Chargement
● Cyber

Comment protéger les données confidentielles de l'entreprise ?

28 août 2024 date de publication
7 min temps de lecture
Version audio de l'article
Écouter plutôt que lire 0:00 / 3:36
Voix de synthèse générées par IA à partir de l'article. Lire la transcription
Camille : Dans le monde numérique d'aujourd'hui, la protection des informations sensibles est devenue un enjeu majeur pour toutes les entreprises. On entend souvent parler de fuites de données, de piratage... Alors, comment s'assurer que nos informations les plus précieuses sont en sécurité ? Pour en parler, nous accueillons notre conseiller Adavia.
Conseiller : Bonjour Camille. C'est un sujet fondamental, car les données confidentielles sont une source d'informations très précieuse pour une entreprise. Les protéger est impératif pour éviter non seulement les fuites ou divulgations non autorisées, mais aussi le vol de données, ce qui peut avoir des conséquences désastreuses.
Camille : Quand on parle de données confidentielles, de quoi s'agit-il exactement ? Est-ce que toutes les informations sont logées à la même enseigne ?
Conseiller : Non, pas du tout. Une base de données confidentielle est une sorte de bibliothèque digitale ultra sécurisée, gérée selon le RGPD. Elle peut contenir des données clients, comme leurs coordonnées ou informations de paiement, des informations financières de l'entreprise, mais aussi sa propriété intellectuelle, c'est-à-dire sa stratégie ou ses brevets. Les informations personnelles des employés et les données relatives aux contrats de l'entreprise sont également considérées comme sensibles.
Camille : Je vois. Donc, ce sont des informations très diverses. Est-ce qu'il y a des données encore plus sensibles que d'autres ?
Conseiller : Absolument. On classe les données confidentielles selon trois niveaux de sensibilité pour mieux en protéger l'accès. Le niveau 'faible' ou 'interne' concerne des données publiques comme les brochures. Le niveau 'moyen' ou 'confidentiel' inclut des documents juridiques ou des bases de données clients, nécessitant une protection adaptée. Enfin, le niveau 'élevé' ou 'secret' concerne des informations hautement sensibles comme la propriété intellectuelle ou la stratégie commerciale, qui exigent une protection maximale.
Camille : C'est une distinction importante. Mais concrètement, comment une entreprise peut-elle s'organiser pour protéger toutes ces informations ?
Conseiller : Il y a plusieurs leviers. D'abord, rédiger des contrats de confidentialité avec les collaborateurs ou les tiers et former les employés aux bonnes pratiques de manipulation des données. Il est aussi crucial de restreindre l'accès physique et numérique aux données sensibles, par exemple avec des mots de passe forts et une protection externe via pare-feu ou antivirus. Enfin, classifier ses données avec des mentions comme 'confidentiel' et tenir à jour sa Politique de Sécurité des Systèmes Informatiques est essentiel.
Camille : Et pour des situations spécifiques, comme la gestion des données clients ou le télétravail, y a-t-il des précautions particulières à prendre ?
Conseiller : Oui, tout à fait. Les données clients doivent être stockées sur un réseau sécurisé, idéalement hébergé en Suisse si l'accès est distant. L'entreprise doit aussi être transparente avec ses clients sur la manière dont leurs données sont utilisées. Pour le télétravail, l'employeur doit mettre en place des solutions optimales comme le cryptage des dossiers et l'accès limité pour réduire les risques de perte ou de vol de données.
Camille : On parle beaucoup des évolutions légales en ce moment. Y a-t-il eu des changements récents en Suisse concernant la protection des données, et quelles sont les implications majeures pour les entreprises ?
Conseiller : Oui, absolument. La nouvelle loi sur la protection des données, la nLPD, est entrée en vigueur le 1er septembre 2023, venant compléter le RGPD. Elle renforce la protection des données en Suisse, notamment en considérant les données génétiques et biométriques comme sensibles et en protégeant uniquement les personnes physiques. Les entreprises doivent aussi informer les personnes de l'utilisation de leurs données, tenir un registre des traitements et signaler toute violation de sécurité au PFPDT rapidement.
Camille : C'est donc un cadre légal renforcé pour protéger nos informations. En fin de compte, protéger ces données, c'est bien plus qu'une simple obligation légale, n'est-ce pas ?
Conseiller : Exactement, Camille. Au-delà de l'aspect légal fédéral en Suisse, respecter ces obligations et assurer un stockage et une utilisation optimale des données est essentiel. Cela permet non seulement de prévenir les cyberattaques, mais surtout de renforcer la confiance de vos clients et partenaires dans votre entreprise.
Camille : Un grand merci à notre conseiller Adavia pour ces éclaircissements très précieux. La protection des données est un sujet complexe mais vital, et comme nous l'avons vu, il existe des solutions concrètes. N'hésitez pas à vous rapprocher d'Adavia pour vous accompagner dans la mise en place de ces mesures essentielles. À bientôt !

