Auteur

Daniel Nestor Solenthaler - CEO

+41 44 515 47 30

daniel.solenthaler@timesensor.de

Le règlement européen sur la protection des données personnelles

et timeSensor LEGAL

Le règlement européen sur la protection des données personnelles entrera en vigueur le 25 mai 2018. La réglementation déjà existante sera renforcée et de nouvelles règles viendront encadrer davantage le traitement et l’utilisation des données à caractère personnel.

Quelles conséquences pour les cabinets d’avocats?

Sont concernées par le règlement les entreprises basées dans un pays de l’Union européenne proposant des biens ou des services et traitant les données de leurs clients ou contacts dans leurs systèmes, ce qui est le cas des cabinets d’avocats.

Mais les cabinets suisses sont également concernés: à partir du moment où ils traitent des données personnelles de clients (personnes physiques) basés dans l’UE, ils devront se plier à la nouvelle réglementation. En outre, la consultation sur l’avant-projet relatif à une nouvelle loi fédérale suisse sur la protection des données (LPD) est déjà terminée, et celui-ci est largement inspiré de la réglementation européenne: en d’autres termes, le sujet s’imposera de lui-même à tous les cabinets d’avocats suisses.

Votre système informatique va-t-il être affecté?

La nouvelle réglementation affectera principalement les structures et les processus des entreprises privées. Le système informatique d’un cabinet d’avocats est donc concerné. Afin d’être conforme au nouveau règlement, l’étude devra protéger les données sensibles contre tout accès non autorisé et faciliter le respect desdites règles par les utilisateurs du système.

Un logiciel de gestion de cabinet d’avocats étant un outil central dans le domaine de la gestion des données sensibles, un éditeur de logiciel de ce type se doit de travailler activement au renforcement de la protection des données personnelles. Dans cette optique, nous nous basons essentiellement sur deux principes: la protection de la vie privée dès la conception («privacy by design»), et la protection de la vie privée par défaut («privacy by default»).

Privacy by design

Ce principe signifie que la protection des données et de la vie privée doit être renforcée et soutenue activement par le logiciel de gestion du cabinet.

Architecture

Les systèmes basés sur le web sont particulièrement problématiques. L’interaction complexe entre base de données, middleware, Java et navigateur web augmente en effet leur vulnérabilité. Avec un système de ce type, il est quasiment impossible d’assurer la sécurité des données sur tous les composants (et sur toutes les versions) à la fois. Le logiciel timeSensor LEGAL est quant à lui basé sur une structure serveur/client homogène. Il n’y a ni middleware, ni framework Java, ni navigateur web. La base de données, le serveur d'application et le client étant tous produits par un seul fabricant, ils communiquent directement entre eux via des canaux internes et cryptés, ce qui rend bien plus difficile un accès non autorisé au système. Cliquez ici pour en savoir plus sur l’architecture de sécurité de la base de données 4D.

Application

Le principe de protection de la vie privée dès la conception suppose de prendre en charge la protection des données au moyen de fonctions adaptées. Le flux de travail de timeSensor LEGAL en est un bon exemple: les documents transitent uniquement dans la base de données, de sorte que les collaborateurs n’ont pas besoin de se les envoyer par e-mail. Par ailleurs, la version standard de timeSensor LEGAL inclut des droits d’accès granulaires et des dossiers confidentiels, et l’accès aux documents ne se fait pas par un serveur de fichiers. Le recours aux partages de réseau fragilise grandement la protection des données dans la mesure où il est très difficile de garantir la confidentialité des documents dans une structure de fichiers. C’est pourquoi, dans timeSensor LEGAL, l’accès aux documents se fait exclusivement par l’interface graphique de l’application.

Stockage des données centralisé

A partir du moment où les données d’une personne sont dispersées sur plusieurs systèmes différents, leur suppression devient souvent complexe. Des collaborateurs peuvent supprimer les données sur certains systèmes, mais pas sur d’autres, ou il est possible que certains systèmes deviennent obsolètes et que les nouveaux collaborateurs ne sachent pas comment supprimer les données qui y sont stockées. Avec timeSensor LEGAL, toutes les données sont stockées dans une base de données centralisée. Dès lors, il est bien plus facile de supprimer toutes les données associées à une personne si cela s’avère nécessaire.

Privacy by default

Complémentaire du précédent, ce principe signifie que le logiciel doit permettre par défaut la meilleure protection des données possible. Dans ce domaine, timeSensor LEGAL peut encore faire l’objet d’améliorations.

Un exemple: actuellement, les utilisateurs de TSL peuvent choisir leur mot de passe comme ils l’entendent, et donc utiliser des mots de passe très peu robustes («123», par exemple). Nous travaillons actuellement à une amélioration de la gestion des utilisateurs qui permettra d’éviter l’utilisation de mots de passe de ce type. Notre système sera donc moins tolérant, mais cela permettra une meilleure protection des données de chacun.

Une autre amélioration à venir, plus complexe, portera sur la suppression de données. Dans les systèmes de base de données relationnelle, des données différentes sont étroitement liées les unes aux autres, ce qui complique la suppression d’ensembles de données spécifiques. Si, par exemple, vous supprimez de votre base un client et tous les ensembles de données qui lui sont associés, cela affectera la comptabilité, car les paiements du client seront eux aussi supprimés – ce qui n’est bien évidemment pas souhaitable.

En outre, pour des raisons d’efficacité, les données sont groupées de telle manière que les ensembles de données supprimés sont marqués comme tels, mais restent généralement présents physiquement sur la base de données.

Concernant ce dernier problème, nous améliorerons le logiciel pour permettre le masquage des données. Les ensembles de données seront toujours présents, mais ils seront anonymisés. Cette modification permettra de maintenir la cohérence du système de base de données relationnelle tout en assurant la conformité à la réglementation relative à la protection de la vie privée.

En tant qu’éditeur de logiciels de gestion, nous nous engageons à faire le maximum pour renforcer la protection des données sur nos produits; timeSensor LEGAL offre d’ores et déjà un bon niveau de protection, mais de nouvelles fonctionnalités seront proposées au cours des mois à venir afin d’assurer une prise en charge optimale au moment de l’entrée en vigueur de la nouvelle réglementation.

Ne ratez plus les dernières actualités!
Inscrivez-vous à notre newsletter.