FAQ Tresorit
Qu'est-ce que Tresorit ?
Tresorit est un service de stockage et de partage de fichiers. C'est un service spécifique pour les données sensibles : il a la particularité d'offrir une sécurité renforcée par un contrôle d'accès avancé et un chiffrement des données. Plus de détails sur la page Description de Tresorit.
Qu'est-ce qu'une donnée sensible ?
Dans le langage courant, les données sont parfois qualifiée de sensibles de manière vague. Cependant, les lois Suisses en donnent une définition très précise (Art. 4, al. 1 et 2 de la LPrD) s'appliquant aux administrations cantonales vaudoises, y compris l'UNIL :
« Toute donnée personnelle [toute information qui se rapporte à une personne identifiée ou identifiable] se rapportant :
- aux opinions ou activités religieuses, philosophiques, politiques ou syndicales, ainsi qu'à une origine ethnique ;
- à la sphère intime de la personne, en particulier à son état psychique, mental ou physique ;
- aux mesures et aides individuelles découlant des législations sociales ;
- aux poursuites ou sanctions pénales et administratives. »
Notez qu'il existe aussi une définition marginalement différente dans la loi fédérale (LPD art. 5). La loi fédérale s'applique aux personnes privées et organes fédéraux.
La recherche sur les maladies humaines et sur la structure et le fonctionnement du corps humain fait l'objet d'une loi spécifique (LRH).
La solution retenue à l'UNIL pour stocker des données sensibles de recherche en conformité avec les lois ci-dessus est Tresorit (voir ci-dessous « Pourquoi utiliser Tresorit ? »).
Qui contacter pour demander l'accès à Tresorit ?
Si vous pensez que vos données de recherche ont un caractère sensible (LPrD art. 4 ou LRH art. 2), veuillez contacter la·le spécialiste données de recherche (data steward) de votre faculté qui vous aidera à faire une demande à la division calcul et soutien à la recherche (DCSR). Voir « Aide et renseignement » à la page Protection des données. À la suite de cette demande, un rendez-vous en présentiel vous sera proposé afin d'installer et configurer Tresorit d'une part, et de chiffrer votre ordinateur d'autre part.
À qui s'adresse Tresorit ?
Tresorit s'adresse exclusivement aux chercheur·e·s de l'UNIL et à leurs collaborateur·rice·s scientifiques (internes ou externes). La demande d'utilisation de ce service doit être obligatoirement effectuée par un·e chef·fe de projet / porteur·euse de projet affilié·e à l'UNIL. Voir la directive 4.5 art. 4 pour la définition de la désignation de chef·fe de projet / porteur·euse de projet (Principal Investigator).
Où sont stockées mes données ?
L'UNIL a un contrat spécifique avec Tresorit AG qui garantit la localisation des données en Suisse. Tresorit utilise des stockages en ligne de la plateforme Microsoft Azure (Voir ci-dessous, Comment mes données sont-elles protégées ?)
Comment mes données sont-elles protégées ?
Les données déposées par les chercheur·e·s depuis leur ordinateur vers le stockage en ligne le sont via le logiciel ou l'interface web Tresorit. L'un et l'autre effectuent un chiffrement préalable à la transmission des données vers le stockage en ligne. Ils nécessitent une vérification de votre identité par mot de passe et par code sur téléphone portable.
Dans l'hypothèse où les données seraient volées directement sur le stockage en ligne, le chiffrement qu'ont subi les données rend impossible leur lecture en clair sans la clé de déchiffrement.
Dans l'hypothèse où votre ordinateur est perdu ou volé, l'accès aux données sur Tresorit depuis votre ordinateur sera impossible sans votre mot de passe et votre téléphone portable. Les données sensibles synchronisées sur votre ordinateur seront elles aussi inaccessibles car chiffrées lors du rendez-vous avec la DCSR.
Que signifie « chiffrement » ?
Le chiffrement (parfois appelé cryptage) est un procédé algorithmique grâce auquel on souhaite rendre impossible la compréhension d'un document à toute personne n'ayant pas accès à la clé de déchiffrement.
Pourquoi utiliser Tresorit ?
Les chercheur·e·s de l'UNIL qui travaillent avec des données sensibles (LPrD art. 4) ou des données sensibles LRH (LRH art. 2) soumettent leur projet de recherche à la commission cantonale d'éthique de la recherche sur l'être humain (CER-VD). Afin que les projets soient acceptés par la CER facultaire, la CER UNIL ou la CER-VD, des mesures techniques et organisationnelles doivent être mises en place :
- L'accès aux données doit être restreint aux chercheur·e·s concerné·e·s (Guide du PFPDT 2015 p11).
- Les données doivent être stockées de manière chiffrée (Guide du PFPDT 2015 p20).
- Une traçabilité des accès et modifications des données doit être assurée (ORH art. 5c).
Toutes ces mesures ont pour but de protéger les personnes contre l'utilisation abusive des données les concernant (LPrD art. 1). Tresorit est un service offrant ces trois fonctionnalités.
Qui peut accéder à mes données ?
Seules quatre personnes disposent du rôle d'administrateur Tresorit à l'UNIL. Tous ces administrateurs Tresorit sont employés du Centre Informatique. Les administrateurs Tresorit ont la possibilité de changer le mot de passe d'un utilisateur en cas d'oubli (protection contre la perte/destruction des données, LPrD art. 10). Lors de ce changement de mot de passe, qui fait l'objet de traçabilité et se fait sur demande du·de la chef·fe de projet / porteur·euse de projet (Principal Investigator comme désigné dans la directive 4.5 art. 4), l'accès aux fichiers par l'administrateur Tresorit est temporairement possible. La solution Tresorit est conçue pour que ni l'entreprise Tresorit ni le prestataire de stockage ne puissent accéder aux données déchiffrées.
Quel est le volume disponible ?
L'offre UNIL propose jusqu'à 2 To par chef·fe de projet / porteur·euse de projet (Principal Investigator, PI) quel que soit le nombre de projets sous sa supervision.
Puis-je collaborer avec des personnes hors de l'UNIL ?
Oui. Le centre informatique de l'UNIL prend en charge le coût de toutes les licences Tresorit pour les membres de l'UNIL (gratuit). Si un projet de recherche a besoin de donner accès à des personnes hors de l'UNIL, trois licences gratuites sont mises à la disposition du·de la chef·fe de projet / porteur·euse de projet (Principal Investigator, PI). Si plus de trois personnes externes sont nécessaires, un coût de 150 CHF par an et par personne est à la charge du·de la PI.
Dans le cas où une personne externe à l'UNIL possède déjà un compte Tresorit non affilié à l'UNIL, il est pour l'instant impossible d'utiliser ce compte pour accéder aux données de recherche UNIL.
Quelle est la stratégie de sauvegarde (backup) de Tresorit ?
Étant donné que le stockage en ligne utilise la plateforme Microsoft Azure, il existe contractuellement trois copies physiques des données.