Les données confidentielles d’une entreprise sont une source précieuse d’informations. Il s’agit de renseignements sensibles que l’entreprise doit impérativement protéger pour éviter les fuites, les divulgations non autorisées, ou pire, le vol de données (piratage informatique). Comment protéger les données confidentielles de l’entreprise ? Bilan et conseils.

Quelles données sont considérées comme confidentielles ?

Qu'est-ce qu'une base de données confidentielle ?

Une base de données confidentielle est une sorte de bibliothèque digitale d’informations. Les informations confidentielles sont stockées de manière électronique dans un système informatique (appelé Data Center). Une Base de données confidentielles se veut ultra sécurisée pour éviter toute fuite de données ou tentative de perte ou de vol d’informations sensibles.

Les données sensibles sont gérées selon le RGPD (Règlement Général sur la Protection des Données). Les entreprises doivent pouvoir prouver que les Mesures de sécurité appropriées ont été mises en place pour protéger ces données confidentielles.

Quelles données sont dites sensibles ?

Il existe plusieurs catégories de données considérées comme sensibles en entreprises.

  • Les données clients

Les coordonnées, numéros de téléphone, données de paiement.

  • Les informations financières

Les comptes bancaires, les informations de facturation, les données fiscales ou encore les renseignements de cartes de crédit (clients, entreprise, fournisseurs, etc.).

  • La propriété intellectuelle

Elle concerne la stratégie de l’entreprise, les droits d’auteur, les brevets déposés ou encore les secrets commerciaux.

  • Les informations personnelles des employés

Les informations personnelles des employés de l’entreprise sont considérées comme sensibles et donc, confidentielles. Il peut s’agir des noms, coordonnées, mais aussi d’informations médicales, de numéros de carte bancaire, de sécurité sociale, de photos, etc.

  • Les données relatives aux contrats de l’entreprise

Les termes des accords de non-divulgation, les informations en rapport avec les différents partenaires commerciaux.

Quels sont les différents niveaux de données sensibles ?

Selon leur degré de sensibilité, les données confidentielles sont classées selon trois niveaux différents, afin d’en protéger l’accès, l’utilisation et la gestion.

Niveau de confidentialité

Type de données

Faible / Interne

Données publiques pouvant être partagées sans restriction (brochures d’entreprise, newsletters, rapports financiers publics)

Moyen / Confidentiel

Données confidentielles nécessitant une protection adaptée pour éviter les fuites ou les divulgations non autorisées (documents juridiques, plans de produits, base de données clients)

Élevé / Secret

Informations hautement confidentielles nécessitant une protection optimale et maximale (propriété intellectuelle, stratégie commerciale, sécurité nationale, données de santé)

Comment gérer les informations confidentielles ?

Il existe plusieurs moyens de gérer les informations confidentielles pour une entreprise, afin de protéger les données qu’elle détient.

Rédiger des contrats de confidentialité

Si l’entreprise partage ses données avec un tiers, qu’il s’agisse de collaborateurs, de fournisseurs, ou d’une autre entreprise, mais aussi des travailleurs, elle doit rédiger un Contrat de confidentialité. Le contrat de confidentialité permet un accord écrit entre les parties pour le respect des informations sensibles échangées.

Ce contrat de confidentialité peut être élargi à une clause de non-concurrence, notamment en cas d’arrêt de contrat, y compris pour les stagiaires.

Former les employés aux bonnes pratiques

En parallèle d’un contrat de confidentialité, l’entreprise doit former ses employés aux bonnes pratiques du recueil, du stockage et de la manipulation des données sensibles. Par exemple, il conviendra de fournir un accès au stockage optimal de la base de données, et à un serveur sécurisé, de mettre en place les limites d’utilisation de ces données personnelles (pour éviter de les utiliser à tort et à travers). Par ailleurs, une formation sur la sécurité, même basique, est requise : verrouillage de son poste informatique lors d’une pause, pas de mémo de mots de passe, pas d’accès aux dossiers confidentiels sur un réseau non sécurisé (WiFi public).

Se référer régulièrement à l’OSI

Afin de gérer et protéger les données confidentielles de l’entreprise, et d’être en règle avec la loi suisse à ce sujet, il est nécessaire de consulter régulièrement l’OSI (Ordonnance sur la sécurité de l’information dans l’administration fédérale et l’armée, article 128.1).

