La protection des données est devenue une préoccupation majeure pour les organisations de toutes tailles, qu’elles soient publiques ou privées. Face à une augmentation constante des cyberattaques et des risques de fuites de données, il est impératif d'adopter des stratégies de sécurité informatique robustes. L'hébergement des données informatiques et les logiciels utilisés dans les activités quotidiennes des entreprises ont un rôle prépondérant dans les risques encourus. Une sélection judicieuse en la matière peut significativement réduire les vulnérabilités et offrir une protection solide contre ces menaces toujours plus sophistiquées.

L’hébergement de vos données

Le choix d’un hébergeur de données ne devrait pas uniquement suivre des critères de performance, de disponibilité et scalabilité. Les aspects de sécurité et conformité doivent être considérés comme une condition Sine qua non, ainsi que les aspects liés au pays hébergeur.

• Sécurité et conformité : l'hébergeur doit offrir des mesures de sécurité robustes pour protéger vos données contre les intrusions, les pertes et les fuites. Recherchez des certifications de sécurité reconnues et assurez-vous que l'hébergeur respecte les normes de conformité spécifiques à votre secteur d'activité.

  La norme ISO/IEC 27001:2013 établit un ensemble de critères destinés à aider les entités à sécuriser leurs actifs, incluant les informations de personnes, d’infrastructures ou encore de réputation. Cette norme est applicable à toute organisation, indépendamment de sa taille, son domaine d'activité ou son secteur, et représente la méthode la plus universellement reconnue pour la gestion de la sécurité de l'information.

• Localisation de l’hébergement : le pays de l'hébergeur est crucial pour plusieurs raisons :

  • Conformité légale RGPD et LPD: les lois sur la protection des données varient d'un pays à l'autre. Héberger vos données dans un pays respectant des normes strictes en matière de protection des données peut aider à assurer la conformité avec les réglementations applicables, comme le RGPD en Europe ou la nLPD en Suisse.
  • Souveraineté des données : certains pays imposent des restrictions sur le transfert de données au-delà de leurs frontières, ce qui peut affecter votre capacité à accéder ou à transférer vos propres données. Cela permet aux pays européens de ne pas être dépendants de fournisseurs extra-européens, qui pourraient être soumis à des législations étrangères conflictuelles (comme le Cloud Act américain), pouvant compromettre la sécurité et la confidentialité des données européennes.

En particulier, il est recommandé d'être vigilant vis-à-vis des pays qui ne disposent pas de législations strictes sur la protection des données ou qui sont connus pour leur surveillance gouvernementale étendue :

• Sans législation forte sur la protection des données : des pays sans lois strictes de protection des données ou sans cadre réglementaire clair peuvent exposer vos données à des risques de confidentialité et de sécurité.
• Avec une surveillance gouvernementale étendue : certains pays sont connus pour leur surveillance étatique intrusive, ce qui pourrait compromettre la confidentialité et l'intégrité de vos données.

Hébergement aux États-Unis pour une entreprise suisse ou européenne, bonne ou mauvaise idée ?

Héberger des données aux États-Unis présente des défis spécifiques pour les entreprises suisses et européennes, principalement en raison des différences dans les réglementations sur la protection des données entre l'Europe (y compris la Suisse) et les États-Unis.

• Cadre réglementaire différent : les États-Unis n'offrent pas le même niveau de protection des données personnelles que le RGPD en Europe ou que les lois suisses sur la protection des données. Cela peut créer des complications pour les entreprises suisses ou européennes en termes de conformité légale.
• Lois sur la surveillance : les États-Unis ont des lois qui permettent aux gouvernements d'accéder à des données stockées sur leur territoire dans le cadre d'enquêtes. Cela inclut des lois comme le Patriot Act et le Cloud Act, qui peuvent contraindre les fournisseurs de services cloud à divulguer des données, y compris celles appartenant à des entités étrangères, aux agences gouvernementales américaines.
• Transferts de données internationaux : pour les entreprises européennes et suisses, transférer des données personnelles vers les États-Unis exige de garantir que ces données bénéficieront d'un niveau de protection adéquat. Cela peut impliquer la mise en place de clauses contractuelles types, de règles d'entreprise contraignantes ou d'autres mécanismes juridiques pour assurer la conformité avec le RGPD ou la législation suisse.
• Risque pour la réputation : les clients européens et suisses sont de plus en plus conscients des questions de protection des données. Héberger des données aux États-Unis peut susciter des inquiétudes chez certains clients concernant la sécurité et la confidentialité de leurs informations.

