Comment l’ASD protège et sécurise ses données

Comment l’ASD met en œuvre la nouvelle loi sur la protection des données

KATHRIN MORF. Les nouveautés apportées par la loi fédérale révisée sur la protection des données (LPD) et l’ordonnance correspondante sur les certifications en matière de protection des données (OCPD) ont fait l’objet d’un article dans le «Magazine ASD» (voir édition 4/2022). Pour résumer, les points suivants sont pertinents pour l’Aide et soins à domicile (ASD):

• Les organisations d’ASD collectent des données de santé particulièrement sensibles. C’est pourquoi elles doivent désigner une personne responsable de la protection des données. Celle-ci doit effectuer des analyses de risques et des évaluations de conséquence pour tous les traitements de données – et garantir le respect de toutes les autres exigences de la LPD.
• Désormais, une entreprise de plus de 250 employés ou qui traite des données personnelles sensibles à grande échelle doit tenir un registre détaillé de tous les traitements de données.
• L’obligation d’information a été renforcée: lors de la collecte planifiée de données de clientes et de clients, l’ASD doit par exemple transmettre aux personnes concernées des informations obligatoires, à savoir qui est la personne responsable de la protection des données et à quelles fins de traitement les données sont collectées.
• Les personnes concernées ont désormais le droit d’obtenir, en général gratuitement, des données et de se les transmettre ou de les transmettre à des tiers désignés «dans un format électronique courant».
• La LPD prévoit désormais des sanctions pénales sous la forme d’amendes pouvant aller jusqu’à 250 000 francs.

Aide et soins à domicile Suisse recommande aux organisations d’ASD d’élaborer un concept de protection des données et de prendre des mesures pour se conformer à la LPD. La faîtière met à disposition de ses membres différents documents pour ce processus^[1].

Ce que dit une experte à propos des amendes
«Selon la LPD, ce n’est ni l’organisation d’ASD ni les employés sur le terrain qui sont sanctionnés par des amendes, mais les personnes ayant une responsabilité décisionnelle, comme la personne responsable de la protection des données ou une personne dirigeante», explique Franziska Sprecher, professeure de droit public et administratif, spécialisée en droit de la santé à l’Université de Berne. «Si ces personnes font preuve de rigueur au sens de la LPD concernant les données de leur organisation, elles ne doivent toutefois pas craindre une amende et encore moins l’amende maximale de 250 000 francs. Car, selon la LPD, les amendes ne sont encourues qu’en cas de violation ­intentionnelle de la loi et non de négligence», rassure-t-elle. Si, par exemple, une collaboratrice commet par mégarde une violation de la protection des données malgré une formation suffisante, cela n’a pas d’incidence sur le plan pénal pour la personne responsable de la protection des données. «Mais l’ASD ne doit pas sous-estimer les dommages à la réputation qu’une violation de la protection des données peut entraîner.»

Certains juristes sont d’avis que les organisations avec mandat de prestations restent soumises à la loi cantonale sur la protection des données plutôt qu’à la LPD. Ceci est pertinent dans la mesure où de nombreux cantons n’ont pas encore adapté leur protection des données à la LPD. D’autres juristes affirment en revanche qu’une organisation avec mandat de prestations doit se conformer à la LPD dès qu’elle fournit des prestations en dehors de ce mandat – notamment des prestations d’économie domestique payées par les clientes et les clients. La question de savoir si toute l’offre ou seulement les prestations hors contrat de prestations doivent être conformes à la LPD est controversée. «La loi cantonale s’applique certainement aux organisations fournissant exclusivement des prestations dans le cadre d’un contrat de prestations communal ou cantonal. Je conseillerais à toutes les autres de s’adapter aux nouvelles conditions plus strictes de la LPD pour l’ensemble de leur offre», souligne Franziska Sprecher. Aide et soins à domicile Suisse constate également^[2]: si une organisation d’ASD propose des prestations non stipulées dans le contrat de prestations, «il est recommandé, pour des raisons de praticabilité, d’orienter l’ensemble des activités de l’organisation vers la loi qui pose les exigences les plus élevées en matière de protection des données, en règle générale, la LPD.» Selon Franziska Sprecher, tous les cantons doivent désormais adapter leur loi sur la protection des données à la LPD – et peuvent introduire des prescriptions plus strictes que la LPD.

