accueilinsightscomment intégrer la nouvelle loi suisse sur la protection des données (nLPD) dans le cycle de vie d’un projet ?
quality assurance & testing
comment intégrer la nouvelle loi suisse sur la protection des données (nLPD) dans le cycle de vie d’un projet ?
Interview de Jérôme Jacques, Senior Consultant Itecor par Paul Barnabé, Directeur Itecor Suisse romande · octobre 04, 2023
Notre consultant Jérôme Jacques a repris la gestion d’un projet de maintenance et d’évolution applicative pour l’un de nos clients, incluant tout un ensemble d’améliorations fonctionnelles et la migration technique de l’infrastructure.
Il partage ici les enjeux de la loi sur la protection des données et la manière dont il convient de la prendre en compte dans le cadre de la gestion d’un projet.
1. Peux-tu nous présenter comment tu as intégré la nouvelle loi sur la protection des données dans le cycle de vie de ton projet ?
D’un point de vue gestion de projet, la nLPD, qui est entrée en vigueur en septembre 2023, présente notamment deux nouvelles exigences: la protection des données dès la conception d’un produit ou d’un service (“Privacy by design”) et la protection des données par défaut (“Privacy by default »). Ces deux exigences sont déjà ou seront reprises au niveau cantonal.
Le cadre méthodologique du client pour lequel je travaille est HERMES, une méthode de gestion de projet développée par l’administration fédérale, mais la démarche à entreprendre serait la même dans le cadre d’une autre méthodologie de projet. HERMES décrit clairement les tâches, activités, et livrables attendus, via un ensemble de phases et de rôles bien définis, dans lesquels il convient désormais d’intégrer nos deux exigences légales.
Source : hermes.admin.ch
Dans mon cas, le PMO (Project Management Office) a intégré de nouveaux livrables dans le cycle de vie des projets, permettant à chaque chef de projet de veiller à la prise en compte de la protection des données à caractère personnel dans son projet.
2. Si l’on prend les phases dans l’ordre, à quoi faut-il penser concrètement dès l’initialisation du projet ?
L’une des premières étapes consiste à analyser les besoins en termes de protection de données et à les inventorier dans un document qui va vivre tout au long du projet.
Le responsable du processus métier concerné se positionne sur les aspects de protection des données en répondant à un questionnaire détaillé qui intègre également des aspects de sécurité de l’information.
Il identifie ensuite l’ensemble des informations exploitées ou à exploiter dans l’application de manière exhaustive, afin d’établir leur classification et le niveau de protection requis.
Ces éléments sont ensuite présentés en comité de pilotage pour validation.
Le mandant / sponsor, le PMO et le responsable sécurité acceptent formellement le niveau de confidentialité attendu en même temps que la libération (ou non) du projet.
3. Et lors des phases suivantes ?
La conception est évidemment la phase clé du Privacy by design. C’est en effet dès cette phase que les “mesures organisationnelles et techniques” imposées par la loi aux responsables de traitement doivent être élaborées. Chacune des informations inventoriées en phase d’initialisation est ainsi décortiquée à travers le prisme de l’analyse de risques.
La conception recueille notamment les exigences d’architecture, aussi bien en termes de sécurité que de protection des données.
En plus du responsable de traitement, les propriétaires des données sont également impliqués. Le chef de projet doit en effet s’assurer du consentement du propriétaire d’une donnée pour son partage et son exploitation dans un traitement.
La conception doit aussi veiller au Privacy by default : l’accès aux données personnelles ne doit être possible que pour les personnes qui en ont réellement besoin pour accomplir leurs tâches (pour la finalité du traitement). Dans les phases suivantes du projet, cela se traduira notamment par une stricte limitation des droits d’accès. Les mesures techniques se sont traduites notamment par des droits d’accès plus fins, tandis que les mesures organisationnelles ont donné lieu à des procédures et des formations, toutes évidemment à prendre en compte dans les différentes phases du projet.
