Sécurité de l'information et protection des données

La base légale pour la plateforme « justitia.swiss » est la loi fédérale sur les plateformes de communication électronique dans le domaine judiciaire (LPCJ).  La LPCJ règle ce qui suit en matière de protection et de sécurité des données : 

• la protection des données (art. 27)
  • les données doivent être conservées et traitées en Suisse ;
  • les données personnelles sensibles se trouvant sur la plateforme ne peuvent être traitées que dans la mesure où cela est nécessaire pour les fonctionnalités de la plateforme ;
  • les documents doivent être constrôlés quant à la présence de logiciels malveillants afin de protéger la plateforme et les destinataires ;
  • le Préposé fédéral à la protection des données et à la transparence exerce sur les plateformes la surveillance de la protection des données.
• la sécurité des données (art. 28)
  • la corporation qui exploite une plateforme adopte un règlement sur le traitement des données qui établit notamment les mesures organisationnelles et techniques à prendre pour empêcher tout traitement non autorisé des données ;
  • une autorité de surveillance contrôle régulièrement la sécurité des données sur la plateforme ;
  • Le Conseil fédéral détermine les exigences en matière de sécurité des données. Il doit veiller à ce qu'un niveau élevé de sécurité des données et les objectifs généraux de protection (confidentialité intégrité, authenticité et traçabilité) soient garantis à tout moment.

La loi fédérale LPCJ se trouve actuellement dans le processus parlementaire. Si les directives concernant la plateforme « justitia.swiss» devaient changer par rapport au projet de loi, la plateforme serait adaptée en conséquence. Justitia 4.0 part du principe que la LPCJ entrera en vigueur au plus tôt au milieu de l'année 2025. Le projet de loi prévoit en outre une période transitoire de deux ans. 

Autres bases légales importantes prises en compte par le projet :

• Nouvelle loi sur la protection des données (nLPD) : la loi et les nouvelles ordonnances améliorent le traitement des données personnelles et offre une meilleure protection des données personnelles. La protection des données est notamment adaptée aux évolutions technologiques et sociales, l'autodétermination concernant les données personnelles est renforcée et la transparence lors de la collecte de données personnelles est accrue. La loi révisée est entrée en vigueur le 1er septembre 2023.
• Loi sur la sécurité de l'information (LSI) : cette loi crée pour toutes les autorités fédérales un cadre légal formel et uniforme pour la sécurité de l'information et règle à cet égard les principales mesures de protection des informations et des moyens informatiques. La loi est entrée en vigueur le 1er janvier 2024, après l'élaboration ou la révision partielle de différentes ordonnances.

1. La plateforme est développée à partir de zéro. Cela facilite la prise en compte des exigences en matière de protection des données dès la conception et le développement de la plateforme («privacy by design»). Dès le départ, les développeurs et experts en sécurité ont conçu des paramètres par défaut conformes à la protection des données pour assurer la sécurité des utilisatrices et utilisateurs («privacy by default»).

2. Intégrées dans le processus de développement de la plateforme, des vérifications automatisées de l'ensemble du code source ont lieu régulièrement. Cela permet de maintenir à jour l'état actuel des dangers des chaînes d'approvisionnement de logiciels utilisées et d'identifier à temps les risques liés à ces composants logiciels. Des adaptations aux fonctionnalités de la plateforme ne sont effectuées que si les exigences de qualité en matière de sécurité sont respectées.

3. La version de base de la plateforme actuellement développée (minimum viable product, MVP) répond d'ores et déjà à toutes les exigences de sécurité définies. Les connaissances les plus récentes tout comme les avancées de la technique sont sans cesse prises en compte.

4. Maintenir la sécurité de la plateforme est une tâche constante. Un contrôle permanent des points faibles est effectué afin d'identifier et de traiter les risques émergents. Une équipe de spécialistes en cybersécurité confirmés évalue en permanence les risques et prend, le cas échéant, les mesures qui s'imposent. 

5. Les données sont conservées en Suisse. Des entreprises soumises au droit suisse en matière de protection de données exploitent l'infrastructure de la plateforme « justitia.swiss » dans des centres de calcul suisses.