Franziska Sprecher conseille aussi aux associations cantonales d’ASD de s’adapter aux nouvelles dispositions en matière de protection des données. «Les associations ne traitent peut-être pas les données des clientes et des clients, mais les données du personnel sont également délicates», fait-elle remarquer. Et de conclure: «La LPD devrait amener chaque entreprise d’ASD à examiner de près ses processus en matière de protection des données et à les optimiser le cas échéant. Et ce, non pas par peur des amendes, mais parce que cela est judicieux.»

Dans les Grisons, on travaille avec SIDAS
Les organisations d’ASD grisonnes ont fait appel à une aide externe pour se conformer à la LPD: Sirius Consult AG (www.siriusag.com). Cette firme accompagne sa clientèle dans le respect des exigences en matière de protection et de sécurité des données et a développé à cet effet le «Sirius Datenschutzmanagement Software» (SIDAS)^[3]. Aujourd’hui, 17 organisations des Grisons travaillent avec SIDAS. Seule une organisation italophone ne le fait pas, car le système n’est disponible qu’en allemand. Le modèle pour les organisations d’ASD indépendantes a été développé avec l’aide de l’ASD de Landquart, qui compte 88 employés. «Grâce à SIDAS, nous sommes sûrs, depuis 2021, d’être en conformité avec la nouvelle loi sur la protection des données», déclare le directeur Michael ­Widrig. Il estime que la protection des données est un sujet important, mais considère les nouvelles directives d’un œil critique. «On impose toujours plus d’exigences bureaucratiques à l’ASD déjà confrontée à des ressources limitées et à de nombreux défis liés aux soins et à l’accompagnement.» Le directeur est toutefois convaincu que les exigences relatives aux données vont continuer à croître. «C’est pourquoi les organisations d’ASD auront de plus en plus besoin de spécialistes des données dans leurs rangs», affirme-t-il. «J’espère vivement que les politiques réfléchiront à la question de savoir qui financera ces spécialistes de manière adéquate.»

^[1] Des documents tels qu’une liste de contrôle et un concept de protection des données se trouvent sur l’Extranet d’Aide et soins à domicile Suisse. On y trouve aussi des informations utiles comme le fait que toutes les entreprises d’ASD ayant un site web doivent y intégrer une déclaration de protection des données.

^[2] Voir document «Révision de la loi sur la protection des données: principales nouveautés» sur l’Extranet.

^[3] Selon Sirius, les coûts initiaux de SIDAS pour une organisation s’élèvent à 7135 francs et les coûts annuels à 787 francs (www.siriusag.com/spitex.html).

Comment l’ASD peut s’armer contre les cybercriminels

La cybercriminalité est sur toutes les lèvres. Pascal Lamia, responsable de la cybersécurité opérationnelle au Centre national pour la cybersécurité (NCSC), explique dans une interview comment les organisations d’aide et de soins à domicile (ASD) pourraient s’en prémunir.

Magazine ASD: Selon le Centre national pour la cybersécurité (NCSC), les cybercriminels n’hésitent plus à paralyser les systèmes informatiques des institutions de santé comme les hôpitaux et à exiger des sommes souvent élevées pour les débloquer. Quel est le risque de cyberattaques pour les organisations d’ASD?
Pascal Lamia: Les cybercriminels ciblent tous les systèmes vulnérables, peu importe le secteur. Leur but est d’empocher le plus d’argent possible au prix du moindre effort. Ils s’attaquent donc à tous les systèmes qui ne sont pas suffisamment protégés. Les données gérées par les établissements de santé sont sensibles par nature. Ceux-ci ayant pris le parti de communiquer ouvertement sur les vols de données qu’ils subissent, on a l’impression que le secteur de la santé est plus souvent victime de cyberattaques que les autres domaines. Le risque d’essuyer une cyberattaque est le même pour les organisations d’ASD que pour le reste des entreprises en Suisse. La sécurité ne peut pas être garantie à 100 %. Cependant, si la question de la cybersécurité est traitée à l’échelon de la direction et si les entreprises exécutent les mesures de protection de base, le risque de cyber­attaque sera considérablement réduit.