Pour revenir à la conception, tous ces éléments ont été dans mon cas présentés au responsable sécurité et au comité d’architecture pour validation.
4. Qu’est-ce qui t’a permis de garder la protection des données au cœur des préoccupations du projet ?
Dans un projet complexe, les contraintes sont nombreuses – de temps, de coûts –, parfois sous la forme d’exigences administratives.
Le danger est de se laisser prendre par l’urgence et par l’envie de “pousser” les choses pour avancer en faisant l’impasse sur des détails, de passer outre certaines exigences et de ne pas relever des incohérences ou des conflits d’intérêts.
La protection des données peut alors en souffrir, souvent par méconnaissance du sujet.
Pour éviter cela, j’ai appliqué une démarche stricte, avec un cadre bien défini qui a garanti qu’aucun aspect n’ait été sous-estimé, oublié voire mis de côté. Cela a également été bénéfique en termes de délais et de coûts, puisque le cycle de vie du projet ne peut se poursuivre que si les voyants sont au vert et validés, à chaque phase du projet.
5. Quel enseignement en tires-tu ?
Dans le cadre de mon projet, la protection des données était plutôt perçue comme un risque de surcoût et de ralentissement, voire de non-respect des délais.
Il convient alors, d’une part de sensibiliser et d’expliquer, et d’autre part, d’analyser les besoins et les risques le plus en amont possible afin d’en estimer l’impact budgétaire et calendaire au plus tôt dès la phase de design.
6. Si tu avais une recommandation à nous partager, quelle serait-elle ?
Il est essentiel d’informer et de sensibiliser les parties prenantes à la protection des données personnelles au plus tôt dans le projet. La protection des données est aujourd’hui un sujet très important, raison pour laquelle on le retrouve désormais au cœur des audits.
On est ainsi particulièrement scruté sur ce qui va être collecté, traité, mis à disposition, conservé puis supprimé, et pour cela les besoins et exigences doivent être absolument pris en compte. Et dès que possible pour éviter d’être retoqué et de prendre du retard.
Cela contribue à optimiser les chances de succès d’un projet.
Nous utilisons des cookies sur notre site web pour vous offrir l'expérience la plus pertinente en mémorisant vos préférences et vos visites répétées. En cliquant sur "Accepter tout", vous consentez à l'utilisation de TOUS les cookies. Toutefois, vous pouvez visiter "Paramètres des cookies" pour fournir un consentement contrôlé.
Ce site web utilise des cookies pour améliorer votre expérience lorsque vous naviguez sur le site. Parmi ceux-ci, les cookies qui sont catégorisés comme nécessaires sont stockés sur votre navigateur car ils sont essentiels pour le fonctionnement des fonctionnalités de base du site web. Nous utilisons également des cookies tiers qui nous aident à analyser et à comprendre comment vous utilisez ce site web. Ces cookies ne seront stockés dans votre navigateur qu'avec votre consentement. Vous avez également la possibilité de refuser ces cookies. Mais la désactivation de certains de ces cookies peut affecter votre expérience de navigation.
Les cookies nécessaires sont absolument indispensables au bon fonctionnement du site web. Ces cookies assurent les fonctionnalités de base et les caractéristiques de sécurité du site web, de manière anonyme.
Cookie
Durée
Description
__hssrc
Session
Ce cookie est défini par Hubspot chaque fois qu'il modifie le cookie de session. Le cookie __hssrc défini à 1 indique que l'utilisateur a redémarré le navigateur, et si le cookie n'existe pas, on suppose qu'il s'agit d'une nouvelle session.
