Protection des données et confiance
En bref
La protection des données est importante pour les entreprises de messagerie, car les clients doivent leur faire confiance.
- Seules les personnes autorisées peuvent consulter les données
- Depuis septembre 2023, de nouvelles règles s'appliquent en Suisse
Confiance
La numérisation croissante et le développement rapide des technologies apportent à la fois des opportunités et des
dangers.
Beaucoup de gens se sentent dépassés par la numérisation. Le malaise qui en résulte est renforcé par les rapports
quasi hebdomadaires sur les pertes de données.
La confiance est d'une importance cruciale pour la création de nouveaux modèles commerciaux numériques.
Pour instaurer la confiance nécessaire, il faut traiter les données avec soin, en s'appuyant sur une protection des
données ciblée et efficace.
(cf. Concept de protection des données de la société numérique)
La confiance est d'une importance capitale pour les entreprises de coursiers à vélo. La fiabilité des livraisons est souvent peu ou pas réglementée sur le plan juridique et repose sur la confiance des clients dans les entreprises.
Une fuite de données ou une baisse de la qualité du service due à une cyberattaque peut entraîner une perte de confiance importante.
Dans le contexte de l'authentification, deux outils pertinents pour se défendre contre les attaques sont l'utilisation
de **méthodes de connexion sécurisées
**
Méthodes de connexion et d'un [fournisseur d'identité] Identity Provider
fiable.
Les autres stratégies de défense ne sont pas abordées ici. Vous trouverez des informations à ce sujet auprès de l'
Office fédéral de la cybersécurité BACS ou dans le
OWASP Top Ten
Loi sur la protection des données
Le 1er septembre 2023, la révision de l'ordonnance sur la protection des données (revDSG) est entrée en vigueur en Suisse.
Cette loi renforce considérablement les exigences en matière de protection des données pour les entreprises.
Celles-ci concernent également le contrôle d'accès :
En fonction du besoin de protection, le responsable du traitement et le sous-traitant prennent des mesures techniques et organisationnelles pour que les données traitées:
a. ne soient accessibles qu’aux personnes autorisées (confidentialité); b. soient disponibles en cas de besoin (disponibilité); c. ne puissent être modifiées sans droit ou par mégarde (intégrité); d. soient traitées de manière à être traçables ( traçabilité).
En outre, le principe du « moindre privilège » (https://www.cloudflare.com/de-de/learning/access-management/principle-of-least-privilege/) est inscrit dans la loi :
Pour assurer la confidentialité, le responsable du traitement et le sous-traitant prennent des mesures appropriées afin que: a. les personnes autorisées n’aient accès qu’aux données personnelles dont elles ont besoin pour accomplir leurs tâches (contrôle de l’accès aux données);
Afin de se conformer à la loi sur la protection des données, les entreprises doivent s'assurer que seules les personnes autorisées ont accès aux applications.
Des identifiants personnels doivent être utilisés, car les identifiants partagés ne permettent pas d'identifier la personne et l'accès des personnes ayant quitté l'entreprise ne peut être refusé qu'en modifiant le mot de passe commun.