Depuis 2018, avec la mise en place de la RGPD, la sécurité des données est un sujet qui refait fréquemment surface parmi les problématiques d'actualité.

La crise sanitaire a elle aussi attiré l'attention sur quelques questions de protection des données !

Au coeur de l'actualité ces derniers jours, l'application gouvernementale TousAntiCovid Vérif qui permet de lire le QR Code des employés devant justifier d'un pass sanitaire. Dans un souci de respect des données personnelles, celles-ci n'apparaissent que partiellement à la lecture du QR Code et elles ne peuvent pas être conservées par l'employeur même s'il s'agit d'un vaccin ce qui complique parfois la gestion des RH.

Si la protection des données s'applique aux informations sur les salariés, elle concerne également les données de l'entreprise visibles par les salariés. Avec la montée du télétravail permanent, de nouvelles règles sont de mise pour garantir leur sécurité...

Sécurité des données et télétravail

Si une partie des salariés souhaite désormais travailler à domicile un ou plusieurs jours par semaine, les conditions de sécurité de l'équipement informatique ne sont pas toujours optimales. En effet, dans certaines entreprises, il est possible d'obtenir un PC portable professionnel mais dans les petites entreprises ce n'est pas toujours possible. Il est alors nécessaire d'avoir sur votre ordinateur personnel des outils performants pour faire face aux risques de sécurité sur des fichiers professionnels et parfois confidentiels.

En dehors de cette question de sécurité, de nombreuses entreprises se questionnent sur le confort de l'expérience utilisateur quand il s'agit de travailler à domicile.

Selon une enquête menée par Enterprise Management Associates (EMA) en Europe et aux USA en 2021 et évoquée dans un article de Le MagIT, « les équipes réseau des entreprises prennent en ce moment même des mesures pour formaliser l’architecture réseau du télétravail. L’enjeu de fournir à domicile une expérience utilisateur comparable à celle du travail dans les locaux de l’entreprise préoccupe 90,7 % des 312 DSI interrogés ».

La loi RGPD et les outils adaptés

Il existe depuis Mai 2018 un Règlement Général, le RGPD qui régit les normes de protection des données à caractère personnel sur tout le territoire européen. Comme le soulignait à l'époque la Commission Européenne, les règles ne s’appliquent pas aux données traitées par une personne à des fins purement personnelles ou dans le cadre d’une activité domestique [...]. Lorsqu'une personne utilise les données à caractère personnel en dehors de la « sphère privée », par exemple dans le cadre d’activités sociales et culturelles ou financières, elle est alors tenue de respecter la législation en matière de protection des données.

Au sein de l'entreprise, des obligations sur le traitement des informations personnelles découlent de ce règlement universel ce qui nécessite pour l'employeur de garantir même en télétravail la protection informatique des données manipulées par les salariés.

La mise en place rapide et généralisée du cloud et d'autres outils pour faciliter l'accès aux données face au télétravail d'urgence créée de nouvelles menaces. Pour l'instant, aucune nouvelle réglementation généralisée n'a été réalisée concernant le sujet spécifique du télétravail mais chaque entreprise ou groupement d'entreprise peut décider de formuler de nouvelles règles pour l'encadrer.

Dans une note publiée en 2020 suite à l'obligation de télétravail, la CNIL (Commission Nationale de l'Informatique et des Libertés) apportait différentes recommandations aux entreprises. Il est préférable, pour limiter les risques, d'équiper « tous les postes de travail de vos salariés au minimum d'un pare-feu, d'un anti-virus et d'un outil de blocage de l'accès aux sites malveillants ». La mise en place d'un VPN et d'une charte de sécurité spécialisée au cadre du télétravail peuvent également jouer un rôle clé dans votre protection des données.

En parallèle de ces actions techniques, il est nécessaire de sensibiliser et de former les collaborateurs puisqu'ils seront les premiers confrontés à certaines attaques. Il peut s'agir de formations sur la nécessité de mise à jour des mots de passes ou la possibilité d'impression et de conservation de différents documents comportant des données personnelles.

Outre les actions de la part des entreprises, il s'agit également d'une implication de la part des prestataires de services informatiques et d'applications pour fournir des outils sécurisés aux entreprises. Que ce soit des outils comptables, RH ou de CRM, ils regroupent de nombreuses informations nécessitant une protection.

En tant que logiciel en ligne de gestion du temps et de l'activité, Opentime héberge par exemple un flux important de données à caractère personnel. Ces données se doivent donc d'être stockées en France sur des serveurs sécurisés et chiffrés. En outre les utilisateurs peuvent bénéficier d'un SSO (ie. Single Sign-On) pour éviter qu'un nouveau mot de passe ne les encombrent : une des nombreuses options de sécurisation disponible.