Quel rôle jouent les logiciels que vous utilisez ?

L’hébergement de vos serveurs a peut-être été sélectionné avec attention, mais qu’en est-il des données disponibles dans les multiples logiciels utilisés par vos collaborateurs ?

Aujourd’hui, l’utilisation de logiciels est quasi indispensable dans le développement d’une entreprise. Logiciels de gestion des salaires, CRM pour le suivi client, plateforme marketing pour la gestion de campagnes, gestionnaire de tâches, logiciel de messagerie instantanée, etc. Tous ces outils permettent une gestion optimale des activités des entreprises, ainsi qu’une collaboration fluide et efficace. Cependant, chacun d’entre eux stocke des informations personnelles et potentiellement sensibles sur les clients, les utilisateurs et les collaborateurs de l’entreprise, représentant un risque de sécurité.

Cela signifie que le choix des logiciels qu'elles utilisent doit être effectué avec le plus grand soin pour garantir la conformité.

Cela implique de poser des questions précises sur la façon dont le logiciel collecte, traite, et stocke les données personnelles. Il est également important de vérifier si le fournisseur offre des fonctionnalités permettant de gérer facilement les droits des utilisateurs, tels que le droit à l'oubli, l'accès aux données et la portabilité des données.

Comment choisir un logiciel sécurisé, conforme à la RGPD et la LPD

1. Privilégier les fournisseurs transparents et coopératifs

Choisissez des fournisseurs qui font preuve de transparence quant à leurs pratiques de protection des données et qui sont disposés à coopérer pour assurer la conformité. Cela peut inclure la fourniture de documentation détaillée sur la sécurité des données et les mesures de conformité, ainsi que le soutien en cas d'audit ou de contrôle par les autorités de protection des données.

2. Assurer la sécurité des données

La conformité ne s'arrête pas à la protection de la vie privée ; elle englobe aussi la sécurité des données. Assurez-vous que les logiciels choisis offrent des garanties solides en matière de sécurité, telles que le chiffrement des données en transit, les sauvegardes régulières sur un second serveur, et la protection contre les accès non autorisés. De nos jours, il est par exemple inimaginable de se connecter à un service cloud qui n’utilise pas le HTTPS (hypertext Transfer Protocol Secure) ou qui n’offre pas la possibilité de s’identifier avec le 2FA, authentification à double facteur.

3. Privilégiez les logiciels qui hébergent leurs données en Europe

Pour les mêmes raisons qui animent le choix de localisation de vos serveurs en Suisse ou en Europe, il est judicieux de choisir un logiciel qui suit cette stratégie. En hébergeant les données au sein de l'UE, les entreprises s'assurent de respecter ces directives, évitant ainsi d'éventuelles sanctions qui peuvent être particulièrement lourdes. Elles évitent aussi les conflits de souveraineté des données et renforcent la confiance des utilisateurs.

Le petit plus : soutien au secteur technologique suisse et européen

Choisir l'Europe comme lieu d'hébergement pour les données offre des avantages économiques significatifs. Premièrement, cela stimule l'économie locale en favorisant le développement d'infrastructures numériques, de data centers et en créant des emplois dans le secteur technologique. Deuxièmement, cela encourage l'innovation en fournissant aux startups et aux entreprises un accès sécurisé et réglementé à des données cruciales, facilitant ainsi le développement de nouvelles technologies et services. En outre, l'existence d'un cadre réglementaire clair et la proximité géographique des centres de données peuvent améliorer la performance et la réactivité des services en ligne.

Maintenant que vous savez tout, pourquoi ne pas faire un petit audit des logiciels utilisés par votre entreprise ?

• Sont-ils hébergés en Suisse ? En Europe ? Aux États-Unis ?
• Leur data center sont-ils certifiés ISO 27001 ?
• Présentent-ils des certificats d’audit indépendants (par exemple SOC 2 Type II)
• Pour les logiciels Cloud, utilisent-ils le protocole HTTPS ?

Cliquez ici pour en savoir plus sur les engagements de WEDO en matière de sécurité.