1.2 La protection des données personnelles des clients de l’entreprise

Ces premières limitations à ce que peuvent faire les entreprises ayant été rappelées, dès le début du mois de mars, compte tenu du caractère sensible des données de santé même en période de crise sanitaire, on doit souligner que la réorganisation des entreprises a également un impact sur l’utilisation des données personnelles de leurs clients : les moyens de production usuels sont battus en brèche, et les organisations recourent massivement aux réseaux pour continuer leurs activités, pour toutes celles qui peuvent être exécutées à distance.

Coronavirus Disease 2019 Rotator Graphic for af.mil. (U.S. Air Force Graphic by Rosario « Charo » Gutierrez)

Parmi les mesures palliatives mises en place figure bien entendu le télétravail. Au nombre des mesures techniques et organisationnelles que les entreprises doivent déployer, au regard non seulement de la nature des données traitées, mais aussi des circonstances, figure donc logiquement la sécurisation des connexions distantes.

Or, la situation exceptionnelle amène de nombreux salariés à utiliser des outils qui n’ont pas été mis à disposition par leurs employeurs, ou qui ne bénéficient pas des mesures de sécurité normalement déployées. Si les entreprises qui ont déjà réglementé le BYOD (utilisation des outils personnels à des fins professionnelles) et les connexions distantes (intranet sécurisé ou VPN), peuvent mettre en œuvre les règles qu’elles ont déjà encadré dans leurs charte informatiques, de nombreuses autres se sont retrouvées prises au dépourvu par le confinement, et ont demandé à leurs personnels, autant que possible, de recourir à leurs propres outils, ordinateurs et réseaux.

La CNIL a émis un certain nombre de recommandations, y compris vers les salariés eux-mêmes (sécuriser sa propre connexion, créer des comptes spécifiques sur les webmails et applications utilisées pour travailler, sécuriser son propre PC contre les risques d’intrusion, chiffrer son accès internet avec des clés renforcées de type WPA2 ou WPA3, supprimer les accès wifi invités, s’assurer de la présence d’un pare-feu et d’un antivirus sur les outils personnels, renforcer ses mots de passe, etc.), ce ne sont toutefois que des pis-aller.

Les services sécurité des entreprises tentent de réduire les risques, mais il est certain qu’ils ne peuvent pas assurer la sécurité d’un réseau informatique qui devient par définition hétéroclite et externalisé. Il est donc indéniable que les risques de violations de données personnelles, par fuite ou perte, se sont accrus d’un coup.

Un serveur distant indisponible, la panne d’un PC personnel, la destruction d’une sauvegarde, constituent des violations de données personnelles que le responsable de traitement reste devoir identifier et signaler, conformément aux exigences du RGPD. Pour couronner le tout, le piratage informatique profite bien entendu de la crise pour tenter de tromper la vigilance des opérationnels et la recrudescence de tentatives de phishing a été constatée…

Les organisations devraient donc également déployer une information circonstanciée auprès de leurs salariés, comparables aux chartes informatiques, mais axées sur l’essentiel et tenant compte du travail à distance et du recours bien plus large à des outils personnels qu’à l’habitude.

Les employeurs doivent pour beaucoup déployer des « plans de continuité d’activité » qui exposent l’ensemble des mesures, dont la sécurité, déployées pour permettre la poursuite de la production malgré les circonstances exceptionnelles. Ces PCA sont très orientés vers les modalités de sécurisation des outils et connexions distantes, mais devraient également être accompagnées de l’information nécessaire sur la protection des données personnelles. Or, trop peu de PCA incluent déjà ces considérations. Pourtant, la mise en œuvre des PCA implique souvent de recourir à des technologies et traitements de secours qui vont permettre de traiter ou transférer des données personnelles, et là encore, rien ne vient exonérer les responsables de traitement de leur obligation d’information des personnes concernées.

De même, le contrôle de la sécurité des données implique non seulement les services dédiés de l’entreprise, mais également l’ensemble du personnel. A cet égard, les salariés doivent signaler à leurs employeurs, responsables de traitement, toute fuite de données qu’ils constateraient, ou dont ils seraient malheureusement à l’origine malgré eux, par erreur de manipulation.

Les responsables de traitement ne sont pas exonérés de leurs obligations de remédiation et de notification des fuites de données personnelles, malgré la situation actuelle. Toute faille doit donc être scrupuleusement remontée, et l’entreprise doit maintenir l’exécution de ses procédures d’instruction et de notification des violations de données, auprès de la CNIL, voire auprès des personnes concernées.

La CNIL a émis une liste de bonnes pratiques et de réflexes à adopter, que les entreprises doivent relayer, et adapter à la réalité de leurs pratiques de travail actuelles. Une page est spécifiquement consacrée au télétravail.

Le recours aux applications de visioconférences, en particulier, pose question. Très prisées par leur caractère convivial, et en raison des options de travail collaboratif qu’elles permettent en temps réel, certaines constituent cependant de vraies menaces sur la protection des données personnelles. L’ANSSI a certifié l’une d’elles, qu’elle recommande aux administrations. D’autres sont proposées par des fournisseurs qu’on sait largement sensibilisés aux exigences du RGPD. Mais certaines ont rapidement posé problème (failles de sécurité, data leaks…).

En synthèse, les entreprises doivent :

  • Mettre en place des mesures alternatives dûment sécurisées et encadrées, dans le cadre de « plans de continuation d’activité » ou en tous cas en recourant à des technologies réellement sécurisées et structurellement protectrices des données personnelles (des salariés, des clients, des prospects, des fournisseurs…) ;

  • Recourir à des VPN pour les liaisons distantes ;

  • Informer les salariés des technologies alternatives mises en place et des données ainsi collectées sur les activités desdits salariés (notamment dans le cadre des applications de télétravail et de visioconférence) ;

  • Mettre en œuvre des mesures techniques et organisationnelles nécessaires, y compris de sécurité, adaptées pour protéger les données personnelles traitées, y compris via les outils personnels des salariés le cas échéant ;

  • Rappeler aux salariés leur obligation de signaler toute violation de données qu’ils constateraient, ou qu’ils provoqueraient accidentellement, et procéder aux notifications requises par le RGPD le cas échéant.

Au-delà de ces premières mesures prophylactiques, la CNIL comme le CEPD ont rappelé qu’en aucun cas la pandémie de covid-19 n’était de nature à justifier la suspension ou le non-respect du RGPD. Les précautions énumérées ci-avant visent à adapter son application aux circonstances exceptionnelles, en limitant ce qu’il est possible de collecter et en adaptant les traitements effectués à distance. Mais les responsables de traitement demeurent intégralement soumis au RGPD, et il n’est nul état d’urgence ou circonstance exceptionnelle qui justifierait ici de faire entorse à cette réglementation.

Et pourtant, la question est également posée au niveau de la riposte organisée par les autorités publiques. On quitte ici le domaine de ce qui s’impose aux entreprises pour protéger les données personnelles de leurs salariés et leurs clients, pour aborder le domaine de ce que les autorités publiques doivent faire pour respecter la protection des données personnelles des citoyens.

 

(…)