Restreindre l’accès aux données sensibles

L’accès aux données confidentielles doit également être contrôlé grâce à certaines mesures telles que :

  • la restriction d’accès physique au site de l’entreprise (badge, clé) ;

  • la limitation de l’accès aux fichiers et serveurs informatiques (temps de connexion limitée à la base de données sensibles, profil utilisateur individuel, mots de passe forts ;

  • l’interdiction d’accès aux données sensibles pour tout travailleur ou tiers (collaborateur, sous-traitant, consultant) qui n’a pas l’utilité de ces données dans le poste qu’il occupe ;

  • la protection externe (pare-feu, antivirus, cryptage) pour éviter toute tentative d’espionnage industriel, de vol de données ou encore de fuite.

Classifier ses données

Pour éviter toute question relative à la confidentialité d’une donnée (ou non), l’entreprise peut recenser ces informations grâce à une forme d’étiquetage. On peut apposer la mention “confidentiel” sur certains documents ou consigner un registre interne des informations les plus secrètes. Ces dossiers confidentiels pourront ensuite être accessibles uniquement aux personnes autorisées à les consulter, et protégés par un mot de passe.

Mettre à jour sa PSSI

Mettre à jour sa Politique de Sécurité des Systèmes Informatiques (PSSI) ainsi que sa politique de protection d’entreprise est une nécessité. Souvent contrôlée lors d’étapes importantes (création d’entreprise, nouveau projet, partenariat) ou en cas d’incident, la politique de protection doit être revue régulièrement pour s’adapter à chaque évolution dans l’entreprise.

Réaliser un entretien de sortie

Lors du départ d’un employé ou l’arrêt d’un contrat avec un tiers, il est judicieux de réaliser un entretien de sortie, pour s’assurer que le travailleur ne dispose plus d’aucune information sensible, de données confidentielles et d’accès à l’ensemble de ces renseignements.

Comment protéger la confidentialité des données ?

Gestion des données clients : les obligations

  • Stockage

Les données personnelles des clients doivent être stockées sur un réseau sécurisé, en interne à l’entreprise. Si le stockage nécessite un accès externe, à distance, mieux vaut privilégier un serveur hébergé en Suisse pour éviter toute tentative d’intrusion.

  • Transparence

Les clients doivent obligatoirement être informés de la manière dont sont collectées, stockées et utilisées leurs données personnelles. L’information doit être comprise, transparente et accessible aux clients.

  • Protection

Le transfert des données clients doit être réalisé à travers un chiffrement, en respectant le principe du Privacy by Design.

Télétravail et données clients

Le risque de perte ou de vol de données clients est accru lorsque le salarié est en télétravail. L’employeur a l’obligation légale de mettre en place des solutions concrètes et optimales pour réduire les risques pour la confidentialité des données de l’entreprise. Pour cela, il peut s’agir de dossiers rendus cryptés, d’un accès limité (en temps, par exemple) à certaines informations ou de mots de passe uniques.

La nouvelle loi sur la protection des données (nLPD)

La nLPD, nouvelle loi sur la protection des données, est entrée en vigueur le 1er septembre 2023. Avant elle, la législation n’avait pas été revue depuis 1992. Le but de la nLPD est de protéger davantage les données utilisées en entreprise. Elle vient compléter le RGPD, et impose que :

  • les données génétiques et biométriques soient considérées comme informations sensibles ;

  • seules les données des personnes physiques, et non plus morales, sont protégées ;

  • les informations clients récoltées respectent le Privacy by Design et le Privacy by Default ;

  • les personnes dont les données sont collectées doivent être informées de l’utilisation de celles-ci, y compris s’il ne s’agit pas de données considérées comme confidentielles ;

  • le PFPDT (Préposé fédéral à la protection des données et à la transparence) soit averti dans les plus brefs délais de toute violation de la sécurité des données de l’entreprise ;

  • l’entreprise tienne un registre des activités de traitement des données confidentielles.

La notion de profilage est également entrée dans la nLPD, c’est-à-dire le traitement automatisé des données personnelles.

Protéger les données confidentielles de son entreprise est une obligation fédérale en Suisse. Mais au-delà de l’aspect légal, respecter ces obligations en regard des données clients et des informations confidentielles, voire secrètes, garantir un stockage et une utilisation optimale pour éviter toute cyberattaque, c’est renforcer la confiance des clients dans l’entreprise.

À lire également

Restez informé chaque mois

Évolutions fiscales franco-suisses, changements LAMal, conseils retraite — directement dans votre boîte mail. Pas de spam, désabonnement en un clic.