Les clients attendent de leur expert fiduciaire qu’il ne révèle pas leurs données. Malheureusement, il existe des systèmes d’exploitation tels que Windows 10 et d’autres réseaux qui collectent beaucoup de données personnelles ou confidentielles. Lorsque les experts fiduciaires utilisent ces systèmes et ces réseaux, il peut souvent en résulter une violation involontaire du droit de la protection des données.
Les règles déontologiques de l’association suisse des fiduciaires FIDUCIAIRE|SUISSE prévoient le maintien du secret professionnel. Ses membres s’engagent à ne pas transmettre les constatations faites lors de l’exercice de leur activité ainsi que les secrets qui leur ont été confiés. Les mêmes règles précisent également que l’expert fiduciaire est tenu de renoncer à utiliser, à son propre avantage ou au bénéfice de tiers, les informations qu’il a obtenues dans le cadre des mandats qui lui ont été confiés.
L’obligation de maintien du secret professionnel commence au moment où l’expert fiduciaire, ou son personnel, reçoit les premières informations nécessaires à l’exercice de leur mandat. Cet engagement ne se termine par ailleurs pas par la conclusion du mandat.
Les règles déontologiques sont également conformes au droit de la protection des données. La loi sur la protection des données (art. 12 LPD) interdit de communiquer des données sensibles ou des profils de la personnalité sans motif justificatif. En règle générale cependant, l’on n’est pas en présence d’une violation des profils de la personnalité si la personne concernée a libéré de manière générale l’accès à ses données et n’en a pas expressément interdit le traitement.
Les experts fiduciaires sérieux ont bien l’intention de respecter ces règles. Seulement voilà: le traitement électronique des données peut fort bien leur jouer un mauvais tour. Le système d’exploitation Windows 10 de Microsoft en constitue un exemple de brûlante actualité. La version gratuite a quasiment été imposée aux utilisateurs sous forme de mise à jour, ce qui ne s’est bien entendu pas fait par simple altruisme. On le constate en lisant la disposition relative à la protection des données. Windows 10 se base sur un «cloud» et on peut l’utiliser non seulement avec un ordinateur mais également avec une tablette ou un smartphone.
Selon les prétendues «dispositions relatives à la protection de données», Windows collecte, entre autres, les données suivantes: données de contact, mots-clés, indications relatives à des mots-clés et des informations de sécurité similaires utilisées pour l’authentification et l’accès au compte, à des intérêts, des données de paiement, des données d’utilisation. Ces dernières concernent également des données relatives aux appareils, y compris l’adresse IP, les informations relatives aux systèmes d’exploitation, les contacts et les relations.
A ce propos, ces mêmes dispositions précisent: «Vous avez le choix de définir les données que nous collectons. Si vous êtes prié de mettre à disposition des données relatives à une personne, vous pouvez refuser. Si toutefois vous décidez de ne pas mettre à disposition des données qui sont nécessaires à la mise à disposition d’un service, il se pourrait que vous ne soyez pas en mesure d’utiliser certaines fonctions ou certains services.» Même si l’on exclut, autant que faire se peut, une transmission de données à Windows, il faut néanmoins faire preuve de prudence. Si l’on en croit les expériences des spécialistes informatiques, une chose s’applique à tous les «clouds»: on perd pratiquement tout contrôle des données dès lors qu’elles ont été transmises au cloud.
Il est ainsi possible de contrevenir, sans qu’on ne le veuille, à la loi sur la protection des données par la simple utilisation de Windows 10 et d’autres «clouds». On aura ainsi transmis, en qualité d’expert fiduciaire, des données à des tiers, par exemple Windows, sans l’assentiment des clients.
Il ne s’agit pas d’une bagatelle: quiconque révèle intentionnellement et de manière illicite des données personnelles ou des profils de la personnalité secrets et sensibles portés à sa connaissance dans l’exercice de sa profession est puni, sur plainte, d’une amende (art. 35 LPD). Cela vaut également après la fin des rapports de travail ou de formation.
Le client peut aussi agir en justice pour préserver sa personnalité conformément aux dispositions du Code civil suisse (art. 28 ss CCS) (art. 15 LPD). Le plaignant peut en particulier demander que le traitement des données et la communication de données à des tiers soient bloqués mais aussi que les données personnelles soient corrigées ou détruites. Cependant, il n’y a en règle générale pas de violation de la personnalité lorsqu’une personne concernée libère de manière générale l’accès aux données et qu’elle n’a pas expressément interdit leur traitement. Il convient cependant toujours de respecter les droits d’auteur.
Comme mentionné ci-dessus, il convient de faire preuve de la plus grande prudence lors de la sauvegarde de données de clients sur un «cloud». Dans les «clouds» externes, il arrive souvent que le fournisseur de services cloud direct, avec lequel on passe un contrat en tant que client, transmette, pour traitement, les données d’un client à un tiers fournisseur de services. Ce dernier peut se trouver ailleurs qu’en Europe, raison pour laquelle il n’est alors plus du tout possible de contrôler les accès à ces données.
S’il n’est pas possible d’éviter l’utilisation d’un «cloud», il faut choisir très soigneusement le fournisseur de services cloud. Le fournisseur de services cloud ne peut traiter les données personnelles que de la façon dont l’utilisateur du «cloud» pourrait lui-même le faire conformément aux dispositions de la loi sur la protection des données (LPD).