6. Des entreprises externes réalisent régulièrement des contrôles de sécurité indépendants sur la plateforme en effectuant des tests d'intrusion (Penetration Tests). Ces entreprises changent périodiquement afin de maintenir la qualité des tests. Les processus de l'entreprise responsable de l'exploitation technique de la plateforme sont également évalués afin de s'assurer qu'elle est en mesure de reconnaître les attaques et de réagir correctement quand celles-ci surviennent. Des tests sont également réalisés sur l'organisation de l'entreprise et au sein des équipes. Ainsi, les points faibles peuvent être immédiatement identifiés et des mesures correctives mises en œuvre.

7. Lors du choix des organisations partenaires pour le développement et l'exploitation technique de la plateforme, leurs compétences en matière de protection et de sécurité des données constituaient une exigence centrale.

Le shéma ci-dessous vous montre comment se déroule la communication sécurisée dans le domaine judiciaire sur la plateforme justitia.swiss et comment les fichiers y sont cryptés. 

Télécharger le schéma en format PDF 

• Les envois de données entre les acteurs à la procédure et la plateforme justitia.swiss sont sécurisés au moyen d'un cryptage de transport standardisé. Cela vaut également lors de l'utilisation d'interfaces automatisées.
• Pour obtenir l'accès la plateforme justitia.swiss, l'expéditrice ou l'expéditeur doit s'authentifier sur la plateforme avec une identité électronique reconnue (par ex. SwissID, SwissTrust ou des fournisseurs d'accès publics).
• La plateforme vérifie que les documents/fichiers téléchargés ne contiennent pas de logiciels malveillants, comme l'exige la LPCJ (P-LPCJ), et empêche ainsi la diffusion de documents infectés via la plateforme.
• Les documents/fichiers contrôlés sont cryptés sous forme de dossier et classés dans le Dossier Store (classement des dossiers). Même les administrateurs ne peuvent pas décrypter les dossiers (confidentialité). Si un pirate devait réussir à décrypter une clé, il n'aurait accès qu'à un dossier/un fichier et non à l'ensemble des dossiers de la plateforme.
• La plateforme garantit, au moyen de mesures techniques de protection, que le dossier ne peut être modifié par des personnes non autorisées. Une comparaison avec le document original est possible à tout moment (intégrité).
• La quittance de réception confirme le moment et le contenu de la communication (scellement, y compris valeur de hachage). La valeur de hachage permet de prouver que les documents/fichiers n'ont pas été modifiés.
• Lorsque le destinataire/direction de la procédure accède au document/fichier, celui-ci est décrypté. Par le biais du transport crypté, le document peut être téléchargé dans son propre système informatique.
• Les documents/fichiers restent sur la plateforme au moins nonante jours ou le temps que la procédure soit terminée. Les documents sont ensuite définitivement effacés de la plateforme. Les autorités judiciaires sont responsables de l'archivage.

Concept de cryptage des dossiers (en anglais)

Le projet Justitia 4.0 collabore avec deux entreprises suisses expérimentées et réputées. Zühlke est responsable du développement et ELCA de l'exploitation technique de la plateforme. 

Zühlke : En collaboration avec l'équipe de projet, les deux experts en sécurité, Dr Raphale Reischuk et Dr Benjamin Rothenberger, veillent à ce que les exigences en matière de sécurité de l'information et de la protection des données soient pleinement respectées dans tous les domaines d'application de la plateforme. Cela englobe des mesures telles que le cryptage des données, l'intégration sécurisée des fournisseurs de services d'identité externes ainsi que la conception de l'architecture et du code de programmation de la plateforme, qui sont réalisés dans un souci de sécurité renforcée. 

ELCA  : Les deux experts en sécurité Jonas Schwarz et Thomas Magnier veillent, eux, à ce que les exigences en matière de sécurité de l'information et de protection des données soient intégrées dans les domaines d'infrastructure de la plateforme. Cela englobe notamment la sécurisation de toutes les communications entrantes et sortantes ainsi que l'exploitation sécurisée des différents composants de l'infrastructure. ELCA gère également le Security Operations Center pour la détection et la défense contre les cyberattaques.

