Les données et les informations sont une base essentielle pour permettre une
utilisation confortable et simple de l’application FAIRTIQ par les passagers, c’est-
à-dire du plus simple des titres de transport public. La protection et la sécurité des
données étant la priorité absolue de FAIRTIQ, nous allons bien au-delà des
exigences légales dans de nombreux domaines. La protection de la sphère privée,
le traitement sûr et consciencieux des informations de nos utilisateurs et
partenaires ainsi que la meilleure protection possible de toutes les données
contre les accès non autorisés sont d’une importance capitale pour nous,
d’autant plus qu’il s’agit d’une condition préalable au succès de notre modèle
commercial. En accord avec les évolutions techniques et réglementaires, nous
perfectionnons en permanence nos systèmes et processus afin de faire face
efficacement à l’évolution des risques et des menaces pour la sécurité des
données.
Toutes les activités liées à la protection et à la sécurité des données reposent sur
le respect des dispositions légales en vigueur. Cela inclut la loi fédérale sur la
protection des données (LPD), qui a été révisée et est entrée en vigueur en 2023,
du règlement général sur la protection des données (RGPD) de l’UE et d’autres
dispositions aux niveaux national et international.
L’application pour smartphone FAIRTIQ s’appuie sur une plate-forme en nuage
pour le traitement des données requises. FAIRTIQ a toujours eu un contrôle total sur les données stockées dans le cloud, c’est-à-dire les données nécessaires pour
les services de base que sont l’enregistrement, le calcul des trajets et la gestion
des fraudes. Au cours des derniers mois, nous avons mis en place notre propre
infrastructure virtuelle afin d’offrir une plus grande sécurité aux utilisateurs et aux
partenaires.
La transition de l’ancien modèle « Platform-as-a-Service » (PaaS) vers le modèle « Infrastructure-as-a-Service » (IaaS) a été une étape importante. La différence : dans un modèle PaaS, un fournisseur met à disposition les bases sur lesquelles le logiciel est développé. Dans un modèle IaaS, le fournisseur met à disposition l’infrastructure technique, mais c’est à l’utilisateur, en l’occurrence FAIRTIQ, de créer son propre système de base, adapté à ses besoins. Il est ainsi possible d’introduire des mesures de sécurité supplémentaires et de définir très
précisément qui peut accéder aux données, quand et dans quelle mesure. Dans
ce contexte, il est clair que FAIRTIQ reste le seul propriétaire des données.
L’hébergement des services de base est assuré par Amazon Web Services (AWS)
sur des serveurs situés en Irlande. La localisation des serveurs au sein de l’Union
européenne offre aux utilisateurs et aux partenaires de FAIRTIQ l’assurance que la
collecte, le transfert et le traitement des données sont effectués conformément au
RGPD, qui est l’une des lois les plus restrictives au monde en matière de protection
des données personnelles.
Chez AWS, le cryptage des données est assuré par un système Nitro puissant et
évolutif. Par rapport aux systèmes traditionnels, AWS Nitro offre un certain nombre
d’avantages, notamment une sécurité accrue, de meilleures performances et une
plus grande fiabilité, une plus grande flexibilité et la possibilité de développer et de
déployer de nouvelles fonctionnalités plus rapidement. La conception technique
du système rend impossible l’accès aux données des clients, y compris pour le
personnel d’AWS. La sécurité d’AWS Nitro a été confirmée par un audit
indépendant de NCC Group, un expert en information et en sécurité de renommée
internationale.
Le développement et l’optimisation de l’application constituent une tâche
centrale que FAIRTIQ assume elle-même. Des services et outils spécifiques sont
utilisés pour l’assistance ainsi que pour l’exploitation du logiciel. Nous
garantissons, par la conclusion de contrats sur le traitement des ordres, que le traitement des données à caractère personnel s’effectue conformément aux
exigences légales et uniquement aux fins définies par FAIRTIQ. Nous avons, en outre, pris certaines mesures supplémentaires pour empêcher l’accès non autorisé de tiers. Celles-ci incluent notamment le cryptage des données lors de leur stockage et de leur transmission. En interne également, l’accès n’est accordé que de manière limitée et les processus de traitement sont documentés et contrôlés.
Depuis octobre 2023, FAIRTIQ est certifié selon la norme internationalement
reconnue ISO/IEC 27001. Dans le cadre de l’audit, l’organisme de contrôle
indépendant TÜV Rheinland a confirmé que chez FAIRTIQ, la technique, les
processus et le personnel interagissent de manière optimale afin de minimiser les
risques en matière de sécurité des données et de l’information.
De plus, le cabinet d’audit indépendant BDO, actif dans le monde entier, a certifié la conformité de FAIRTIQ aux exigences du RGPD de l’UE dans le cadre d’un audit ISAE 3000. Cet audit, dit de type 1, a conclu que FAIRTIQ disposait de toutes les mesures de contrôle et méthodes nécessaires pour satisfaire aux exigences européennes en matière de protection des données. Le RGPD est considéré comme le « Gold Standard » de la protection des données, auquel le droit suisse en matière de protection des données est, en principe, conforme.
La certification ISO/IEC 27001 et le succès de l’audit ISAE 3000 témoignent de
l’attention portée par FAIRTIQ à la protection et à la sécurité des données et du
haut niveau de sophistication de ses mesures de protection. Les deux audits sont réitérés à intervalles réguliers et contribuent ainsi à la garantie et à l’amélioration du niveau de protection.
La protection et la sécurité des données ne sont pas un état de fait, mais un
processus. Dans ce processus, nous avons franchi une nouvelle étape importante
avec l’optimisation de notre infrastructure cloud et le passage de la solution PaaS
à celle de l’IaaS. Conformément au principe de sécurité de la « défense en
profondeur » (« Defense in Depth »), les mesures de protection et de sécurité sont
mises en œuvre à plusieurs niveaux. Si un mécanisme de sécurité devait être
contourné, les autres mesures interviennent et empêchent efficacement les accès
non autorisés ou les fuites de données. En nous basant sur le niveau élevé de
protection et de sécurité que nous avons déjà atteint, nous continuons à développer nos méthodes et processus. Les utilisateurs et les partenaires peuvent
être assurés que nous continuerons à nous engager pleinement dans la
protection et la sécurité des données.
Rédaction : Andrin Huber, responsable juridique chez FAIRTIQ, et Manuel
Jeckelmann, responsable de la sécurité.