Important: une entreprise n’est pas déliée de sa propre responsabilité par le fait qu’elle externalise une fonction de sauvegarde des données et de processus, même si elle analyse en détail le fournisseur de services «cloud» et conclut un règlement contractuel solide.
Afin de garantir la sécurité et la protection des données, il est préférable de choisir des «clouds» en Suisse qui fournissent la garantie qu’ils ne transmettront pas de données à l’étranger. La Suisse se distingue par un droit de la protection des données qui est très strict en comparaison internationale.
Des informations ne doivent se trouver sur les réseaux sociaux tels que Facebook etc. que si elles peuvent être publiques. Ce sont tout particulièrement les processus automatisés qui peuvent produire des effets secondaires indésirables. De plus, les exploitants de réseaux sociaux gratuits et d’autres entreprises s’assurent souvent des droits d’utilisation pour la commercialisation et la transmission des contenus installés et publiés sur ces services pour les utiliser à des fins publicitaires. Dans le cadre de ce processus, les utilisateurs perdent le contrôle de ce qui se passe avec leurs données. Là contre, même les meilleures lois sur la protection des données n’auront pas beaucoup d’utilité en pratique.
La nouvelle déclaration relative à la protection des données de Google en est un bon exemple. Quiconque veut utiliser Google est obligé d’accepter cette déclaration. Entre autres, Google saisit même des informations spécifiques aux appareils et procède à des déterminations de position.
La justification de cette collecte de données de la part de Google se trouve de manière similaire également dans les déclarations relatives à la protection des données d’autres entreprises: «Nous utilisons les données saisies dans le cadre de nos services pour mettre à disposition, entretenir, protéger et améliorer nos services, pour développer de nouveaux services et pour protéger tant Google que nos utilisateurs. Nous utilisons en outre ces données pour vous proposer des contenus conçus sur mesure.»
La diffusion involontaire de données confidentielles par le biais d’appareils intelligents (smartphones etc.) constitue un autre danger. On sait depuis longtemps que les applications pour smartphones poursuivent avant tout l’objectif d’espionner les utilisateurs. Il existe aussi d’autres appareils intelligents, par exemple des téléviseurs, qui sont aujourd’hui équipés d’une caméra vidéo et d’un microphone. Dès qu’ils sont reliés à Internet, il est possible de surveiller les téléspectateurs, en particulier avec un logiciel de reconnaissance de visage. C’est la raison pour laquelle il ne faudrait relier les appareils intelligents à Internet que lorsque c’est absolument nécessaire. Pour les écrans intelligents, il est également possible de coller précautionneusement un papier sur la caméra.
Les appareils intelligents ne devraient être achetés qu’auprès d’un vendeur digne de confiance, en mesure de garantir que l’appareil n’a pas été préalablement manipulé. Un scanner anti-virus est également nécessaire pour les appareils mobiles. Les appareils mobiles contenant des données sensibles (relatives à des clients) ne devraient jamais être prêtés ou laissés sans surveillance. Il est en outre judicieux d’utiliser des appareils intelligents différents pour l’usage professionnel et pour l’usage privé.
- Selon l’art. 4 LPD, tout traitement de données doit être licite et s’effectuer selon les principes de la bonne foi et de la proportionnalité. La collecte de données personnelles et plus particulièrement les finalités de leur traitement doivent être reconnaissables par la personne concernée. Les données personnelles ne doivent être traitées que dans le but qui est indiqué lors de leur collecte ou qui ressort des circonstances.
- Le consentement exprès est requis pour le traitement de données personnelles ou de profils de personnalité particulièrement dignes de protection.
- Celui qui traite des données personnelles doit s’assurer qu’elles sont correctes (art. 5 LPD). Toute personne concernée peut requérir la rectification de données inexactes.
- Toute personne peut demander au maître d’un fichier si des données la concernant sont traitées (art. 8 LPD).
- Le traitement de données personnelles peut être confié à un tiers par convention ou par la loi si seuls les traitements que le mandant serait en droit d’effectuer lui-même sont effectués et si aucune obligation légale ou contractuelle de garder le secret ne l’interdit (art. 10a LPD). Le mandant doit en particulier s’assurer que le tiers garantit la sécurité des données.
- Aucune donnée personnelle ne peut être communiquée à l’étranger si la personnalité des personnes concernées devait s’en trouver gravement menacée, notamment du fait d’une absence de législation assurant un niveau de protection suffisant (art. 6 LPD). En absence d’une législation correspondante, des données personnelles ne peuvent être communiquées à l’étranger qu’en présence de garanties suffisantes, notamment contractuelles, qui permettent d’assurer un niveau de protection adéquat.
- «Sie kennen dich! Sie haben dich! Sie steuern dich! Die wahre Macht der Datensammler» («Ils te connaissent! Ils t’ont coincé! Ils te commandent à distance! Le véritable pouvoir des collectionneurs de données»), Urs Markus Morgenroth, Droemer Knaur, 2014, www.droemer-knaur.de/buch/Sie+kennen+dich!+Sie+haben+dich!+Sie+steuern+dich!.7987432.html
- Ich glaube, es hackt! Tobias Schrödel, Springer Spektrum, http://ich-glaube-es-hackt.de