La pandémie actuelle a contraint bon nombre d’entreprises à déployer un plan de continuité d’activité adapté aux contraintes du confinement.
A cet égard, certains acteurs se sont naturellement tournés, volontairement ou non, vers des solutions gratuites avec lesquelles les utilisateurs sont déjà familiers, pour les utiliser quasi-quotidiennement dans la sphère privée.
C’est dans ces conditions que certaines solutions de messagerie instantanée, de visio-conférence et de partage de contenus ont été, de fait, largement adoptées au sein des entreprises sans que les vérifications élémentaires et obligatoires n’aient été effectuées.
Pour rappel, la réglementation impose à l’entreprise, en sa qualité de responsable du traitement, de prendre en compte la vie privée ainsi que la protection des données à caractère personnel des personnes concernées préalablement à l’adoption d’une solution logicielle.
LEXYMORE vous propose une liste non-exhaustive de 4 premiers reflexes à adopter.
1 - Les postes informatiques et dispositifs d’accès à internet sont-ils correctement sécurisés ?
Les postes informatiques sont particulièrement sensibles aux attaques, dans la mesure où ils échappent en partie au contrôle des responsables informatiques. Chaque employeur doit ainsi s’assurer de mettre à disposition de ses salariés des équipements à jour et équipés de pare-feu et antivirus adéquats. Les réseaux WI-FI privés des salariés sont en outre vulnérables, raison pour laquelle des directives de configuration devront être appliquées au sein de chaque foyer (option de chiffrement WPA2 ou WPA3, mots de passe complexes, désactivation du WI-FI invité et de la fonction WPS).
La CNIL a enfin rappelé que le responsable du traitement doit communiquer un socle de règles minimales de sécurité à ses salariés et, plus généralement, sensibiliser ses équipes aux règles élémentaires d’hygiène informatique. L’application des diverses recommandations publiées par l’ANSSI est ainsi vivement conseillée.
2 - Comment la solution traite les données ?
Il convient de porter une attention toute particulière aux solutions les plus communément admises, pour la bonne et simple raison qu’elles sont bien souvent mises gratuitement à disposition des utilisateurs, dont elles exploitent commercialement les données. Le responsable du traitement doit pourtant s’assurer que la solution envisagée présente des garanties suffisantes au regard des exigences du RGPD et de la loi Informatique et Libertés.
Le responsable du traitement devra ainsi nécessairement, avant d’adopter une solution, analyser consciencieusement le contenu de la politique de confidentialité et du contrat de sous-traitance de données à caractère personnel afin de vérifier notamment le lieu de stockage des données ainsi que les conditions dans lesquelles ces-mêmes données sont traitées par l’éditeur. A cet égard, une attention toute particulière devra être portée aux conséquences juridiques liées au stockage des données sur le sol américain, les États-Unis étant considérés comme un pays « en adéquation partielle » avec la réglementation en vigueur.
Plus généralement, la CNIL conseille de procéder au chiffrement systématique des données transmises par le bais des solutions dites « grand public ».
3 - La solution est-elle correctement sécurisée ?
Chaque responsable de traitement est responsable de la sécurité des traitements qu’il réalise dans le cadre de son activité. Il conviendra donc de vérifier que la solution met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (article 32 du RGPD).
L’enjeu est crucial pour l’entreprise, dans la mesure où, par exemple, en cas de faille de sécurité, elle sera dans certains cas légalement contrainte d’en informer la CNIL ainsi que les personnes concernées. A cet égard, les failles de sécurité dont a été récemment victime l’éditeur de la solution de visio-conférence « ZOOM » devraient éveiller l’attention des décideurs, qui lui préfèreront des solutions moins intrusives comme JISTI ou certifiées ANSSI (TIXEO par exemple).
4 - Une fois la solution choisie, que dois-je faire ?
L’adoption d’une solution devra nécessairement faire l’objet d’une information des personnes concernées au travers de la mise à jour de la documentation interne de l’entreprise, du registre des activités de traitement et, le cas échéant, de la documentation applicable aux clients et partenaires dont les données sont traitées. Le responsable avisé veillera enfin à documenter les diligences accomplies afin d’être en mesure, en cas de contrôle, de prouver qu’il a bien respecté ses obligations en la matière.
L’équipe de LEXYMORE reste tout naturellement à votre écoute pour vous accompagner dans le cadre d’un déploiement cohérent et sécurisé du télétravail au sein de votre entreprise.