HomeInsightscomment intégrer la nouvelle loi suisse sur la protection des données (nLPD) dans le cycle de vie d’un projet ?
quality assurance & testing
comment intégrer la nouvelle loi suisse sur la protection des données (nLPD) dans le cycle de vie d’un projet ?
Interview de Jérôme Jacques, Senior Consultant Itecor par Paul Barnabé, Directeur Itecor Suisse romande · Oktober 04, 2023
Notre consultant Jérôme Jacques a repris la gestion d’un projet de maintenance et d’évolution applicative pour l’un de nos clients, incluant tout un ensemble d’améliorations fonctionnelles et la migration technique de l’infrastructure.
Il partage ici les enjeux de la loi sur la protection des données et la manière dont il convient de la prendre en compte dans le cadre de la gestion d’un projet.
1. Peux-tu nous présenter comment tu as intégré la nouvelle loi sur la protection des données dans le cycle de vie de ton projet ?
D’un point de vue gestion de projet, la nLPD, qui est entrée en vigueur en septembre 2023, présente notamment deux nouvelles exigences: la protection des données dès la conception d’un produit ou d’un service (“Privacy by design”) et la protection des données par défaut (“Privacy by default“). Ces deux exigences sont déjà ou seront reprises au niveau cantonal.
Le cadre méthodologique du client pour lequel je travaille est HERMES, une méthode de gestion de projet développée par l’administration fédérale, mais la démarche à entreprendre serait la même dans le cadre d’une autre méthodologie de projet. HERMES décrit clairement les tâches, activités, et livrables attendus, via un ensemble de phases et de rôles bien définis, dans lesquels il convient désormais d’intégrer nos deux exigences légales.
Source : hermes.admin.ch
Dans mon cas, le PMO (Project Management Office) a intégré de nouveaux livrables dans le cycle de vie des projets, permettant à chaque chef de projet de veiller à la prise en compte de la protection des données à caractère personnel dans son projet.
2. Si l’on prend les phases dans l’ordre, à quoi faut-il penser concrètement dès l’initialisation du projet ?
L’une des premières étapes consiste à analyser les besoins en termes de protection de données et à les inventorier dans un document qui va vivre tout au long du projet.
Le responsable du processus métier concerné se positionne sur les aspects de protection des données en répondant à un questionnaire détaillé qui intègre également des aspects de sécurité de l’information.
Il identifie ensuite l’ensemble des informations exploitées ou à exploiter dans l’application de manière exhaustive, afin d’établir leur classification et le niveau de protection requis.
Ces éléments sont ensuite présentés en comité de pilotage pour validation.
Le mandant / sponsor, le PMO et le responsable sécurité acceptent formellement le niveau de confidentialité attendu en même temps que la libération (ou non) du projet.
3. Et lors des phases suivantes ?
La conception est évidemment la phase clé du Privacy by design. C’est en effet dès cette phase que les “mesures organisationnelles et techniques” imposées par la loi aux responsables de traitement doivent être élaborées. Chacune des informations inventoriées en phase d’initialisation est ainsi décortiquée à travers le prisme de l’analyse de risques.
La conception recueille notamment les exigences d’architecture, aussi bien en termes de sécurité que de protection des données.
En plus du responsable de traitement, les propriétaires des données sont également impliqués. Le chef de projet doit en effet s’assurer du consentement du propriétaire d’une donnée pour son partage et son exploitation dans un traitement.
La conception doit aussi veiller au Privacy by default : l’accès aux données personnelles ne doit être possible que pour les personnes qui en ont réellement besoin pour accomplir leurs tâches (pour la finalité du traitement). Dans les phases suivantes du projet, cela se traduira notamment par une stricte limitation des droits d’accès. Les mesures techniques se sont traduites notamment par des droits d’accès plus fins, tandis que les mesures organisationnelles ont donné lieu à des procédures et des formations, toutes évidemment à prendre en compte dans les différentes phases du projet.
Pour revenir à la conception, tous ces éléments ont été dans mon cas présentés au responsable sécurité et au comité d’architecture pour validation.
4. Qu’est-ce qui t’a permis de garder la protection des données au cœur des préoccupations du projet ?
Dans un projet complexe, les contraintes sont nombreuses – de temps, de coûts –, parfois sous la forme d’exigences administratives.
Le danger est de se laisser prendre par l’urgence et par l’envie de “pousser” les choses pour avancer en faisant l’impasse sur des détails, de passer outre certaines exigences et de ne pas relever des incohérences ou des conflits d’intérêts.
