Protection des données personnelles: notre responsabilité
Depuis le mois de mars, plus de 13 000 collaboratrices et collaborateurs ont suivi la formation obligatoire en ligne sur la protection des données personnelles, le secret de fonction et les problèmes liés à la cybersécurité. Grâce à trois petits sketchs amusants et de courts modules interactifs, cet e-learning semble faire mouche. Retour sur la genèse d’un projet malin et éclairant pour sensibiliser aux bonnes pratiques des métiers de l’État.
Tout a commencé en 2021, lorsqu’un audit de la Cour des comptes a révélé qu’une grande majorité des cas de violation de la protection des données personnelles, du secret de fonction ou de problèmes liés à la cybersécurité découlaient d’une action ou d’une négligence humaine. La conclusion était sans appel : il fallait sensibiliser les collaboratrices et les collaborateurs de l’administration cantonale à ces sujets, sinon totalement inconnus, du moins un peu abstraits.
Pour Valérie Studer, responsable de la formation continue à la Direction générale des ressources humaines (DGRH) et en charge de mettre sur pied une formation obligatoire sur ces trois thèmes, la mission était plutôt stimulante : «En plus de la collaboration avec trois responsables (l’Autorité de protection des données et du droit à l’information [APDI], la Direction générale du numérique et des systèmes d’information [DGNSI] et la Direction générale des affaires institutionnelles et des communes [DGAIC]), nous avons mandaté un prestataire externe pour réfléchir à un format court, attractif et compréhensible par tous.»
Le résultat ? Trois programmes pédagogiques et interactifs d’environ 15 minutes par thème, à faire d’une traite ou séparément, sur le portail VDAcadémie. « C’est la première fois que l’on fait un programme à si grande échelle, puisque l’ensemble du personnel est amené à y participer. » Et bien que tout le monde n’ait pas encore « fini ses devoirs », Valérie Studer se félicite des nombreux retours positifs et spontanés reçus : « Si les gens sont contents en faisant une formation obligatoire, alors tant mieux ! »
Les personnages des sketches: de «braves fonctionnaires» qui se retrouvent embarqués dans des situations lourdes de conséquences par manque d’éclairage sur certaines notions.L’erreur humaine : la corde sensible
Mais comment rendre tangibles des notions parfois subtiles, comme la différence entre la protection de données et le secret de fonction? Comment faire comprendre à des personnes, parfois novices avec les outils numériques, que les cyberattaques ne sont pas que de vagues menaces dont on entend parler dans les journaux? (lire plus bas)
L’idée, quasi cathartique, a été vite trouvée : trois sketches, tournés avec des comédiens professionnels, ont été imaginés pour introduire chaque module de cours, constitués de quelques rappels théoriques et de questions simples. Effet miroir garanti avec ces personnages, de « braves fonctionnaires » d’aujourd’hui, animés des meilleures intentions, mais qui, par manque d’éclairage sur certaines notions, se retrouvent embarqués dans des situations qu’on imagine potentiellement lourdes de conséquences… De l’employé sympathique qui récupère dans une base de données l’adresse d’un vieil ami perdu de vue pour lui faire une surprise (« Protection des données ») à l’employée consciencieuse qui clique hâtivement sur un lien suspect avant de partir en pause (« Cybersécurité ») en passant par le fanfaron qui converse, en pleine rue, lâchant de croustillants détails sur le dossier d’un administré (« Secret de fonction »), les trois situations révèlent à quel point nos travers humains peuvent se transformer en véritables bombes à retardement…
En guise de « conscience embarquée », une jeune femme espiègle, invisible aux yeux des autres personnages, sirote un café et commente, en direct, les erreurs de ses collègues. « L’humour – et l’effet miroir qu’il induit – nous a semblé idéal pour expliquer des notions simples à une grande variété de personnes, exerçant des métiers si différents. »
Des sujets d’actualité
Si l’attaque de certains hôpitaux, établissements scolaires et communes a fait la une des médias, Sam Vuilleumier confirme que le risque zéro n’existe pas, y compris pour l’État: « Tous les jours, des tentatives d’attaques sont déjouées par les mesures mises en place par notre Centre opérationnel de sécurité, qui surveille les cybermenaces.»
