Le RGPD à l’heure du télétravail
Le 22 septembre 2017 les ordonnances Macron sont publiées. Parmi les différentes mesures entrées en vigueur figure un assouplissement du cadre juridique lié au télétravail, l’objectif étant de faciliter le recours à ce mode d’organisation pour les entreprises. Ce qui se voulait initialement être une simple réforme allant dans le sens naturel des modes de vie et de la digitalisation des activités s’avérera être une véritable nécessité quelques années plus tard pour prendre le virage de la crise sanitaire du Covid-19 et assurer la continuité des activités.
Entre ces deux dates nait un nouveau règlement européen, véritable mastodonte réglementaire, le RGPD (Règlement Général sur la Protection des Données), dont l’objectif premier est d’encadrer la libre circulation et le traitement des données à caractère personnel recueillies. Il s’inscrit dans la continuité de la Loi Informatique et Libertés de 1978.
Le 29 octobre 2020, en plein cœur de la pandémie, Elisabeth BORNE, Ministre du travail, de l’emploi et de l’insertion, déclare que « le télétravail n’est pas une option » mais bien « une obligation ».
Ce changement soudain de paradigme organisationnel n’est pas qu’un éclatement de l’espace de travail commun en une multitude de bulles privées à distance, il engendre aussi le détachement des données, de l’entreprise et de ses salariés, à grande échelle. Alors quelle cohabitation est possible entre le RGPD et le télétravail et quels en sont les impacts pour les DPO (Data Protection Officer), ces hommes et femmes qui vivent au contact permanent de la data ?
Yannick Clair
CONSULTANT SENIOR
@LYON
Le télétravail, un risque pour la sécurité des données de l’entreprise
Depuis le premier trimestre 2020, période qui marque le début de la pandémie en France, les incidents de sécurité informatique se sont multipliés. Ces incidents peuvent parfois provoquer une violation de données c’est-à-dire la destruction, la perte, l’altération ou la divulgation non autorisée de données à caractère personnel[1]. Comment expliquer cette recrudescence d’incidents ? Notre veille sur le sujet nous apporte quelques éléments de réponse. Il s’agit avant tout de mauvaises pratiques ponctuelles qui deviennent avec le temps des habitudes, multipliées par le nombre de télétravailleurs et l’augmentation de la durée de cette période de télétravail. Cela accentue l’exposition de l’entreprise à ce type de risque.
Les mauvaises pratiques identifiées portent principalement sur le recours à une connexion non sécurisée en utilisant par exemple son ordinateur personnel pour effectuer des tâches professionnelles et inversement. Viennent ensuite le téléchargement de logiciels tiers, l’usage de clés USB, l’échange de mails entre boites personnelles et professionnelles, l’usage d’une même application mobile pour les conversations amicales et professionnelles, un réseau Wifi non sécurisé et enfin, le manque de reflexes face aux tentatives d’hameçonnage.
Rappelons également que l’usage du téléphone portable pour prendre en photo l’écran pour éviter de prendre des notes en cours de réunion est un geste qui doit être totalement proscrit, les smartphones étant eux aussi vulnérables.
… et un défi à relever pour les DPO
La crise sanitaire n’est pas l’unique responsable de ce nomadisme numérique qui s’est accéléré avec l’essor des technologies digitales, la tertiarisation de l’économie et l’étalement urbain, mais elle en est le principal catalyseur.
Il existe une corrélation forte entre le recours massif au travail à domicile et l’usage croissant des outils collaboratifs. Ce couplage des tendances entraine un enchevêtrement des sphères privées et professionnelles ce qui, au-delà des aspects d’équilibre entre la vie intime et la vie d’entreprise, pose de nouvelles problématiques en termes de protection des données.
Le télétravail complique donc la tâche des DPO dans leur rôle de contrôleurs du respect du traitement des données et l’utilisation de plusieurs canaux de communication (web, téléphonie, emails…) vient complexifier davantage leur quotidien d’autant plus que cela concerne l’ensemble des données traitées par l’entreprise, celles des clients comme celles des collaborateurs.
Cela nécessite un regain de vigilance et une sensibilisation constante aux bonnes pratiques. Il s’agit de limiter les négligences, réaliser des campagnes de faux-phishing, élaborer une charte de bonnes pratiques ou bien encore former à la cybersécurité l’ensemble des maillons de la chaine. Cette diversité de livrables à produire nécessite une large palette de compétences pour décliner opérationnellement le RGPD, une capacité à travailler de manière transversale et une facilité à se saisir intellectuellement de tous les sujets en cours.
En quelques années seulement, le Délégué à la Protection des Données est passé du statut de collaborateur « nécessaire » à celui de véritable aventurier de la Data qui doit être impliqué dans tous les chantiers. Il évolue désormais à la croisée de l’éthique, du réglementaire, du commercial et du digital. Son quotidien se veut autant stressant que passionnant, innovant que déterminant.
La vision de Celencia
Chaque jour nos 80 consultants gravitent au cœur des projets digitaux des grands acteurs de la bancassurance. Sensibilisation à la cybersécurité, déclinaison opérationnelle des réglementations européennes, accompagnement de data scientists, pilotage de projets numériques, déploiement de la vente à distance, optimisation des outils collaboratifs… l’ensemble de nos récentes interventions nous donne une vision large de la pénétration de la Data dans notre quotidien. Nous constatons que les DPO sont fortement sollicités, impliqués dans une variété de nouveaux projets et doivent de plus en plus affronter des problématiques parfois très techniques entremêlant mise en conformité avec la réglementation, développement des outils informatiques, performance commerciale, sécurisation et protection tant de la clientèle que des collaborateurs.
Si les entreprises sont bien dotées d’une charte informatique, que les connexions se font par VPN et que les campagnes d’informations sont bien présentes (sous formes de webinars, d’ateliers, d’articles sur l’Intranet, etc.), il reste néanmoins vital d’amplifier les efforts notamment en matière de sensibilisation de tous les salariés et plus particulièrement ceux issus des réseaux commerciaux qui traitent et intègrent des données à caractère personnel tout au long de la journée. Enfin, il convient de (re)définir une politique très claire, stricte et contraignante en matière de BYOD (Bring Your Own Device) pour éradiquer les risques de fuite de données.
[1] Source : www.cnil.fr/fr/les-violations-de-donnees-personnelles
Vous avez un projet digital, organisationnel ou réglementaire et souhaitez être épaulé par des consultants expérimentés ? Les équipes de Celencia, Cabinet de conseil à Paris, Nantes, Niort et Lyon sont votre écoute.