochain.

Source : RTS Info

L’économie suisse en danger

La stratégie décidée par la Suisse est «dangereuse», le risque de se reposer sur des institutions étrangères s’apparente à un «naufrage» qui pourrait s’avérer «cataclysmique». Cette semaine, des sommités du monde académique, des avocats, des responsables de l’économie et des préposés à la protection des données sonnent l’alarme: si la loi actuelle sur les données n’est pas révisée rapidement, les conséquences pour la Suisse pourraient s’avérer désastreuses.

Dans leur lettre, la vingtaine de personnalités estiment qu’une «mise à jour de la loi suisse est indispensable et urgente». «En conservant une loi qui a plus de vingt-cinq ans, la Suisse risque de perdre son statut de pays équivalent, ce qui rendrait le transfert de données de l’UE vers la Suisse plus compliqué. Les sous-traitants et fournisseurs de services suisses seraient particulièrement désavantagés», affirment les signataires. Parmi eux se trouvent Edouard Bugnion, professeur à l’EPFL et vice-président pour les systèmes d’information, Sébastien Kulling, responsable de Digitalswitzerland pour la Suisse romande, ou encore Sophie Michaud Gigon, secrétaire générale de la FRC.

Selon eux, «le RGPD ne doit pas être un standard qui se substitue au cadre juridique suisse. On voit pourtant déjà des entreprises suisses affirmer leur conformité au droit européen, en l’absence de référentiel valable en Suisse.» «La commission du National a pris une décision absurde en janvier, c’est une hérésie de perdre autant de temps», affirme Jean-Henry Morin, professeur de systèmes d’information à l’Université de Genève, initiateur de cette lettre avec l’avocat Sylvain Métille.

Source : Le Temps

Les objets connectés, risque ou opportunité ? – Me Sylvain Métille

Le texte suivant est extrait du blog de Me Sylvain Métille :

“Les objets connectés apportent nombre de nouvelles opportunités. Malheureusement, ils sont trop souvent conçus et déployés sans prendre en compte les principes de base de sécurité et de protection des données. Par ignorance, par économie ou par gain de temps, ils font courir des risques importants à leurs utilisateurs.

Ces objets ne sont plus déconnectés et indépendants, mais ce sont désormais des ordinateurs et des logiciels informatiques connectés à des réseaux externes. Ils devraient être traités comme tels et sécurisés. C’est rarement le cas et ils sont exposés aux virus, failles de sécurité, prises de contrôle à distance et autres vulnérabilités. La durée d’utilisation d’un réfrigérateur connecté pourrait bien dépasser largement celle des mises à jour du logiciel qu’il contient. Si ce logiciel est corrompu, le réfrigérateur ne pourra causer directement que des dégâts limités, mais il sera en revanche une porte d’entrée sur l’ensemble du réseau auquel il est connecté (réseau privé ou Internet), ce qui crée alors un risque de sécurité important. Cela ne concerne plus seulement quelques infrastructures techniques complexes, mais n’importe quelle maison ou appartement.

En Suisse, aucune mesure n’a été prise. Le Conseil fédéral considère que les jouets connectés doivent notamment respecter la Loi fédérale sur la protection des données (LPD), l’Ordonnance du DFI sur la sécurité des jouets (OSJo) et l’Ordonnance sur les installations de télécommunication (OIT). L’écoute et l’enregistrement de conversations peut en outre être constitutif d’une infraction pénale (art. 179ter ss CP).”

Vous pouvez lire le texte complet sur le blog de Me Sylvain Métille

 

Le RGPD, règlement général sur la protection des données européen et son application en Suisse

Le RGPD entre en application le 25 mai 2018. Ce nouveau règlement européen sur la protection des données personnelles rééquilibre les forces et donne un peu plus de pouvoir aux citoyens et aux consommateurs. Il offre un droit de transparence sur les données recueillies et la manière dont elles sont exploitées. Dans David contre Goliath, c’est David qui gagne à la fin?

Guide pratique avec Jean-Philippe Walter, Préposé suppléant à la protection des données personnelles et Sylvain Métille, avocat spécialiste de la protection des données, du droit de l’informatique et des technologies.

Source : RTS

Le sprint des entreprises suisses pour intégrer la loi européenne

Le RGPD veut redonner le contrôle de ses données au citoyen de l’Union européenne, entre en vigueur le 25 mai et concerne aussi la Suisse. Car le RGPD touche «toutes les entreprises qui offrent des biens ou des services à des personnes sur le territoire de l’UE». Tout usager pourra connaître qui a lesquelles de ses données et pour en faire quoi, il aura la possibilité de les retirer (portabilité) et bénéficiera du droit à l’oubli.