Julie Gerber, juriste spécialiste à l’APDI, indique que « l’Autorité réalise des audits, à raison d’un ou deux par an, et effectue des contrôles à chaque fois qu’un cas est dénoncé. L’APDI ne dispose pas de pouvoirs de sanction; il est toutefois possible qu’une personne auteure d’une violation se voie sanctionnée par son autorité d’engagement, la sanction pouvant aller jusqu’au prononcé du licenciement».
Même son de cloche à la DGNSI, où Sam Vuilleumier explique qu’«il n’y a pas de volonté de sanction, mais plutôt de transparence et de sensibilisation pour inciter les personnes à annoncer leur doute, afin de vérifier et mitiger le risque, en partant du principe que chacune et chacun est de bonne foi et que l’erreur est humaine.»
Des retours plus qu’encourageants
Quoi qu’il en soit, Valérie Studer se réjouit des nombreux retours positifs reçus, à la suite de cet e-learning : «La formation a soulevé pas mal de questions de tous les services de l’État, et les gens commencent à réfléchir», se félicite-t-elle. Parmi les interrogations les plus fréquentes, relayées également par les responsables des formations : A-t-on le droit d’avoir un groupe de travail WhatsApp? Peut-on débattre du cas d’un élève dans la salle des maîtres? Peut-on utiliser son ordinateur privé pour télétravailler et, si oui, à quoi faut-il faire attention? Comment gérer en toute sécurité de multiples mots de passe? Quand la direction a connaissance de l’anniversaire d’un collaborateur, peut-elle le lui souhaiter?
Si certaines demandes peuvent sembler futiles, elles sont en réalité «toutes pertinentes et, bien souvent, transférées directement aux juristes ou aux experts pour des réponses claires et sans équivoque». (EB)
À lire ou relire dans la Gazette :
« Sécurité numérique : Une campagne de sensibilisation très instructive », 30.03.22
« Sécurité numérique : Des efforts à poursuivre pour se protéger de la cybercriminalité », 29.03.23
Teaser de la formation
Une sensibilisation «trois en un»
Comme le précise Julie Gerber (de l’APDI), des aspects liés à la protection des données, au secret de fonction et à la sécurité des données peuvent se chevaucher. À titre d’exemple, les données personnelles peuvent être également soumises au secret de fonction et dès lors, l’application du principe de sécurité devra tenir compte de ces deux éléments.
Yann Fahrni (de la DGAIC) rappelle à cet égard la subtile différence entre la protection des données (qui vise à protéger des informations privées que les administrés confient à l’État) et le secret de fonction (qui vise, en plus, à protéger des informations devant rester confidentielles pour assurer le bon fonctionnement de l’État). «Ainsi, des informations détenues par une autorité peuvent être protégées par le secret de fonction sans que la loi sur la protection des données (LPrD) ne s’applique. Par exemple, une liste mentionnant les lieux et dates des prochains contrôles routiers de la police ne serait pas soumise à la LPrD, car elle ne contient pas de données personnelles. En revanche, le secret de fonction interdirait aux collaboratrices et collaborateurs qui détiennent cette liste de la transmettre à des tiers sans autorisation, afin que l’efficacité des contrôles soit assurée.»
Cybersécurité : comprendre la loi de la jungle numérique
Persuadée que la communication et la sensibilisation sont la clé de voûte pour mieux affronter les nombreux pièges numériques, la DGNSI informe régulièrement sur divers sujets importants de sécurité et de protection des données, que ce soit à travers des articles dans La Gazette de l’État, des communiqués internes ou sur www.vd.ch et https://votrepolice.ch/cybercriminalite-cat/. Des outils intéressants sont également disponibles, comme de bons conseils sur www.vd.ch/securite-en-ligne, www.esusi.vd.ch, portail pédagogique en libre accès dédié à la sécurité de l’information, sans compter le site mobile www.vd.ch/cybersecurite. Un thème de prédilection? Le phishing (« hameçonnage »). Rien de miraculeux dans cette pêche aux données confidentielles et à la naïveté, mais de vicieux courriels simulant des messages officiels. L’enjeu? Abuser l’usager pour lui dérober des informations sensibles, détourner des fonds par un stratagème ou un autre ou, évidemment, infecter votre système avec un virus malveillant et proposer de vous en débarrasser, moyennant une rançon…
