En ces temps de confinement et de crise (sanitaire, économique,…), la règlementation applicable en matière de protection des données à caractère personnel, telle qu’issue notamment du règlement 2016/679 du 27 avril 2017 sur la protection des données (dit « RGPD »), continue à s’appliquer, et notamment s’agissant de la sécurité des données à caractère personnel !
Le contexte actuel conduit nombre d’entreprises à organiser le travail à distance de leurs collaborateurs, ce dont il résulte un risque d’autant plus prégnant en matière de sécurité des données à caractère personnel. En effet, la pratique du télétravail n’est pas sans incidence en termes de cybersécurité : les habitudes des utilisateurs sont chamboulées et les réflexes et précautions de ces derniers en termes de sécurité sont nécessairement amoindris, l’environnement numérique personnel présente de nombreux risques,… En outre, alors que les entreprises se débattent avec les difficultés induites par cette crise sanitaire et tentent d’en anticiper les conséquences, les pirates informatiques ne chôment pas non plus… et profitent de la curiosité et parfois de l’angoisse ambiante pour « attirer les utilisateurs dans leurs filets ».
Aussi, certaines bonnes pratiques doivent être maintenues et encouragées dans ce contexte si particulier, ce que la Cnil rappelle régulièrement s’agissant des mesures visant à assurer la protection des données à caractère personnel.
*
* *
La visio ?
A titre d’exemple, la Cnil a récemment mis en garde s’agissant des problématiques afférentes aux outils de visioconférence utilisés pour faciliter les échanges à distance (cf. les recommandations de la Cnil en la matière). En effet, la mise en place du télétravail a imposé l’utilisation d’outils informatiques, en particulier d’outils de communication, permettant notamment de mettre en place des visioconférences, ainsi que des partages d’écrans et/ou de documents. Or, une attention toute particulière doit être portée à l’utilisation de ce type d’applications à des fins professionnelles et cette pratique, bien que nécessaire à ce jour, doit être rigoureusement encadrée afin de permettre une protection optimale des informations communiquées au travers de ces outils. Dans ce cadre, et suite aux récents scandales relatifs aux fuites de données liées à certaines applications de visioconférence, il convient de rappeler que seuls les outils et applications informatiques mis à disposition par l’entreprise, tels que validés par la DSI, doivent être utilisés.
Pour mémoire, le recours à des outils ou applications accessibles au « grand public », gratuitement, ne répond généralement pas au niveau de protection devant être mis en place afin de protéger les données (notamment les données à caractère personnel mais pas uniquement) de l’entreprise. De manière générale, leur niveau de protection est faible – voire inexistante. Aussi, il est rappelé qu’il convient de n’utiliser, même en période de télétravail, que des outils ou applications de communication ou de partages de fichiers / données proposés par l’entreprise, à l’exclusion de tout outil ou plateforme dit(e) « grand public » ou souscrit(e) à titre strictement personnel.
La messagerie électronique ?
Concernant l’utilisation de la messagerie électronique, il est également rappelé que celle-ci doit faire l’objet d’une attention particulière de la part de chaque utilisateur. Notamment, il est rappelé à tout utilisateur qu’il convient :
- avant tout envoi, de s’assurer que l’adresse email du destinataire est correcte, et ce en vue d’éviter qu’un email soit adressé par erreur à la mauvaise personne ;
- en cas d’envoi groupé (cf. multiplicité de destinataires externes en particulier), d’utiliser de manière opportune les champs d’adresse électronique de « copie cachée » (« cci »), c’est-à-dire de cacher les adresses de messagerie des destinataires en les mettant dans le champ de « copie cachée » (« cci »), et de s’envoyer le message électronique à soi-même ;
- d’utiliser avec discernement la fonctionnalité « répondre à tous », notamment lorsque les destinataires du message sont nombreux
- pour les envois de documents volumineux, de n’utiliser que des outils validés par le service informatique de l’entreprise et en tout état de cause des outils dédiés aux professionnels (pour être clair, oubliez “wetransfer” !). A cet égard, il convient de privilégier, en lieu et place de la messagerie électronique, un protocole garantissant la confidentialité et l’authentification du serveur destinataire pour les transferts de fichiers (protocole SFTP ou HTTPS dans leur version la plus récente) et, à défaut, un processus de chiffrage du contenu des pièces jointes contenant des données à caractère personnel ;
- d’exclure toute utilisation d’adresse email personnelle à des fins professionnelles, notamment pour échanger des documents, fichiers, données,… de l’entreprise, et ce avec quelque interlocuteur que ce soit ;
- de ne pas ouvrir de pièces jointes à risque ou de messages d’origine inconnue ou identifiés comme indésirables.
