Exigences de conformité, évolution de la législation sur la protection des données et nouvelles formes de travail (p. ex., télétravail): la mission de Nicolas Passadelis, responsable de la protection des données chez Swisscom, comporte de nombreux défis. Il nous en dit plus dans cette interview.
Texte: Andreas Heer, Photo: Swisscom
30 septembre 2022
Nicolas Passadelis: La complexité en matière d’IT et de télécommunication n’a cessé de croître ces dernières années. En parallèle, les exigences légales et réglementaires pour le traitement des données continuent de se renforcer. Dans ce contexte, mettre en œuvre toutes les exigences requises relève d’un vrai challenge.
Swisscom possède un système de gestion pour la protection et la confidentialité des données et bien entendu pour leur sécurité. À cette fin, nous appliquons des standards internationaux, et notamment différentes normes ISO. Tout cela fait partie intégrante de notre système de gestion de la conformité à l’échelle du groupe. De plus, nous avons instauré un Data Ethics Framework qui nous aide à clarifier les questions éthiques en lien avec le traitement des données ou l’utilisation des nouvelles technologies.
Les données que Swisscom traite chaque jour sont soumises à une multitude d’exigences légales. Sans compter les risques divers et variés en lien avec le traitement des données. L’enjeu consiste à répondre à toutes ces exigences sans entraver les processus techniques et opérationnels. Nous avons donc mis en place une série de mesures techniques, opérationnelles et personnelles afin de choisir la meilleure solution au cas par cas.
De façon générale, les infrastructures et les données doivent bénéficier d’une protection maximale. Aucun compromis n’est justifiable auprès de nos clientes et clients. Ils nous confient leurs données et s’attendent à ce qu’elles soient en parfaite sécurité. Mais il est clair que certaines données et infrastructures requièrent une protection encore supérieure. Et nous devons bien entendu y répondre aussi.
Les données doivent toujours être bien protégées. Qu’elles soient traitées par nous ou par l’un de nos partenaires, cela ne fait aucune différence. Comme la relation client passe en général par nous, nous avons aussi la responsabilité de veiller à la protection des données par nos partenaires. Ces derniers doivent donc être prêts à appliquer nos exigences.
À ce stade, le facteur humain joue un rôle encore très important. Nous travaillons toutes et tous au quotidien avec des données et nous devons donc apprendre à les traiter en permanence avec soin. En clair, nous devons connaître les données que nous gérons, mais aussi maîtriser les moyens techniques nécessaires à cet effet. Il nous faut aussi avoir une notion des risques en cas de traitement de données spécifique. Cela peut être parfois très compliqué. Mais il n’existe pas d’alternative. En fait, nous devons traiter les données comme de l’argent. Sur ce sujet, nous nous trompons rarement.
La façon de travailler ne joue en principe aucun rôle. Dans tous les cas, la protection doit être garantie. Mais le fait est que les nouvelles formes de travail présentent un profil de risque différent par rapport aux habitudes de bureau. Ce profil exige d’autres mesures. Le traitement de certaines données dans des pays moins fiables doit par exemple être limité techniquement, voire interdit.
Pour appliquer la nouvelle loi sur la protection des données, nous avons instauré un programme complet il y a deux ans déjà et nous serons prêts à la date butoir. Toutefois, notre système de gestion ne nécessite pas d’ajustement majeur. La loi en place était déjà efficace. De plus, dans certains domaines, Swisscom est soumise au Règlement général sur la protection des données (RGPD). Sans oublier les nombreuses exigences stipulées dans nos contrats. La révision est toutefois l’occasion de vérifier notre système de gestion et de l’optimiser ici ou là.