Thèmes : Droit des données, Droit des technologies, Protection des données Suisse, Sécurité dans le cloud, Pratique de la protection des données, Hold Your Own Key, Protection des données Microsoft 365, Approche basée sur le risque, Autorités de protection des données, Défis, Conseils de carrière, VISCHER.
N'hésitez pas à commenter sur Linkedin.
Temps de lecture : 7 minutes.

Bonjour, Monsieur Rosenthal. Votre parcours professionnel dans le droit des données et des technologies est très diversifié. Pourriez-vous nous parler des étapes et événements qui vous ont particulièrement marqué et conduit dans ces domaines juridiques ?

L’une de ces étapes fut une discussion avec mon père lorsque j’étais jeune adulte. Mon hobby à l’époque était la programmation, et nous avons discuté de la possibilité de devenir ingénieur en logiciel. Cependant, nous avons également parlé du droit. Les deux disciplines ont beaucoup de points communs ; toutes deux concernent des règles et la façon dont les choses doivent fonctionner. J’avais l’impression que le droit m’offrait plus de liberté et d’impact, alors je l’ai choisi sur le plan académique tout en approfondissant mes compétences techniques en autodidacte. Mais la pensée analytique est nécessaire dans les deux domaines. Quant au journalisme, je l’ai découvert en devenant, je pense, le premier journaliste en ligne de Suisse, en créant du contenu pour mon système BBS, un précurseur des blogs actuels. J’assistais à des conférences de presse et collectais des communiqués ; un journaliste de la Basler Zeitung m’avait expliqué comment cela fonctionnait. J’ai également été un entrepreneur indépendant dès le début, même pendant ma scolarité. Ce mélange unique m’a façonné.

À quoi ressemble votre journée de travail type, notamment en tant qu’associé chez  VISCHER , et quelle expérience vous a particulièrement marqué ?

Mes journées sont longues et rythmées par des contacts avec d’autres personnes, de nouveaux sujets et des résolutions de problèmes continues. Il y a de nombreuses réunions vidéo et ateliers avec des clients, des réunions avec des collègues de mon équipe ou d’autres personnes au bureau, et bien sûr le traitement de dizaines de courriels chaque jour. La raison de ces longues journées n’est pas seulement la charge de travail habituelle, mais le fait que j’ai beaucoup d’idées pour d’autres projets que je pourrais mener, tels que de nouvelles publications, des nouvelles approches pour les problèmes juridiques et, depuis un an, de nouveau le développement de logiciels. J’aime concrétiser ces idées.

Lorsque je dois relever de grands défis ou effectuer un travail approfondi comme rédiger une analyse juridique sur un nouveau sujet, un article ou un contrat complexe — j’ai besoin de tranquillité, que je trouve souvent tôt le matin, le soir ou le week-end. J’ai également des tâches administratives, mais heureusement pas trop, grâce à une équipe administrative excellente qui prend en charge l’organisation de mon emploi du temps, par exemple.

Chez VISCHER, vous avez construit et dirigé la pratique de la protection des données. Pourriez-vous partager certains des plus grands défis que vous avez rencontrés et expliquer comment vous les avez surmontés?

Je la dirige toujours et nous sommes maintenant une dizaine dans l’équipe. Mon plus grand défi personnel, en plus de la gestion de mon temps, est la direction de mon équipe. Cela n’est pas quelque chose que nous apprenons à l’université. J’ai également dû surmonter mon hésitation à déléguer des tâches et à éviter le micromanagement. Cela va de la gestion de mon calendrier à l’interaction avec les clients. Ce dernier point est selon moi particulièrement important pour les jeunes avocats motivés de mon équipe. Ils doivent apprendre à assumer des responsabilités, à penser de manière entrepreneuriale et à affiner leurs compétences psychologiques en parallèle de leur expertise juridique. Par exemple, reconnaître où un client rencontre des difficultés, comprendre ce qui est vraiment nécessaire dans un avis juridique ou ce qui conduit au succès lors de négociations contractuelles. Lorsque je confie une tâche à quelqu’un, il ne s’agit pas seulement de ma confiance en sa capacité à l’accomplir. Je dois également m’assurer qu’il partage les mêmes attentes et normes que moi quant à la façon d’exécuter les tâches. C’est selon mon expérience le plus grand défi.

