Xplain : clôture des trois procédures après l’adoption de toutes les recommandations
Berne, 04.06.2024 - L’Office fédéral de la police (fedpol), l’Office fédéral de la douane et de la sécurité des frontières (OFDF) et l’entreprise Xplain ont accepté dans leur intégralité, à la fin du mois de mai 2024, toutes les recommandations que le Préposé fédéral à la protection des données et à la transparence (PFPDT) a proposées en lien avec l’attaque au rançongiciel contre Xplain. Le PFPDT avait ouvert trois enquêtes au cours du deuxième semestre 2023 et publié un rapport final pour chacune d’elles le 1er mai 2024 (cf. communiqué du 01.05.2024). Dans chaque rapport, il avait formulé des recommandations sur la protection des données, que fedpol, l’OFDF et l’entreprise Xplain ont maintenant acceptées. L’administration fédérale et ses sous-traitants privés sont tenus de réexaminer la collaboration à la lumière des conclusions des trois enquêtes. Le PFPDT se réserve le droit d’effectuer des contrôles dans l’ensemble de l’administration fédérale.
Pour l’exploitation et le développement de ses applications numériques, l’administration fédérale collabore avec des entreprises privées, dont le traitement des données personnelles est transféré. Le traitement de l’attaque au rançongiciel contre Xplain, du point de vue de la surveillance, illustre de manière exemplaire les risques élevés et les dommages potentiels qui vont de pair avec de tels transferts de données. Les recommandations acceptées par les différentes parties obligent désormais l’administration fédérale et ses prestataires privés dans leur ensemble à analyser ces risques élevés et à prendre en temps utile des mesures propres à les abaisser à un niveau acceptable.
Selon les trois enquêtes, ils doivent respecter les principales dispositions suivantes de la législation fédérale sur la protection des données.
- Les organes fédéraux sont « responsables » de la protection des données. Lorsqu’ils sous-traitent des tâches à des entreprises privées (par ex. des tâches d’assistance), ils doivent à ce titre déterminer s’il est nécessaire que des données personnelles quittent l’infrastructure informatique protégée de l’administration fédérale et s’il faut absolument donner accès à cette infrastructure à des mandataires privés. Il faut aussi examiner la question de savoir s’il est possible d’anonymiser les données personnelles avant de les transférer et s’il y a lieu de prendre d’autres mesures techniques et organisationnelles pour éviter des violations de la protection des données.
- Après avoir analysé les risques en matière de protection des données et fixé les mesures appropriées permettant de les réduire au maximum, les organes fédéraux et les entreprises privées doivent documenter clairement et intégralement les processus de mise en œuvre (par ex. flux de données, anonymisation, modalités d’accès). Les organes fédéraux doivent en outre fixer contractuellement avec leurs mandataires les mesures techniques et organisationnelles requises et si nécessaire, prévoir des peines conventionnelles.
- Les sous-traitants privés sont tenus de respecter le cadre des directives et des obligations contractuelles en ce qui concerne l’étendue, l’intensité et la durée du traitement de données personnelles. Les mesures propres à permettre le respect de ces directives sont des concepts qui prévoient l’effacement des données en temps utile, la sensibilisation et la formation des collaborateurs ainsi que la réalisation régulière d’audits internes ou externes.
Adresse pour l'envoi de questions
Préposé fédéral à la protection des données et à la transparence (PFPDT), Tél. +41 58 462 99 31, info@edoeb.admin.ch
Auteur
Préposé fédéral à la protection des données et à la transparence
https://www.edoeb.admin.ch/edoeb/fr/home.html
Dernière modification 16.05.2023