Publié

Ma commune protège-t-elle suffisamment mes données?

Un hacker se tient derrière son écran d'ordinateur. [Depositphotos - minervastock]
Ma commune protège-t-elle suffisamment mes données? / On en parle / 8 min. / le 8 septembre 2021
Le piratage des données informatiques de Rolle a mis en lumière les lacunes de sécurité dans les administrations suisses. Comment peut-on s'assurer que ses données sont suffisamment protégées dans sa commune? Si une rançon est payée aux pirates avec l'argent des contribuables, qui va rembourser? L'émission "On en parle" a interrogé un expert.

"Je pense qu'il n'y a plus un responsable sécurité qui n'est pas en train de faire un bilan de son matériel et de son réseau", déclare dans "On en parle" Christian Flückiger, préposé à la protection des données et à la transparence des cantons du Jura et de Neuchâtel et membre de Privatim, la Conférence des préposés suisses à la protection des données.

Le piratage de Rolle aura le mérite d'avoir servi de "cas d'école" pour toutes les communes de Suisse qui étaient insuffisamment préparées à un hacking comme celui-ci.

Comment puis-je avoir la certitude que mes données sont bien protégées?

En tant que citoyen et citoyenne, vous pouvez demander à votre commune certaines garanties quant à la protection de vos données, des rapports de sécurité par exemple. "Selon les règles de la transparence, vous avez droit aux documents officiels définitifs sous réserve de quelques exceptions", explique Christian Flückiger.

Ainsi, il sera possible de connaître "des dates de contrôles, si des mesures ont été apportées, le nombre de contrôles, les mesures prises", mais vous n'aurez pas accès à l'ensemble des informations qui pourraient faciliter les cas de hacking.

La question n'est pas de savoir si je peux être piraté, mais quand est-ce que je vais l'être.

Christian Flückiger, préposé à la protection des données et à la transparence des cantons du Jura et de Neuchâtel

Qui est responsable en cas de fuite de données?

"Il appartient en premier lieu au responsable de traitement [des données] d'assurer la sécurité informatique selon les standards en la matière, ou de faire appel à un sous-traitant compétent capable de le faire". En cas de vol, la commune sera responsable uniquement si les standards ou les règles de protection de données n'ont pas été respectés.

Si la commune "a fait tout juste", elle ne pourra donc pas être condamnée. L'invité d'"On en parle" compare le vol de données avec un vol dans la rue: si "on me vole mon portefeuille, on ne peut pas me reprocher d'avoir été négligent parce que j'avais mon portefeuille dans ma poche".

Peut-on poursuivre sa commune ou lui demander des dédommagements?

"Se faire pirater ne constitue pas une infraction pénale" explique Christian Flückiger. Pour obtenir des dédommagements, il faudra prouver que la commune a traité illicitement des données ou a négligé les standards de sécurité.

"En droit suisse, on ne connaît pas les dommages punitifs. Il faut chiffrer le dommage qu'on a subi, causé par la publication des données personnelles, ce n'est jamais facile. L'obtention pour du tort moral va être très difficile dans un cas comme celui-ci". Si le hacking concerne des données plus sensibles, comme un dossier médical, il y aura plus de chances d'obtenir un dédommagement pour tort moral.

Qui payera la facture?

"En premier lieu, cela devrait être les responsables du hacking", mais il est souvent impossible de les arrêter. Il y a ensuite "l'éventuelle personne désignée comme responsable d'une faute grave", qui aurait favorisé le hacking activement ou par négligence.

Si on ne trouve personne, ce sera finalement aux contribuables d'éponger le montant.

Sujet radio: Théo Chavaillaz et Yves-Alain Cornu

Adaptation web: Sylvie Ravussin

Publié