accueilinsightscomment intégrer la nouvelle loi suisse sur la protection des données (nLPD) dans le cycle de vie d’un projet ?
quality assurance & testing

comment intégrer la nouvelle loi suisse sur la protection des données (nLPD) dans le cycle de vie d’un projet ?

Interview de Jérôme Jacques, Senior Consultant Itecor par Paul Barnabé, Directeur Itecor Suisse romande · octobre 04, 2023

Notre consultant Jérôme Jacques a repris la gestion d’un projet de maintenance et d’évolution applicative pour l’un de nos clients, incluant tout un ensemble d’améliorations fonctionnelles et la migration technique de l’infrastructure. 

Il partage ici les enjeux de la loi sur la protection des données et la manière dont il convient de la prendre en compte dans le cadre de la gestion d’un projet.

1. Peux-tu nous présenter comment tu as intégré la nouvelle loi sur la protection des données dans le cycle de vie de ton projet ?

D’un point de vue gestion de projet, la nLPD, qui est entrée en vigueur en septembre 2023, présente notamment deux nouvelles exigences: la protection des données dès la conception d’un produit ou d’un service (“Privacy by design”) et la protection des données par défaut (“Privacy by default »). Ces deux exigences sont déjà ou seront reprises au niveau cantonal.

Le cadre méthodologique du client pour lequel je travaille est HERMES, une méthode de gestion de projet développée par l’administration fédéralemais la démarche à entreprendre serait la même dans le cadre d’une autre méthodologie de projet. HERMES décrit clairement les tâches, activités, et livrables attendus, via un ensemble de phases et de rôles bien définis, dans lesquels il convient désormais d’intégrer nos deux exigences légales.

 Source : hermes.admin.ch

Dans mon cas, le PMO (Project Management Office) a intégré de nouveaux livrables dans le cycle de vie des projets, permettant à chaque chef de projet de veiller à la prise en compte de la protection des données à caractère personnel dans son projet.

2. Si l’on prend les phases dans l’ordre, à quoi faut-il penser concrètement dès l’initialisation du projet ?

L’une des premières étapes consiste à analyser les besoins en termes de protection de données et à les inventorier dans un document qui va vivre tout au long du projet.

Le responsable du processus métier concerné se positionne sur les aspects de protection des données en répondant à un questionnaire détaillé qui intègre également des aspects de sécurité de l’information.

Il identifie ensuite l’ensemble des informations exploitées ou à exploiter dans l’application de manière exhaustive, afin d’établir leur classification et le niveau de protection requis.

Ces éléments sont ensuite présentés en comité de pilotage pour validation.

Le mandant / sponsor, le PMO et le responsable sécurité acceptent formellement le niveau de confidentialité attendu en même temps que la libération (ou non) du projet.

3. Et lors des phases suivantes ?

La conception est évidemment la phase clé du Privacy by design. C’est en effet dès cette phase que les “mesures organisationnelles et techniques” imposées par la loi aux responsables de traitement doivent être élaborées. Chacune des informations inventoriées en phase d’initialisation est ainsi décortiquée à travers le prisme de l’analyse de risques.

La conception recueille notamment les exigences d’architecture, aussi bien en termes de sécurité que de protection des données.

En plus du responsable de traitement, les propriétaires des données sont également impliqués. Le chef de projet doit en effet s’assurer du consentement du propriétaire d’une donnée pour son partage et son exploitation dans un traitement.

La conception doit aussi veiller au Privacy by default : l’accès aux données personnelles ne doit être possible que pour les personnes qui en ont réellement besoin pour accomplir leurs tâches (pour la finalité du traitement). Dans les phases suivantes du projet, cela se traduira notamment par une stricte limitation des droits d’accès. Les mesures techniques se sont traduites notamment par des droits d’accès plus fins, tandis que les mesures organisationnelles ont donné lieu à des procédures et des formations, toutes évidemment à prendre en compte dans les différentes phases du projet.

 

Pour revenir à la conception, tous ces éléments ont été dans mon cas présentés au responsable sécurité et au comité d’architecture pour validation.

4. Qu’est-ce qui t’a permis de garder la protection des données au cœur des préoccupations du projet ?

Dans un projet complexe, les contraintes sont nombreuses – de temps, de coûts –, parfois sous la forme d’exigences administratives.

Le danger est de se laisser prendre par l’urgence et par l’envie de “pousser” les choses pour avancer en faisant l’impasse sur des détails, de passer outre certaines exigences et de ne pas relever des incohérences ou des conflits d’intérêts.

La protection des données peut alors en souffrir, souvent par méconnaissance du sujet.

 

Pour éviter cela, j’ai appliqué une démarche stricte, avec un cadre bien défini qui a garanti qu’aucun aspect n’ait été sous-estimé, oublié voire mis de côté. Cela a également été bénéfique en termes de délais et de coûts, puisque le cycle de vie du projet ne peut se poursuivre que si les voyants sont au vert et validés, à chaque phase du projet.

5. Quel enseignement en tires-tu ?

Dans le cadre de mon projet, la protection des données était plutôt perçue comme un risque de surcoût et de ralentissement, voire de non-respect des délais. 

Il convient alors, d’une part de sensibiliser et d’expliquer, et d’autre part, d’analyser les besoins et les risques le plus en amont possible afin d’en estimer l’impact budgétaire et calendaire au plus tôt dès la phase de design.

6. Si tu avais une recommandation à nous partager, quelle serait-elle ?

Il est essentiel d’informer et de sensibiliser les parties prenantes à la protection des données personnelles au plus tôt dans le projet. La protection des données est aujourd’hui un sujet très important, raison pour laquelle on le retrouve désormais au cœur des audits. 

On est ainsi particulièrement scruté sur ce qui va être collecté, traité, mis à disposition, conservé puis supprimé, et pour cela les besoins et exigences doivent être absolument pris en compte. Et dès que possible pour éviter d’être retoqué et de prendre du retard. 

Cela contribue à optimiser les chances de succès d’un projet.

plus d'insights

les tests automatisés dans le cadre du développement de logiciels modernes


digital solutionsquality assurance & testing

avril 08, 2024

migration et automatisation d’un patrimoine de tests selenium vers tosca


quality assurance & testing

avril 08, 2024

securing digital frontiers: cybersecurity for a large-scale digital transformation


quality assurance & testing

mars 13, 2024

contactez-nous