Définir une politique stricte de gestion des accès : un élément essentiel de la protection des données personnelles

Les communes vaudoises traitent de nombreuses données personnelles dans le cadre de l'exécution des tâches qui leur sont dévolues. Les traitements de données personnelles, y compris de données sensibles ou de profils de la personnalité, doivent être effectués de manière conforme aux principes définis dans la loi du 11 septembre 2007 sur la protection des données personnelles (LPrD; BLV 172.65) que sont notamment les principes de légalité, finalité, transparence, proportionnalité et exactitude. Cela implique, entre autres, que les droits d’accès aux bases de données soient établis conformément à ces principes.

En pratique, il est courant de retrouver des données personnelles très variées et utiles à différents services dans une même base de données : des courriers ou des courriels de personnes interagissant avec la commune (habitant∙e∙s, prestataires de services, autres autorités, etc.), des pièces comptables, des dossiers relatifs aux ressources humaines ou au contrôle des habitants, des documents produits par la commune (préavis de la Municipalité ou du Conseil communal/général). Quand bien même des données personnelles sont traitées dans des bases de données spécifiques à une activité, par exemple le registre du contrôle des habitants, il est fréquent que les droits d’accès au sein de ces bases de données soient octroyés de manière trop large. A noter que les bases de données peuvent être de natures très différentes en fonction des activités et de l’organisation de chaque commune. Les logiciels de gestion documentaire (généralement connus sous l’acronyme de GED, pour Gestion Électronique des Documents) constituent un type de base de données parmi d’autres.

A l’heure actuelle, il n’est plus admissible que toutes les données personnelles soient traitées de manière centralisée et accessibles à tous les agents communaux. Une bonne gestion des accès permet de protéger les individus contre une éventuelle utilisation abusive de leurs données personnelles. A titre d’exemple, si un identifiant communal devait être compromis, une politique stricte de gestion des accès permettrait en principe de limiter les données personnelles exposées et par conséquent de circonscrire les éventuelles fuites de données personnelles.

Pratiques à mettre en oeuvre

Les points suivants doivent impérativement être observés lorsqu’une base de données est déployée s’agissant de la gestion des accès :

1. Identifier quelles sont les différentes données personnelles traitées par service et les règles applicables au traitement de ces données (LPrD, loi ou règlement régissant le domaine en question, directives internes, bonnes pratiques, etc.).
2. Définir et attribuer aux collaborateurs et collaboratrices des accès différenciés aux bases de données, en fonction des bases légales existantes et des tâches qui leurs sont assignées (qui accède à la base de données ?).
3. Définir, pour chaque base de données, à quelles données personnelles un collaborateur ou une collaboratrice doit avoir accès (qui accède à quelles données au sein de la base de données ?). L’accès devrait être défini pour chaque attribut présent dans ladite base de données. Un attribut (ou champ) est un identificateur qui correspond à une donnée ou à un type de données (par exemple nom, date de naissance, identifiant, etc.). Les bases de données permettant uniquement des accès par paquet d’attributs sont à proscrire. En application du principe de proportionnalité et afin d’assurer une meilleure sécurité des données personnelles traitées, il convient de limiter l’accès aux seules données strictement nécessaires à l’accomplissement de la tâche attribuée au collaborateur ou à la collaboratrice. A titre d’exemple, une personne dont la tâche relève des ressources humaines n’a pas, a priori, à disposer des accès aux mêmes données qu’une personne traitant de la gestion des courriers de la commune, tout comme une personne rattachée au service technique n’a vraisemblablement pas besoin des mêmes accès qu’une personne rattachée au contrôle des habitants. La définition des profils d’accès doit être effectuée à tous les niveaux de la commune. Qu’il s’agisse d’un∙e collaborateur∙trice ou d’un∙e Municipal∙e, chaque personne traitant des données personnelles au sein de la commune doit disposer d’un profil précis découlant de sa fonction et de ses tâches objectives.
4. Distinguer les accès en consultation de ceux en écriture, à nouveau dans le but de ne pas accorder plus de droits que nécessaire aux personnes devant uniquement consulter des données personnelles, sans besoin de modifier ces dernières. Un accès en écriture donne en effet des droits bien plus larges sur les données que la seule consultation de celles-ci, notamment, outre le droit de modifier les données, celui de les supprimer.
5. Distinguer les accès pérennes des accès temporaires. A titre d’exemple, des accès temporaires peuvent être accordés en cas de remplacement d’une personne absente.
6. Prévoir un niveau d’authentification proportionnel aux accès accordés. Plus une personne dispose d’accès étendus à des données personnelles ou à des données nécessitant une protection accrue, plus son niveau d’authentification devrait être fort.
7. Sensibiliser les personnes qui accèdent à des données personnelles aux règles qui leur sont applicables (principes généraux du droit de la protection des données, secret de fonction, secret applicable à la matière concernée, directives internes, etc.). Même si une personne dispose, en raison de ses fonctions, d’un large accès aux données personnelles contenues dans un système d’information ou une base de données, elle n’est pas autorisée à consulter des données autres que celles auxquelles elle doit accéder dans un cas particulier (pas de consultation des données personnelles concernant un∙e collègue, une connaissance ou un∙e voisin∙e).
8. Informer chaque personne disposant d’un accès des conséquences d’un accès indu aux données personnelles.
9. Mettre en place un système de journalisation en modification et en lecture seule afin de permettre, au besoin, de contrôler les accès effectués par les collaborateurs et collaboratrices. Les données du système de journalisation ne doivent être conservées que pendant une durée limitée (au maximum six mois) et ne doivent être utilisées que dans les buts pour lesquels elles ont été collectées. Les collaborateurs et collaboratrices doivent être informé∙e∙s de cette collecte de données.
10. Tenir à jour les accès octroyés, en s’assurant régulièrement que les accès d’un collaborateur ou d’une collaboratrice qui a changé de fonction ou de service, ou encore dont le contrat a pris fin, ont bien été supprimés. Il convient également de réévaluer périodiquement (par exemple, chaque année) les accès octroyés.

Pratiques à bannir

Les pratiques suivantes sont à abandonner :

1. Exploiter une base de données sans en limiter strictement l’accès.
2. Créer ou utiliser des comptes partagés par plusieurs personnes.
3. Octroyer des accès à des données non strictement nécessaires à l’accomplissement des tâches des collaborateurs ou collaboratrices, à savoir accorder à un utilisateur ou une utilisatrice plus de privilèges que nécessaire.
4. Oublier de supprimer les accès au départ du collaborateur ou de la collaboratrice.

L’Autorité de protection des données et de droit à l’information invite chaque commune à analyser ses pratiques en la matière et à revoir, au besoin, sa politique de gestion des accès à l’aune des principes évoqués dans la présente publication. L’Autorité de protection des données et de droit à l’information se tient évidemment à disposition pour tout renseignement complémentaire.

_{Autorité de protection des données et de droit à l'information (APDI)}