En ce qui concerne l'assurance de la protection des données en Suisse, notamment dans le cadre de la MS Cloud et de l'utilisation de HYOK (Hold Your Own Key), quels défis techniques et juridiques voyez-vous et comment peuvent-ils être efficacement abordés?

Aujourd'hui, nous comprenons bien ce qui est nécessaire pour l'utilisation conforme des services cloud en Suisse. La protection des données n’a jamais vraiment été le problème. C’est plutôt la protection du secret professionnel et officiel, malgré les préoccupations soulevées par les autorités de protection des données. Cependant, ces autorités réalisent maintenant que leur position négative était largement fondée sur l'ignorance et dans certains cas des raisons émotionnelles.

L'approche Hold Your Own Key, qui implique un cryptage où le fournisseur n’a pas accès à la clé, est généralement inutile et risquerait de perturber la plupart des applications aujourd'hui. Je veux en fait que le fournisseur utilise mes données. Cependant, il y a d'autres considérations telles que le stockage des données en Suisse, les restrictions d'accès et les obligations contractuelles spécifiques. À mon avis, les plus grands défis résident ailleurs, comme la dépendance croissante à l'égard des grands hyperscalers tels que Microsoft, AWS et Google. Jusqu'à présent, nous avons pu trouver des solutions pour nos clients dans de nombreux domaines, car les hyperscalers souhaitaient entrer sur le marché et étaient donc prêts à faire des compromis. Mais comment cela sera-t-il à l’avenir? Par exemple, nous créons également des risques de concentration avec eux en ce qui concerne la sécurité. Le manque de transparence, les systèmes et contrats en constante évolution et leur complexité sont des défis souvent sous-estimés.

Quels sont les avantages d'une approche basée sur les risques, en particulier dans l'administration suisse, et pensez-vous qu'une stratégie de sortie soit pertinente ?

La question suppose que nous avons le choix. L'approche basée sur les risques est simplement valable, car notre protection des données et de nombreux autres domaines juridiques reposent sur cela. Ici encore, certaines autorités de protection des données défendent des approches parfois étranges sans véritable justification. Notre vie est pleine de risques, et le 'zéro risque' n'existe pas. Il y a un risque d'être tué par une vache ou frappé par la foudre en randonnée. Ce risque est faible, et nous pouvons le réduire, mais il n'est jamais nul. Se concentrer entièrement sur des risques spécifiques, comme le CLOUD Act américain dans le domaine du cloud, est mal orienté et est probablement dû au fait que certains représentants des autorités locales ne le connaissent pas. Ils s'imaginent des choses terribles au lieu de s'y pencher de plus près et de réaliser que nous avons tout cela aussi en Europe. Lorsqu'une administration passe au cloud, elle doit évaluer tous les risques et opportunités. Aucun ne doit être inacceptablement élevé, mais s'ils ne le sont pas, une pesée des options est nécessaire et permise. Cela ne pose pas de problème aux administrations publiques. Nous avons également développé notre méthode gratuite et accessible 'CCRA-PS' pour prendre ces décisions avec soin, qui est déjà utilisée dans de nombreux endroits. Une stratégie de sortie est toujours importante (et exigée par le CCRA-PS), car il peut y avoir de nombreuses raisons de changer de cap, par exemple si un fournisseur ne répond plus aux exigences. Là encore, une administration publique devrait avoir un plan.

Quelles mesures techniques et (étatiques) de défense peuvent être mises en place lors de l'utilisation de Microsoft 365 pour prévenir les violations des droits fondamentaux ?

Tout d'abord, il y a le stockage des données en Suisse, car cela constitue un moyen efficace de défendre contre les accès étrangers. De plus, il est veillé à ce que les employés du fournisseur n'aient pas accès aux données en clair dans le cadre de l'exploitation normale, ce qui n'est pas un problème en raison du haut niveau d'automatisation. Une protection par cryptage supplémentaire est mise en œuvre ; la clé est certes détenue par le fournisseur, mais le client détermine qui peut l'utiliser et comment. Certains documents peuvent être protégés par des étiquettes de sensibilité de telle sorte qu'ils soient protégés même en cas de vol de données ou de perte accidentelle. Ensuite, il y a bien sûr les contrats, qui sont dans le cas de M365 plus ou moins standardisés en fonction de nos négociations d'aujourd'hui. Enfin, une série de mesures organisationnelles internes doivent être mises en place, telles que la vérification régulière de la configuration (Microsoft change souvent quelque chose sans prévenir) ainsi que la vérification de la sécurité en pratique et la détection d'anomalies. Avec le CCRA-PS mentionné précédemment, ces points peuvent être systématiquement examinés et documentés. Cela est principalement utilisé pour des projets plus importants et délicats, car cela est substantiel. Et il y a aussi ma méthode pour évaluer la probabilité d'accès des autorités des États-Unis ou, si nécessaire, d'autres pays. Je suis heureux qu'elle soit aujourd'hui devenue la norme. Cependant, une évaluation globale des risques devrait également être effectuée. Nous avons souvent des moments de révélation lors des ateliers avec des organisations qui pensent avoir tout envisagé.