La protection des données peut alors en souffrir, souvent par méconnaissance du sujet.
Pour éviter cela, j’ai appliqué une démarche stricte, avec un cadre bien défini qui a garanti qu’aucun aspect n’ait été sous-estimé, oublié voire mis de côté. Cela a également été bénéfique en termes de délais et de coûts, puisque le cycle de vie du projet ne peut se poursuivre que si les voyants sont au vert et validés, à chaque phase du projet.
5. Quel enseignement en tires-tu ?
Dans le cadre de mon projet, la protection des données était plutôt perçue comme un risque de surcoût et de ralentissement, voire de non-respect des délais.
Il convient alors, d’une part de sensibiliser et d’expliquer, et d’autre part, d’analyser les besoins et les risques le plus en amont possible afin d’en estimer l’impact budgétaire et calendaire au plus tôt dès la phase de design.
6. Si tu avais une recommandation à nous partager, quelle serait-elle ?
Il est essentiel d’informer et de sensibiliser les parties prenantes à la protection des données personnelles au plus tôt dans le projet. La protection des données est aujourd’hui un sujet très important, raison pour laquelle on le retrouve désormais au cœur des audits.
On est ainsi particulièrement scruté sur ce qui va être collecté, traité, mis à disposition, conservé puis supprimé, et pour cela les besoins et exigences doivent être absolument pris en compte. Et dès que possible pour éviter d’être retoqué et de prendre du retard.
Cela contribue à optimiser les chances de succès d’un projet.
Wir verwenden Cookies auf unserer Website, um Ihnen die bestmögliche Erfahrung zu bieten, indem wir uns Ihre Präferenzen und wiederholten Besuche merken. Wenn Sie auf "Alle akzeptieren" klicken, erklären Sie sich mit der Verwendung ALLER Cookies einverstanden. Sie können jedoch "Cookie-Einstellungen" besuchen, um eine kontrollierte Zustimmung zu geben.
Diese Website verwendet Cookies, um Ihre Erfahrung zu verbessern, während Sie durch die Website navigieren. Von diesen werden die als notwendig eingestuften Cookies in Ihrem Browser gespeichert, da sie für das Funktionieren der grundlegenden Funktionen der Website unerlässlich sind. Wir verwenden auch Cookies von Dritten, die uns helfen zu analysieren und zu verstehen, wie Sie diese Website nutzen. Diese Cookies werden nur mit Ihrer Zustimmung in Ihrem Browser gespeichert. Sie haben auch die Möglichkeit, diese Cookies abzulehnen. Die Ablehnung einiger dieser Cookies kann jedoch Ihr Surferlebnis beeinträchtigen.
Notwendige Cookies sind für das ordnungsgemäße Funktionieren der Website unbedingt erforderlich. Diese Cookies gewährleisten grundlegende Funktionen und Sicherheitsmerkmale der Website in anonymer Form.
Cookie
Dauer
Beschreibung
__hssrc
Session
Dieses Cookie wird von Hubspot immer dann gesetzt, wenn es das Sitzungscookie ändert. Das __hssrc-Cookie, das auf 1 gesetzt ist, zeigt an, dass der Benutzer den Browser neu gestartet hat, und wenn das Cookie nicht existiert, wird angenommen, dass es sich um eine neue Sitzung handelt.
_GRECAPTCHA
5 Monate 27 Tage
Dieses Cookie wird vom Google-Recaptcha-Dienst gesetzt, um Bots zu identifizieren und die Website vor bösartigen Spam-Angriffen zu schützen.
cookielawinfo-checkbox-advertisement
1 Jahr
Dieser Cookie wird vom GDPR Cookie Consent Plugin gesetzt und dient dazu, die Zustimmung des Nutzers zu den Cookies der Kategorie "Werbung" zu erfassen.
cookielawinfo-checkbox-analytics
11 Monate
Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt. Das Cookie wird verwendet, um die Zustimmung des Nutzers für die Cookies in der Kategorie "Analytics" zu speichern.
cookielawinfo-checkbox-functional
11 Monate
Das Cookie wird durch die GDPR-Cookie-Zustimmung gesetzt, um die Zustimmung des Nutzers für die Cookies in der Kategorie "Funktional" zu erfassen.
cookielawinfo-checkbox-necessary
11 Monate
Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt. Das Cookie wird verwendet, um die Zustimmung des Nutzers für die Cookies der Kategorie "Notwendig" zu speichern.