Recommanderiez-vous aux organisations d’ASD de souscrire une cyberassurance?
Cette décision incombe à l’entreprise. Ce genre d’assurance peut aider à compenser en partie les dommages financiers. Cependant, les assureurs exigent eux aussi que les mesures de protection de base soient appliquées. Dans tous les cas, il faut en premier lieu veiller à maintenir les systèmes à jour. En effet, la plupart des cyberattaques qui réussissent exploitent des vulnérabilités connues, pour lesquelles il existe des correctifs [mises à jour logicielles; ndlr].

Quelles mesures conseilleriez-vous à chaque service d’ASD en matière de prévention contre la cybercriminalité?
La protection contre les cyberattaques passe d’abord par une prise de conscience de la menace. La direction doit être au courant des cyberrisques, mettre en place les principales mesures qui s’imposent sur le plan de l’organisation et de la technique et débloquer les fonds nécessaires à cet effet. Sur le plan technique, les mesures de protection de base englobent par exemple la sauvegarde des données sur un support sécurisé, l’exécution régulière des mises à jour requises et l’installation de pare-feu et d’antivirus. Il convient en outre de prendre des mesures organisationnelles afin qu’en cas d’incident, l’entreprise puisse reprendre ses activités le plus rapidement possible. Il s’agit notamment de mettre en place la gestion de la continuité des activités, la gestion de crise et la stratégie de communication de crise. Le comportement adéquat des collaboratrices et des collaborateurs est aussi un élément clé qui peut grandement contribuer à améliorer la cybersécurité. C’est pourquoi il est essentiel de sensibiliser et de former le personnel afin de développer une culture de la sécurité dans l’entreprise. Tous les employés d’une organisation d’ASD doivent savoir qu’ils ont un rôle important à jouer en matière de cybersécurité.

Le Centre national pour la cybersécurité (NCSC) publie de nombreuses instructions et listes de contrôle sur la protection contre les cyberrisques sur son site web www.ncsc.admin.ch. Et la campagne nationale de sensibilisation S-U-P-E-R.ch, réalisée conjointement par la Prévention suisse de la criminalité et le NCSC, définit cinq règles principales à respecter en matière de cybersécurité:

• SAUVEGARDER: Sauvegardez régulièrement vos données sur au moins deux supports.
• UTILISER LES MISES À JOUR: Mettez régulièrement à jour votre système d’exploitation, vos programmes et vos applications.
• PROTÉGER: Vérifiez si votre appareil est protégé contre les maliciels (antivirus, pare-feu).
• ÉQUIPER DE MOTS DE PASSE FORTS: Enregistrez-vous uniquement au moyen de mots de passe forts et utilisez-en toujours un différent.
• RÉDUIRE LES RISQUES: Réduisez les risques d’escroquerie dans le cyberespace en faisant preuve d’une saine prudence. Protégez aussi votre sphère privée et vos données lorsque vous naviguez sur internet. Réfléchissez avant d’ouvrir un message et de cliquer sur un lien.

Comment une organisation d’ASD doit-elle procéder en cas de piratage?
Les cybercriminels sont très innovants et n’ont de cesse de produire de nouveaux scénarios et vecteurs d’attaque. Chaque semaine, le NCSC rend compte des nouveaux modes opératoires sur son site internet. Lorsque les criminels tentent d’accéder à un système en exploitant le facteur humain, ils ont souvent recours à des thèmes d’actualité ou à des astuces psychologiques pour camoufler leurs attaques et s’introduire dans les systèmes des entreprises. Pour ce qui est des courriels d’hameçonnage, soit des courriels prétendument envoyés par des organisations officielles, nous recommandons de les ignorer et de les effacer immédiatement. Lorsque les cybercriminels arrivent à leurs fins et entrent en possession des données, ils demandent une rançon. De manière générale, le NCSC recommande de ne pas payer la somme exigée pour éviter que les entreprises contribuent à financer les infrastructures des cybercriminels et les encouragent à lancer de nouvelles attaques. En cas de cyberattaque, nous conseillons aux entreprises de demander un soutien externe au plus vite et de porter plainte.