Nota bene : La présente contri­bu­tion fait partie d’une série de deux contri­bu­tions consa­crées à la nouvelle Loi gene­voise sur l’information du public, l’accès aux docu­ments et la protec­tion des données person­nelles (nLIPAD) adop­tée par le Grand conseil gene­vois le 3 mai 2024 (cf. www​.swiss​pri​vacy​.law/​326 pour un tour d’horizon des nouveau­tés de la nLIPAD). Cette seconde contri­bu­tion vise à présen­ter des pistes de réflexion en vue de sa mise en œuvre au sein des insti­tu­tions publiques.

I. Introduction

La nLIPAD intro­duira des chan­ge­ments impor­tants dans la gestion des données person­nelles trai­tées par les insti­tu­tions publiques gene­voises. À ce jour, l’entrée en vigueur de la nLIPAD n’est toute­fois pas encore connue, le Conseil d’État gene­vois devant encore se pronon­cer après avoir fina­lisé la révi­sion du Règlement d’application (RIPAD). Malgré cette incon­nue, il est impé­ra­tif pour les insti­tu­tions publiques de se prépa­rer dès à présent, dans la mesure où la nLIPAD, à la diffé­rence de certaines autres légis­la­tions canto­nales, ne prévoit aucun délai tran­si­toire et s’appliquera immé­dia­te­ment dès son entrée en vigueur, qui devrait proba­ble­ment inter­ve­nir dans la deuxième moitié de l’année 2025.

La mise en œuvre des nouveau­tés appor­tées par la nLIPAD consti­tue la prochaine étape pour les insti­tu­tions publiques gene­voises. La mise en œuvre des nouvelles obli­ga­tions s’avère complexe, dans la mesure où elles requièrent des compé­tences inter­dis­ci­pli­naires mêlant des connais­sances juri­diques, tech­niques, mais égale­ment une compré­hen­sion appro­fon­die des enjeux orga­ni­sa­tion­nels. Cette approche trans­ver­sale peut repré­sen­ter un défi pour les insti­tu­tions publiques qui ne disposent pas toujours des ressources humaines, finan­cières ou spéci­fiques à ce domaine. Afin de les soute­nir, nous propo­sons dans le cadre de la présente contri­bu­tion une approche métho­do­lo­gique concrète et adap­tée à la nLIPAD, fruit de notre expé­rience avec des légis­la­tions simi­laires dans d’autres cantons.

II. Programme de protec­tion des données — À quoi ça sert ?

La compré­hen­sion des légis­la­tions en matière de protec­tion des données peut, en appa­rence, sembler théo­ri­que­ment simple. Leur systé­ma­tique est raison­na­ble­ment simi­laire, celles-ci étant consti­tuées de prin­cipes, qui fondent leur noyau dur, de droits à dispo­si­tion des personnes concer­nées, ainsi que d’obligations qui incombent au respon­sable du trai­te­ment. Toutefois, la mise en œuvre de ces légis­la­tions s’avère en pratique bien plus complexe, et la nLIPAD n’échappe pas à la règle.

La mise en œuvre de la nLIPAD néces­site une adap­ta­tion des exigences légales aux parti­cu­la­ri­tés de chaque insti­tu­tion publique, tout en inté­grant à des ques­tions propres à ses acti­vi­tés et à ses proces­sus internes. Les axes de travail à envi­sa­ger dans ce cadre sont nombreux, allant de la défi­ni­tion précise des rôles et respon­sa­bi­li­tés, à l’identification des acti­vi­tés de trai­te­ments impli­quant des sous-trai­tants jusqu’à la gestion des risques. C’est la raison pour laquelle un « programme de protec­tion des données » s’impose, non seule­ment pour assu­rer une posture de confor­mité adéquate, mais égale­ment pour en faire un levier opéra­tion­nel au sein de chaque institution.