cookielawinfo-checkbox-others
11 Monate
Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt. Das Cookie wird verwendet, um die Zustimmung des Nutzers für die Cookies in der Kategorie "Andere" zu speichern.
cookielawinfo-checkbox-performance
11 Monate
Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt. Das Cookie wird verwendet, um die Zustimmung des Nutzers für die Cookies in der Kategorie "Leistung" zu speichern.
viewed_cookie_policy
11 Monate
Das Cookie wird vom GDPR Cookie Consent Plugin gesetzt und wird verwendet, um zu speichern, ob der Nutzer der Verwendung von Cookies zugestimmt hat oder nicht. Es speichert keine persönlichen Daten.
Funktionelle Cookies helfen dabei, bestimmte Funktionen auszuführen, wie das Teilen von Inhalten der Website auf Plattformen sozialer Medien, das Sammeln von Rückmeldungen und andere Funktionen von Dritten.
Cookie
Dauer
Beschreibung
__cf_bm
30 Minuten
Dieses Cookie wird von Cloudflare gesetzt und dient der Unterstützung des Cloudflare Bot Management.
__hssc
30 Minuten
HubSpot setzt dieses Cookie, um Sitzungen zu verfolgen und um zu bestimmen, ob HubSpot die Sitzungsnummer und die Zeitstempel im __hstc-Cookie erhöhen soll.
Leistungs-Cookies werden verwendet, um die wichtigsten Leistungsindizes der Website zu verstehen und zu analysieren, was dazu beiträgt, den Besuchern ein besseres Nutzererlebnis zu bieten.
Analytische Cookies werden verwendet, um zu verstehen, wie Besucher mit der Website interagieren. Diese Cookies helfen dabei, Informationen über die Anzahl der Besucher, die Absprungrate, die Verkehrsquelle usw. zu erhalten.
Cookie
Dauer
Beschreibung
__hstc
1 Jahr 24 Tage
Dies ist das Haupt-Cookie, das von Hubspot gesetzt wird, um Besucher zu verfolgen. Es enthält die Domäne, den ursprünglichen Zeitstempel (erster Besuch), den letzten Zeitstempel (letzter Besuch), den aktuellen Zeitstempel (dieser Besuch) und die Sitzungsnummer (wird bei jeder nachfolgenden Sitzung erhöht).
_ga
2 Jahre
Das _ga-Cookie, das von Google Analytics installiert wird, berechnet Besucher-, Sitzungs- und Kampagnendaten und verfolgt auch die Nutzung der Website für den Analysebericht der Website. Das Cookie speichert Informationen anonym und weist eine zufällig generierte Nummer zu, um eindeutige Besucher zu erkennen.
_ga_JYCPSB48B8
2 Jahre
Dieses Cookie wird von Google Analytics installiert.
CONSENT
16 Jahre 2 Monate 25 Tage 10 Stunden
YouTube setzt dieses Cookie über eingebettete YouTube-Videos und registriert anonyme statistische Daten.
hubspotutk
1 Jahr 24 Tage
Dieses Cookie wird von HubSpot verwendet, um die Besucher der Website zu verfolgen. Dieses Cookie wird bei der Übermittlung eines Formulars an Hubspot weitergegeben und bei der Deduplizierung von Kontakten verwendet.
Werbe-Cookies werden verwendet, um Besuchern relevante Werbung und Marketing-Kampagnen anzubieten. Diese Cookies verfolgen Besucher auf verschiedenen Websites und sammeln Informationen, um maßgeschneiderte Werbung bereitzustellen.
Cookie
Dauer
Beschreibung
IDE
1 year 24 days
Google DoubleClick IDE-Cookies werden verwendet, um Informationen darüber zu speichern, wie der Nutzer die Website nutzt, um ihm relevante Werbung entsprechend seinem Profil zu präsentieren.
test_cookie
15 Minuten
Der test_cookie wird von doubleclick.net gesetzt und dient dazu, festzustellen, ob der Browser des Benutzers Cookies unterstützt.
VISITOR_INFO1_LIVE
5 Monate 27 Tage
Ein Cookie, das von YouTube gesetzt wird, um die Bandbreite zu messen, die bestimmt, ob der Nutzer die neue oder die alte Playeroberfläche erhält.
YSC
Session
Das YSC-Cookie wird von Youtube gesetzt und dient dazu, die Aufrufe von eingebetteten Videos auf Youtube-Seiten zu verfolgen.