_GRECAPTCHA
5 mois 27 jours
Ce cookie est défini par le service recaptcha de Google pour identifier les bots afin de protéger le site Web contre les attaques malveillantes de spam.
cookielawinfo-checkbox-advertisement
11 mois
Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie " Publicité " .
cookielawinfo-checkbox-analytics
11 mois
Ce cookie est défini par le plugin de consentement aux cookies GDPR. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie "Analytics".
cookielawinfo-checkbox-functional
11 mois
Le cookie est défini par le consentement aux cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Fonctionnel".
cookielawinfo-checkbox-necessary
11 mois
Ce cookie est défini par le plugin de consentement aux cookies du GDPR. Il est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie "Nécessaire".
cookielawinfo-checkbox-others
11 mois
Ce cookie est défini par le plugin de consentement aux cookies GDPR. Ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie " Autre ".
cookielawinfo-checkbox-performance
11 mois
Ce cookie est défini par le plugin de consentement aux cookies du GDPR. Ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie "Performance".
viewed_cookie_policy
11 mois
Ce cookie est défini par le plugin GDPR Cookie Consent et est utilisé pour stocker si l'utilisateur a consenti ou non à l'utilisation de cookies. Il ne stocke pas de données personnelles.
Les cookies fonctionnels aident à réaliser certaines fonctionnalités comme le partage du contenu du site web sur les plateformes de médias sociaux, la collecte de commentaires et d'autres fonctionnalités tierces.
Cookie
Durée
Description
__cf_bm
30 minutes
Ce cookie, défini par Cloudflare, est utilisé pour prendre en charge la gestion des robots Cloudflare.
__hssc
30 minutes
HubSpot définit ce cookie pour assurer le suivi des sessions et pour déterminer si HubSpot doit incrémenter le numéro de session et les horodatages dans le cookie __hstc.
Les cookies de performance sont utilisés pour comprendre et analyser les indices de performance clés du site Web, ce qui permet d'offrir une meilleure expérience utilisateur aux visiteurs.
Les cookies analytiques sont utilisés pour comprendre comment les visiteurs interagissent avec le site web. Ces cookies permettent de fournir des informations sur les métriques le nombre de visiteurs, le taux de rebond, la source de trafic, etc.
Cookie
Durée
Description
__hstc
1 an 24 jours
Il s'agit du principal cookie défini par Hubspot, pour le suivi des visiteurs. Il contient le domaine, l'horodatage initial (première visite), le dernier horodatage (dernière visite), l'horodatage actuel (cette visite) et le numéro de session (qui s'incrémente pour chaque session suivante).
_ga
2 ans
Le cookie _ga, installé par Google Analytics, calcule les données relatives aux visiteurs, aux sessions et aux campagnes et assure également le suivi de l'utilisation du site pour le rapport d'analyse du site. Le cookie stocke les informations de manière anonyme et attribue un numéro généré de manière aléatoire pour reconnaître les visiteurs uniques.
_ga_JYCPSB48B8
2 ans
Ce cookie est installé par Google Analytics.
CONSENT
16 ans 2 mois 25 jours 10 heures
YouTube place ce cookie par le biais des vidéos youtube intégrées et enregistre des données statistiques anonymes.
hubspotutk
1 an 24 jours
Ce cookie est utilisé par HubSpot pour garder une trace des visiteurs du site web. Ce cookie est transmis à Hubspot lors de la soumission du formulaire et utilisé lors de la déduplication des contacts.
Les cookies publicitaires sont utilisés pour fournir aux visiteurs des annonces et des campagnes de marketing pertinentes. Ces cookies suivent les visiteurs à travers les sites web et collectent des informations pour fournir des annonces personnalisées.
Cookie
Durée
Description
IDE
1 an 24 jours
Les cookies Google DoubleClick IDE sont utilisés pour stocker des informations sur la façon dont l'utilisateur utilise le site web afin de lui présenter des annonces pertinentes et en fonction de son profil.
test_cookie
15 minutes
Le test_cookie est défini par doubleclick.net et est utilisé pour déterminer si le navigateur de l'utilisateur accepte les cookies.
VISITOR_INFO1_LIVE
5 mois 27 jours
Un cookie défini par YouTube pour mesurer la bande passante qui détermine si l'utilisateur obtient la nouvelle ou l'ancienne interface du lecteur.
YSC
Session
Le cookie YSC est défini par Youtube et est utilisé pour suivre les vues des vidéos intégrées dans les pages Youtube.