André Mäder entre en fonction en 2021 en tant que Chief Information Security Officer (CISO) de l'équipe de projet Justitia 4.0, apportant avec lui une vaste expérience dans les audits informatiques,  la protection des données, la sécurité de l'information et la cybersécurité, qu'il a acquise dans les secteurs pharmaceutique et des assurances. Jérôme Barraud a rejoint l'équipe de projet Justitia 4.0 en septembre 2020 en tant que chef de projet métier. Juriste et titulaire d'un brevet d'avocat, il dispose d'une vaste expérience au sein de l'administration fédérale et du Tribunal administratif fédéral, notamment dans le domaine de la protection des données.

Hannes Lubich et Daniel Brunner, deux consultants informatiques externes au bénéfice d'une expérience significative dans les domaines de la cybersécurité et de la protection des données, font partie du comité de projet Justitia 4.0.

Pour en savoir plus

• Zühlke  Innovation mit Zühlke: Empowering Ideas (zuehlke.com)
• ELCA Cloud Services: https://www.elcacloudservices.ch und ELCA Security https://www.elcasecurity.ch/fr
• Centre national pour la cybersécurité NCSC page d'accueil (admin.ch)
• Digitalswitzerland Transforming Switzerland into a leading digital nation | digitalswitzerland
• Institut national des tests pour la cybersécurité 

Les experts informatiques des autorités judiciaires (ministère public et tribunaux), qui collaborent au sein du groupe d'experts Architecture et sécurité informatiques, ont participé à l'élaboration des concepts techniques pour la plateforme « justitia.swiss ». Pour ce qui est du déploiement de l'exploitation pilote au sein des autorités judiciaires, le projet Justitia 4.0 est en contact avec les spécialistes en informatique des futurs cantons pilotes.

Madame Barbara Widmer, docteur en droit, collaboratrice juridique du préposé à la protection des données du Canton de Bâle-Ville et représentante de privatim - la conférence des Préposé(e)s suisses à la protection des données - est membre de la coordination des groupes d'experts du projet Justitia 4.0. Dans cette fonction, elle participe régulièrement aux réunions du projet et est l'interlocutrice de l'équipe de projet pour les questions relatives à la protection des données. 

L'équipe de projet Justitia 4.0 participe à des groupes de travail de l'organisation cantonale Administration numérique suisse (ADS).

Au niveau national, un échange d'informations a lieu avec le Centre national pour la cybersécurité (NCSC). Le NCSC est le centre de compétence de la Confédération pour la cybersécurité et constitue le premier point de contact en cas de questions sur la cybersécurité pour l'économie, l'administration, les établissements d'enseignement et la population. Il est chargé de la mise en œuvre coordonnée de la Stratégie nationale pour la protection de la Suisse contre les cyberrisques (SNPC) 2018-2022, à laquelle le projet Justitia 4.0 a contribué. Le projet Justitia 4.0 échange également des informations avec le Centre de services informatiques du Département fédéral de justice et police (CSI-DFJP), notamment sur l'intégration des identités numériques existantes et des contenus gérés par le CSI-DFJP.

Différents modèles de collaboration avec des entreprises du secteur privé existent, allant de l'échange de connaissances et la participation à des séminaires à des mandats d'examen de concepts et de mises en œuvre desdits concepts.

Le projet Justitia 4.0 n'a pas de mandat légal. Il n'a donc pas l'autorité d'imposer ou de vérifier les exigences de configuration quant à l'écosystème justitia.swiss en matière de sécurité informatique. 

En collaboration avec ses partenaires, le projet Justitia 4.0 est cependant responsable de la sécurité de la plateforme justitia.swiss. Comme c'est le cas aujourd'hui pour les documents papier, il incombe aux autorités judiciaires et aux avocates et avocats de conserver leurs documents numériques en toute sécurité. Ils doivent protéger leurs systèmes informatiques et leurs données contre les potentielles attaques et prendre les mesures qui s'imposent. Les collaboratrices et collaborateurs doivent notamment être formés à l'utilisation sécurisée de l'infrastructure et des documents numériques.