Le principal problème en matière de réglementation de la protection des données est malheureusement diverses autorités de protection des données qui pensent qu'elles n'ont pas à se conformer à la loi et utilisent leur position pour étendre la protection des données au-delà de ce que le législateur a prévu. - David Rosenthal

Quels aspects plaident en faveur et contre l'idée que la protection des données en Suisse est sur-réglementée ?

Je ne pense pas que la protection des données en Suisse soit sur-réglementée. Nous avons des lois sur la protection des données qui sont bonnes et raisonnables. C'est bien mieux que le RGPD de l'UE. En son cœur, elle est basée sur des principes. Cela a l'inconvénient d'être plus difficile à comprendre pour les non-spécialistes, mais l'énorme avantage est qu'elle est intemporelle, qu'elle suit les valeurs sociétales et qu'elle s'adapte bien aux développements technologiques.

Le principal problème en matière de réglementation de la protection des données est malheureusement diverses autorités de protection des données qui pensent qu'elles n'ont pas à se conformer à la loi et utilisent leur position pour étendre la protection des données au-delà de ce que le législateur a prévu. Lorsqu'on les interroge à ce sujet, elles se contentent de dire que les entreprises concernées peuvent aller devant les tribunaux si cela ne leur convient pas. Cependant, pour des raisons opportunistes, elles ne le font souvent pas et gardent leurs griefs pour elles. Les autorités de protection des données se sentent alors encouragées et poussent toujours plus loin. Un tel comportement de la part d'une autorité ne correspond pas à ma vision de l'état de droit, et je ne suis pas seul à le penser. Malheureusement, cette méthode n'est pas seulement présente dans l'UE, mais aussi en Suisse.

Enfin, nous aimerions vous demander des conseils pour ceux qui s'intéressent à une carrière dans le droit des données et de la technologie.

Vous devez être prêt à apprendre constamment, non seulement sur le droit, mais aussi sur la technologie et les cas d'utilisation. Le savoir pratique est important ici. Par exemple, comprendre comment se déroule le commerce des données dans la publicité en ligne ou comment fonctionnent vraiment et sont construits les grands modèles de langage. La bonne nouvelle est qu'il existe des sources d'information gratuites et très bonnes pour tout cela. La mauvaise nouvelle est que cela nécessite un investissement temporel important en dehors des heures de travail, ce que certains ne sont pas prêts à faire. Je peux bien comprendre que quelqu'un recherche un emploi de "9h à 17h" ou peut-être même de "8h à 18h" tout en ayant d'autres préoccupations. Cependant, mon expérience est qu'une telle personne ne pourra pas atteindre le haut niveau dans mon domaine. Ce domaine évolue trop rapidement et de manière trop variée, tant sur le plan juridique que technique. Tout comme dans le sport, où il ne faut pas seulement des athlètes de haut niveau, le droit de la protection des données et de la technologie offre également des opportunités passionnantes pour les jeunes.

De plus, ce qui s'applique à toute carrière, c'est de faire quelque chose pour se démarquer de la masse. Par exemple, publier des travaux, et pas seulement résumer ce que d'autres disent, mais se profiler avec ses propres opinions ou de nouvelles approches. Montrez votre passion. Je ne veux pas que mes employés se contentent de me répéter ; je veux qu'ils défendent leurs opinions et me mettent au défi. Contrairement à d'autres domaines du droit, il y a encore beaucoup d'opportunités dans le droit des données et de la technologie pour contribuer activement à l'évolution du droit.

Merci beaucoup pour ces perspectives fascinantes sur votre travail et sur la protection des données en Suisse. Nous vous souhaitons le meilleur pour l'avenir.

_{Traduit par l'IA}