«Nous devons traiter les données comme de l’argent»

1. Où se situent vos défis au quotidien?

Nicolas Passadelis: La complexité en matière d’IT et de télécommunication n’a cessé de croître ces dernières années. En parallèle, les exigences légales et réglementaires pour le traitement des données continuent de se renforcer. Dans ce contexte, mettre en œuvre toutes les exigences requises relève d’un vrai challenge.

2. Quelles sont les bases de la conformité chez Swisscom?

Swisscom possède un système de gestion pour la protection et la confidentialité des données et bien entendu pour leur sécurité. À cette fin, nous appliquons des standards internationaux, et notamment différentes normes ISO. Tout cela fait partie intégrante de notre système de gestion de la conformité à l’échelle du groupe. De plus, nous avons instauré un Data Ethics Framework qui nous aide à clarifier les questions éthiques en lien avec le traitement des données ou l’utilisation des nouvelles technologies.

3. Quels sont les défis de Swisscom en matière de protection des données? Et comment les abordez-vous?

Les données que Swisscom traite chaque jour sont soumises à une multitude d’exigences légales. Sans compter les risques divers et variés en lien avec le traitement des données. L’enjeu consiste à répondre à toutes ces exigences sans entraver les processus techniques et opérationnels. Nous avons donc mis en place une série de mesures techniques, opérationnelles et personnelles afin de choisir la meilleure solution au cas par cas.

4. En quoi la classification comme «infrastructure critique» ou les dispositions légales sur les télécommunications impactent-elles les exigences de conformité et de protection des données?

De façon générale, les infrastructures et les données doivent bénéficier d’une protection maximale. Aucun compromis n’est justifiable auprès de nos clientes et clients. Ils nous confient leurs données et s’attendent à ce qu’elles soient en parfaite sécurité. Mais il est clair que certaines données et infrastructures requièrent une protection encore supérieure. Et nous devons bien entendu y répondre aussi.

5. Qu’impliquent nos exigences de conformité pour nos partenaires, tels que les fournisseurs ou les partenaires IT pour PME?

Les données doivent toujours être bien protégées. Qu’elles soient traitées par nous ou par l’un de nos partenaires, cela ne fait aucune différence. Comme la relation client passe en général par nous, nous avons aussi la responsabilité de veiller à la protection des données par nos partenaires. Ces derniers doivent donc être prêts à appliquer nos exigences.

6. Quel rôle joue le facteur humain dans la protection des données?

À ce stade, le facteur humain joue un rôle encore très important. Nous travaillons toutes et tous au quotidien avec des données et nous devons donc apprendre à les traiter en permanence avec soin. En clair, nous devons connaître les données que nous gérons, mais aussi maîtriser les moyens techniques nécessaires à cet effet. Il nous faut aussi avoir une notion des risques en cas de traitement de données spécifique. Cela peut être parfois très compliqué. Mais il n’existe pas d’alternative. En fait, nous devons traiter les données comme de l’argent. Sur ce sujet, nous nous trompons rarement.

7. Quelle est l’influence du «New Work», et de ses différentes formes comme le télétravail, sur la conformité et la protection des données?

La façon de travailler ne joue en principe aucun rôle. Dans tous les cas, la protection doit être garantie. Mais le fait est que les nouvelles formes de travail présentent un profil de risque différent par rapport aux habitudes de bureau. Ce profil exige d’autres mesures. Le traitement de certaines données dans des pays moins fiables doit par exemple être limité techniquement, voire interdit.

8. Qu’implique pour Swisscom la nouvelle loi suisse sur la protection des données qui entrera en vigueur au 1er septembre 2023?

Pour appliquer la nouvelle loi sur la protection des données, nous avons instauré un programme complet il y a deux ans déjà et nous serons prêts à la date butoir. Toutefois, notre système de gestion ne nécessite pas d’ajustement majeur. La loi en place était déjà efficace. De plus, dans certains domaines, Swisscom est soumise au Règlement général sur la protection des données (RGPD). Sans oublier les nombreuses exigences stipulées dans nos contrats. La révision est toutefois l’occasion de vérifier notre système de gestion et de l’optimiser ici ou là.