De manière géné­rale, un « programme de protec­tion des données » comprend un cadre de gestion struc­turé et de mesures desti­nées à guider l’organisation dans sa gestion de la protec­tion des données. Son objec­tif dépasse la simple recherche de la confor­mité légale pour viser un équi­libre durable entre la protec­tion des droits des personnes concer­nées et le fonc­tion­ne­ment quoti­dien de l’organisation. Construit selon un proces­sus itéra­tif, un programme de protec­tion des données permet une adap­ta­tion agile face aux évolu­tions légales, tech­niques et organisationnelles.

Les béné­fices d’un tel programme sont multiples. Il permet tout d’abord d’assurer autant que possible la confor­mité légale en inté­grant, dans le cas présent, les exigences de la nLIPAD au sein des proces­sus internes, mais égale­ment les exigences légales d’autres légis­la­tions pouvant avoir un lien avec la protec­tion des données. Il renforce égale­ment la sécu­rité des données en iden­ti­fiant et en trai­tant les risques de manière ciblée. Par ailleurs, un programme bien struc­turé faci­lite consi­dé­ra­ble­ment le trai­te­ment des demandes des personnes concer­nées, au travers de procé­dures claires. Il contri­bue égale­ment à renfor­cer la confiance des parties prenantes, qu’il s’agisse des colla­bo­ra­teurs ou des citoyens, en démon­trant un enga­ge­ment tangible envers la protec­tion des données. Enfin, le programme aide géné­ra­le­ment l’organisation à mieux se prépa­rer aux situa­tions de crise, notam­ment en cas de viola­tion de la sécu­rité des données.

III. Programme de protec­tion des données — Axes de travail 

La mise en œuvre d’un programme de protec­tion des données exige une approche struc­tu­rée dans le cadre duquel chaque compo­sante assure une prise en compte complète des enjeux juri­diques, tech­niques et orga­ni­sa­tion­nels. Un tel programme repose en règle géné­rale sur neuf axes de travail essen­tiels, chacun répon­dant à des problé­ma­tiques spéci­fiques, pour­tant inter­con­nec­tées les unes aux autres.

Le premier axe concerne le cadre de gestion, qui implique l’identification du contexte interne et externe dans lequel évolue l’institution publique, en parti­cu­lier ses objec­tifs, ses parties prenantes et les contraintes légales spéci­fiques appli­cables. Le cadre de gestion permet de défi­nir les prio­ri­tés et d’orienter concrè­te­ment les actions, qui doivent être forma­li­sées à travers des poli­tiques claires. Le cadre de gestion implique égale­ment d’analyser la ques­tion des rôles et des respon­sa­bi­li­tés au sein de l’institution publique, notam­ment les personnes qui doivent être en charge des ques­tions de la protec­tion des données. Si le conseiller LIPAD joue un rôle essen­tiel sur ce point, ce dernier ne peut toute­fois pas assu­mer seul l’entier du travail.

Le deuxième axe porte sur la gestion des acti­vi­tés de trai­te­ment, qui consiste à iden­ti­fier et docu­men­ter les acti­vi­tés de trai­te­ment au sein de l’institution publique. Cet exer­cice passe prin­ci­pa­le­ment par la tenue, respec­ti­ve­ment l’élaboration, d’un registre des acti­vi­tés de trai­te­ment, un outil clé puisqu’il repré­sente le point de départ de tout contrôle par le Préposé à la protec­tion des données, mais égale­ment le socle pour la mise en œuvre des droits et des obli­ga­tions, ainsi que pour l’évaluation des risques (cf. www​.swiss​pri​vacy​.law/​294 sur la consti­tu­tion d’un registre des acti­vi­tés de traitement).

Le troi­sième axe se concentre sur la gestion des rela­tions avec les sous-trai­tants. Cela passe par l’identification claire des sous-trai­tants et la forma­li­sa­tion des rela­tions à travers des contrats. Ces derniers doivent inclure des clauses spéci­fiques rela­tives à la protec­tion des données, telles que des obli­ga­tions de confi­den­tia­lité, des enga­ge­ments en matière de sécu­rité et des méca­nismes de contrôle (p. ex. droit d’audit).

