Quelle est la différence entre protection et gouvernance des données?

Ces deux concepts ne peuvent pas être pensés séparément. La gouvernance des données est en effet la mise en œuvre opérationnelle découlant des réglementations comme la loi suisse sur la protection des données, la circulaire FINMA 2023-01 ou NIS 2 et l’AI Act chez nos voisins européens. La gouvernance transforme ces exigences réglementaires en règles concrètes au quotidien. La protection des données se concentre quant à elle sur les données personnelles et le droit des individus. Ces notions sont in fine indissociables. En effet, sans gouvernance, la protection des données reste théorique.

À qui se destine la formation que l’ISFB vient de lancer?

À toute personne confrontée à la manipulation de données dans l’exercice quotidien de sa profession. Cette formation fournit des connaissances opérationnelles en termes de gestion des données. Il ne s’agit pas seulement de comprendre et maîtriser les données, mais également d’exploiter habilement les enjeux liés aux données.

Cette formation est-elle réservée uniquement aux professionnels du secteur bancaire?

Ce sont en effet les cibles prioritaires. Cela dit, toute personne traitant de la donnée dans son quotidien pourra être intéressée, ne serait-ce que pour bien comprendre les enjeux liés à la gestion des données. Il arrive fréquemment que l’on traite des données sans en avoir conscience. En revanche, les informaticiens ne sont pas, de prime abord, les cibles prioritaires d’une formation ayant pour but de prodiguer les fondamentaux en matière de gestion des données. La formation s’adresse plutôt à des personnes novices en matière de données.

Comment est-il possible de traiter de la donnée sans en avoir conscience ? Y a-t-il des cas de figure?

Si l’on se concentre sur les aspects de données personnelles par exemple, d’un point de vue puriste, toute donnée pouvant permettre l’identification d’une personne est une donnée personnelle. Pour prendre un exemple simple, une plaque d’immatriculation constitue une donnée personnelle, dans la mesure où elle permet de reconnaître ou identifier le propriétaire du véhicule auquel est associée la plaque. Dans la pratique professionnelle, le fait que l’on traite de la donnée n’est pas toujours évident. En tant que DPO, j’ai déjà été personnellement confrontée à des cas où des individus pensent ne pas traiter de la donnée alors que c’est le cas.

Dans ce cas, quand peut-on dire que l’on maîtrise les données?

La maîtrise approfondie et adaptée au risque est centrale pour la protection et la bonne gouvernance des données. Dans la pratique professionnelle, elle implique, entre autres, de bien connaître la nature des données que l’on traite, mais également de savoir si elles sont essentielles ou critiques pour l’entreprise, si elles sont à jour et suffisamment protégées. Il est aussi important de connaître leur localisation – ce qui peut susciter quelques surprises, par ailleurs. Il y a énormément d’aspects à prendre en compte, lorsque l’on parle de maîtrise des données. Ce qui me paraît également important de souligner est le fait que ces aspects peuvent s’apprécier au regard des risques que le traitement de la donnée peut lui-même engendrer.

Où situez-vous la Suisse en termes de protection et de gouvernance des données?

La Suisse bénéficie de sa réputation d’excellence, qui repose sur une réalité concrète. Ce qui fait qu’une protection des données solide et une gouvernance fiable offre un véritable avantage compétitif. Lorsqu’une entreprise gère les données de façon structurée et sécurisée, elle devient un choix sûr pour ses partenaires. De plus, lorsque les données sont de qualité, comme c’est le cas pour celles des entreprises, celles-ci catalysent l’innovation et l’exploitation de l’intelligence artificielle. Et ce dans la mesure où l’IA n’est fiable qu’à condition que les données en entrée soient à la fois justes et structurées. Mes collègues informaticiens me disent tous : c’est très simple, garbage in, garbage out.

Mounira Lehbili

HSBC Suisse

Mounira Lehbili est Territory Data Protection Officer chez HSBC Suisse. Experte reconnue sur la place financière, elle a dirigé la protection des données pour Lombard Odier et BNP Paribas Suisse. Son parcours, alliant audit interne, gestion des risques et gouvernance, lui confère une vision stratégique de la donnée comme levier d’innovation, de conformité et de sécurité cloud/IA.