Données personnelles, télétravail et coronavirus

La situation exceptionnelle relative au COVID-19 et les mesures prises par le gouvernement pour éviter la propagation du virus demandent, aux entreprises et collaborateurs dont le métier le permet, de télétravailler.

Quelles sont les précautions à prendre concernant le télétravail, vis-à-vis de la conformité RGPD et de la sécurité de nos systèmes d’information ?

En raison de la crise sanitaire que nous traversons et des mesures imposées par le Gouvernement, une partie des collaborateurs des entreprises françaises est amenée à télétravailler.

Il convient de s’assurer de la bonne mise en œuvre des mesures liée à la sécurité de vos systèmes d’information.

Avant-hier et après d’importants incidents de sécurité informatique, le Comité Européen de la Protection des Données (CEPD) a rappelé, dans un communiqué relatif au contexte du COVID-19, que le responsable du traitement des données doit assurer la protection des données à caractère personnel qu’il traite. 

À ce titre, les entreprises doivent mettre en œuvre des actions spécifiques.

1. DOCUMENTER

Il convient, en premier lieu, de réaliser l’inventaire des activités des collaborateurs compatibles avec le nomadisme numérique, dont le télétravail est une forme, pour documenter et mettre en place des procédures concernant le nomadisme numérique.

“Le nomadisme numérique désigne toute forme d’utilisation des technologies de l’information permettant à un utilisateur d’accéder au SI de son entité d’appartenance ou d’emploi, depuis des lieux distants, ces lieux n’étant pas maîtrisés par l’entité.”

La CNIL recommande de documenter les procédures d’exploitation, les tenir à jour et les rendre disponibles à tous les utilisateurs concernés. Elle précise que toute activité de traitement de données à caractère personnel doit être expliquée dans un langage clair.

2. SENSIBILISER

L’ANSSI, de concert avec la CNIL, rappelle l’importance de sensibiliser les utilisateurs travaillant avec des données personnelles aux risques liés aux libertés et à la vie privée.

En effet, il convient :

• de les informer des mesures prises pour traiter les risques et des conséquences potentielles en cas de manquement,
• d’organiser des séances de sensibilisation,
• d’envoyer régulièrement les mises à jour des procédures pertinentes pour les fonctions des personnes,
• de faire des rappels par messagerie électronique,
• de leur faire signer un engagement de confidentialité, etc.

La sensibilisation permet aux utilisateurs de maîtriser parfaitement leurs outils, connaître les risques et les comportements à adopter en fonction de leur lieu de travail et des circonstances. La charte informatique de votre entreprise doit également intégrer les règles d’usage liées au télétravail.

Que votre entreprise soit habituée au télétravail ou non, cette période exceptionnelle est l’occasion de mettre à jour votre PSSI ainsi que votre charte informatique et lui donner une force contraignante (par exemple, en l’annexant au règlement intérieur).

3. ADAPTER

La “charte d’utilisation des moyens informatiques” contribue à la préservation de la sécurité de votre système d’information et fait du collaborateur un acteur essentiel à la réalisation de cet objectif. Selon la CNIL, cette charte devrait au moins comporter les éléments suivants :

1. le rappel des règles de protection des données et les sanctions encourues en cas de non respect de celles-ci ;
2. le champ d’application de la charte ;
3. les modalités d’utilisation des moyens informatiques et de télécommunications mis à disposition ;
4. les conditions d’administration du système d’information.

Concernant le nomadisme et le télétravail, l’ANSSI encourage les organismes à réfléchir sur la manière de sécuriser ces accès distants au système d’information, afin de gérer les besoins de confidentialité et d’intégrité des données ainsi que l’authentification des utilisateurs.

Le domicile à partir duquel un utilisateur télétravaille est à considérer comme un lieu non maîtrisé, car il est très difficile d’évaluer de façon pérenne l’environnement du point de vue de la sécurité : perte, vol ou compromission du matériel ou des informations qu’il contient, accès illégitime au SI de l’entreprise, perte de confidentialité ou d’intégrité…

Il est nécessaire de maîtriser complètement l’ensemble des équipements sur lesquels les télétravailleurs se connectent. L’utilisation d’équipements personnels par l’utilisateur (AVEC en français ou BYOD en anglais) pour se connecter au SI de l’entité est donc à proscrire.

L’entreprise doit mettre en œuvre des recommandations logiques et organisationnelles pour garantir l’intégrité, la confidentialité et la disponibilité des données traitées dans des circonstances de télétravail : mise à jour des pare-feu, verrouillage plus strict des sessions des collaborateurs, paramétrage de votre VPN, sécurisation et maîtrise des flux de données, mise en œuvre des matériels et logiciels disposant d’un visa de sécurité de l’ANSSI, journalisation des éléments…

Par ailleurs, l’entreprise doit mettre à disposition des moyens physiques pour protéger les équipements d’accès : un filtre écran de confidentialité (pour les postes de travail, mais aussi pour les tablettes ou mobiles multifonction), des scellés pour identifier une éventuelle compromission matérielle, des verrous de ports USB si nécessaire, éventuellement un câble antivol.

Pour aller plus loin, n’hésitez pas à consulter :

1. le guide sécurité des données personnelles et la fiche de la CNIL sur la sensibilisation des utilisateurs à la sécurité informatique (en fonction de votre activité, c’est peut-être même le moment d’en profiter pour -enfin- faire les MOOC de l’ANSSI et de la CNIL) 
2. les recommandations de l’ANSSI sur le nomadisme numérique, pour vérifier la cohérence et la pertinence des mesures logiques, techniques et organisationnelles que vous avez mis en place.