Même si votre activité ne se déroule qu’en territoire suisse et qu’avec des Suisses, et que vous ne pensez donc pas être touché par le RGPD, votre serveur se trouve peut-être dans l’UE, ou votre gestionnaire de newsletters: «Concentrez donc vos efforts sur la loi européenne, il faut oublier la LPD, la loi suisse sur la protection des données», conseille l’avocat valaisan Sébastien Fanti. «Ne faites pas le service minimum, protégez votre entreprise en visant le niveau supérieur du RGPD!» Le consensus est là: il faut anticiper les risques. Bon à savoir: le Maroc, Singapour ou la Turquie préparent des lois RGPD-compatibles. Enfin, toute entreprise qui voudrait participer à un appel d’offres public dans l’UE devra évidemment remplir les exigences du RGPD.

Source : Le Temps

Poster RGPD

Retrouvez également les questions-réponses du conseil fédéral concernant le RGPD sur le blog de François Charlet

Kit d’accompagnement à la mise en conformité au RGPD

La FER Genève, en collaboration avec Le Clusis, l’État de Genève et Swiss Made Security, met à disposition des entreprises un kit destiné à les guider dans le cadre d’un processus de mise en conformité au RGPD.

Source et lien vers le kit : FER Genève

Ressources concernant le RGPD proposées par Lexing Switzerland

  • Texte du RGPD
  • Lexique
  • Data visualisation
  • Modèles de registre des activités de traitement
  • Modèles de notification à l’autorité de contrôle d’une violation de données à caractère personnel
  • Modèles d’analys d’impact relative à la protection des données
  • Désignation d’un délégué à la protection des données
  • Lignes directrices
  • Diverses ressources supplémentaires

Source et ressources : Lexing Switzerland

Mes données sur Internet, ou le consentement prisonnier

Faut-il renoncer à maîtriser la circulation de nos données ? Le point sur ces informations personnelles que les acteurs du marché pillent, avec notre accord.

La quantité et la qualité de ces informations transmises malgré vous dépendent bien sûr du degré d’intrusion des sites, de ce que vous-même avez laissé comme traces sur le Web, et de ce qu’on y a dit de vous. C’est au minimum l’adresse IP de votre ordinateur bien sûr, et ce peut être aussi, selon les sites, votre géolocalisation, votre mail, vos centres d’intérêt, votre réseau d’amis, leurs informations sur vous – la palme à Facebook qui, même fermé, aspire tout.

«Le consentement est censé être libre et éclairé, rappelle Sylvain Métille, avocat spécialisé dans la protection des données et blogueur passionnant, mais, pour qu’il soit vraiment libre, il faudrait que je puisse dire non. La réalité, c’est que c’est rarement le cas, sinon on me prive de services devenus presque indispensables.» Sans accepter la charte Google qui annonce que «Nos systèmes automatisés analysent vos contenus (y compris vos e-mails)», plus de Gmail, de Google Maps, de Google Docs. «Le consentement à l’utilisation de vos données intervient de toute façon trop tard, au moment où vous arrivez sur un site il y a déjà un cookie, note aussi François Charlet, autre juriste spécialisé dans la protection des données. «Et voilà comment Google et Facebook en savent beaucoup plus sur mes activités ces dernières années que ma mère…» D’autant que nombre d’internautes acceptent aussi de remplir, cette fois en toute connaissance de cause, des formulaires très intrusifs: «Pourquoi dire si on est chrétien pour louer une voiture? Seules les informations nécessaires à la fourniture du service devraient être obligatoires. J’ai l’impression qu’on profite des gens à une échelle impressionnante.»

D’une manière générale, ne donnez que le strict minimum d’informations sur vous. Méfiez-vous des questionnaires trop curieux ou des quiz ludiques sur vos goûts littéraires ou au cinéma, merveilleuse source de données intimes. Ne cochez pas ou décochez les cases «J’accepte que mes données soient transmises à des sites tiers». Ayez plusieurs adresses e-mail et compartimentez. Ne connectez pas vos réseaux sociaux avec d’autres sites. Ne donnez pas d’informations sur d’autres personnes que vous, ne partagez pas vos carnets d’adresses. Paramétrez un bon antispam. Téléchargez des bloqueurs de pub (adblock), vérifiez vos cookies (ghostery), faites les tests de Lightbeam, Panopticlick, AmIUnique et adaptez vos comportements. Privilégiez la navigation privée, changez de moteur de recherche. Téléchargez Dataselfie et attendez quelques semaines. L’application analyse tous vos messages postés, aimés, partagés sur Facebook, et pourra vous dire si vous donnez l’impression d’être dépensier, religieux, solitaire ou susceptible de lancer une start-up. Impressionnant.

Source : Le Temps