Le quatrième axe concerne la gestion des risques. Elle implique d’identifier, d’apprécier et de trai­ter les risques asso­ciés aux trai­te­ments de données person­nelles, en tenant compte des diffé­rentes menaces. Cette gestion passe par la mise en place d’un plan struc­turé, incluant des outils comme des matrices de risque ou des analyses d’impact sur la protec­tion des données pour les trai­te­ments présen­tant des risques élevés.

Le cinquième axe porte sur la gestion de la sécu­rité, fondée sur la mise en œuvre de mesures orga­ni­sa­tion­nelles et tech­niques adap­tées telles que la gestion des accès et des moyens d’authentification ainsi que la clas­si­fi­ca­tion et le marquage des données. La gestion de la sécu­rité implique égale­ment des réflexions rela­ti­ve­ment profondes quant à la rési­lience infor­ma­tique et à la conti­nuité d’activité en cas de perturbations.

Le sixième axe se concentre sur le respect des droits des personnes concer­nées, tels que le droit d’accès ou de recti­fi­ca­tion. Cela néces­site la mise en place de procé­dures claires pour trai­ter ces demandes dans les délais impar­tis et de manière effi­ciente. Chaque insti­tu­tion doit réflé­chir à l’instauration d’un canal de commu­ni­ca­tion dédié pour rece­voir les demandes des personnes concernées.

Le septième axe porte sur la gestion des inci­dents. Il s’agit de détec­ter, signa­ler et répondre aux viola­tions de données. La gestion des inci­dents implique notam­ment l’élaboration d’une procé­dure pour évaluer leur gravité et en infor­mer, si néces­saire, l’autorité et les personnes concer­nées. Renforcer les capa­ci­tés de détec­tion et instau­rer un plan d’intervention rapide permet­tront égale­ment de limi­ter les impacts et de garan­tir le respect des obligations.

Le huitième axe met l’accent sur la sensi­bi­li­sa­tion et la forma­tion des colla­bo­ra­teurs aux enjeux de la protec­tion des données ainsi qu’à la sécu­rité. Des campagnes régu­lières et des forma­tions ciblées doivent être orga­ni­sées pour renfor­cer la culture de la sécu­rité et de la protec­tion des données au sein de l’institution publique.

Le neuvième, et dernier axe est dédié à la gestion de la confor­mité, qui consiste à struc­tu­rer et à docu­men­ter dans la durée les actions entre­prises pour respec­ter les obli­ga­tions. Cela inclut l’élaboration et la mise à jour des docu­ments clés, comme le registre des acti­vi­tés de trai­te­ment, et la mise en place d’un proces­sus de revue pério­dique pour garan­tir la perti­nence et l’actualité des pratiques internes.

IV. Conclusion

La mise en œuvre de la nLIPAD, comme toute autre légis­la­tion dédiée à la protec­tion des données, consti­tue un défi majeur pour les insti­tu­tions publiques gene­voises, qui devront s’engager acti­ve­ment dans le travail à four­nir. Si le rôle du conseiller LIPAD est essen­tiel pour coor­don­ner ces efforts, il ne peut à lui seul rele­ver l’ensemble des enjeux. Il sera impé­ra­tif pour chaque insti­tu­tion publique d’élaborer une stra­té­gie géné­rale et de mobi­li­ser les ressources néces­saires pour inté­grer dura­ble­ment les nouveau­tés appor­tées par la nLIPAD dans ses pratiques quoti­diennes. Selon notre expé­rience, le « programme de protec­tion des données » évoqué ci-dessus consti­tue un moyen prag­ma­tique et prouvé en pratique pour assu­rer la mise en confor­mité à la nLIPAD.