09 Sep RGPD : LE TRAVAIL À DISTANCE PEUT FRAGILISER LA PROTECTION DES DONNÉES SENSIBLES
Les technologies actuelles offrent un bouquet d’outils accessibles à distance. D’ordinaire anticipés, les déploiements de grande échelle que nous vivons depuis le mois dernier respectent-ils la règlementation de la protection des données ?
Mehdi Belleili, responsable technique et opérationnel chez GLOBAL PARTNER et ancien DSI aborde avec nous ce sujet sensible et les bonnes pratiques à adopter.
RGPD : rappel des points clés
Le Règlement Général de la Protection des Données (RGPD) s’applique à tous les états membres de l’union européenne et concerne toutes les entreprises de biens et services.
Il s’articule en quatre thèmes majeurs :
1/ Consentement : proposer un texte explicite pour que les utilisateurs puissent donner leur consentement en conscience.
2/ Transparence : expliquer en quoi l’entreprise va utiliser les données personnelles.
3/ Droits de l’utilisateur en tant que personne : droit à l’oubli, droit d’accès aux données enregistrées, droit de limitation, droit de récupérer les données.
4/ Responsabilité de l’Entreprise : l’utilisateur peut se retourner contre celle-ci si les données le concernant sont vendues, piratées ou non supprimées alors qu’il en a fait la demande.
Avec le confinement, les données habituellement traitées au sein du réseau sécurisé de l’Entreprise sont potentiellement exportées chez le(s) collaborateur(s). C’est donc sur ce dernier point que les Entreprises sont le plus exposées dans le contexte actuel.
Le travail à distance peut fragiliser la protection des données sensibles
À domicile, les utilisateurs peuvent multiplier les supports sans avoir conscience des risques que cela représente. Pour les collaborateurs d’un service RH ou pour un commercial par exemple : tout téléchargement sur un ordinateur personnel, une tablette, un téléphone personnel ou toute impression papier d’une information permettant d’identifier une personne représente un risque RGPD. Le réseau est-il sécurisé ? Le document téléchargé est-il conservé quelque part ?
Chez eux, les collaborateurs peuvent ne pas systématiquement supprimer les données : par oubli ou simplement par méconnaissance des enjeux et procédures. Or, si les appareils personnels des collaborateurs de l’Entreprise sont piratés, l’Entreprise est responsable des données personnelles.
Que faire pour garder une maîtrise à distance ?
Les collaborateurs n’ont à priori aucune intention de nuire à leur employeur et pourront aisément suivre vos recommandations. Sensibilisez donc régulièrement l’ensemble des utilisateurs au bon traitement de la donnée personnelle. Précisez les différents cas comportant des risques : conserver les données sur un ordinateur/appareil personnel, sur une clé USB ou sur son bureau en version papier. Dans un second temps, expliquez la bonne démarche à suivre : supprimer les fichiers régulièrement en vérifiant son dossier « téléchargements », détruire les versions papier.
Si vous souhaitez un niveau supplémentaire de protection, vous pouvez opter pour la mise en place d’environnements hébergés qui fonctionnent comme un bureau à distance. Dans ce type d’installation, il est par exemple possible de paramétrer des sécurités bloquant le téléchargement d’un document. L’utilisateur pourra toujours consulter en ligne les informations dont il aura besoin.
Quelle que soit votre stratégie, informez chaque collaborateur travaillant à distance de la portée de ses actions pour qu’il puisse, en conscience, contribuer au respect des normes établies.
Chez eux, les collaborateurs peuvent ne pas systématiquement supprimer les données : par oubli ou simplement par méconnaissance des enjeux et procédures. Or, si les appareils personnels des collaborateurs de l’Entreprise sont piratés, l’Entreprise est responsable des données personnelles.