Sur ce dernier point, il est rappelé que, depuis le début de la crise sanitaire, de nombreuses attaques informatiques liées au Covid-19 ont été constatées. Ces attaques consistent majoritairement en l’envoi d’e-mails contenant des liens ou des pièces jointes, et qui prétendent contenir des informations importantes sur le virus ou renvoyant à des sites internet soi-disant « officiels » ou ayant un prétendu partenariat avec l’Etat ou l’Organisation Mondiale de la Santé (ou « OMS »). Ces courriels réclament généralement à leur victime d’ouvrir le lien ou la pièce jointe, et ce afin d’installer par la suite dans leur terminal des logiciels malveillants (par exemple, cryptolocker / ransomeware / rançongiciel), voire de saisir leur login / mot de passe aux fins de récupération et de réutilisation malintentionnées (cf. pratiques de phishing).
L’Agence de l’Union européenne pour la cybersécurité a également récemment publié un communiqué relatif aux précautions à prendre pour les travailleurs à distance, dans lequel elle invite d’ailleurs à être particulièrement vigilant lors de la réception :
- d’un e-mail provenant d’un destinataire inconnu, et en particulier s’il vous demande de vous connecter à des liens ou d’ouvrir des fichiers ;
- d’un e-mail provenant d’un destinataire connu mais dont la demande apparaît comme inhabituelle ;
- d’un e-mail créant une impression d’urgence afin de vous poussez à cliquer sur le lien.
Pour mémoire, il ne faut en aucun cas cliquer sur le lien ou ouvrir la pièce jointe sans avoir vérifié l’authenticité de son destinataire, et, le cas échéant, le bien-fondé de sa demande. Le recours à un autre canal, comme le téléphone, est une solution opportune. Et un seul mot d’ordre : dans le doute, on ne clique pas !
Enfin, il convient également de porter une attention particulière aux emails reçus ayant vocation à effectuer un changement de coordonnées bancaires en vue de la réalisation d’un paiement par exemple. En effet, les périodes de crises, notamment celles pendant lesquelles les interlocuteurs ne sont pas amenés à se rencontrer et à échanger « en présentiel », sont propices aux pratiques de type « arnaques au président » (cf. une personne envoie un email en se faisant passer pour une autre ou sous une autre qualité que la sienne, et tente de remplacer les coordonnées bancaires de paiement habituel par les siennes). Là encore, une vérification téléphonique auprès des interlocuteurs habituels s’impose avant toute action !
En tout état de cause, il convient de prévenir son employeur en cas de doute sur l’authenticité d’un e-mail (que vous ayez cliqué ou non sur le lien, saisi votre login / mot de passe ou ouvert le fichier en cause).
Les outils personnels ?
Dans le communiqué précité, l’Agence de l’Union européenne pour la cybersécurité souligne également l’importance de dissocier le matériel informatique professionnel (téléphone, tablette, ordinateur, etc.) du matériel informatique personnel. En effet, les activités privées effectuées sur un matériel informatique à partir d’un réseau internet – comme le fait de télécharger des films ou de jouer à des jeux en ligne – ne sont pas toujours compatibles avec la sécurité de l’environnement numérique professionnel.
Dès lors, l’utilisation d’équipements informatiques spécifiques à l’activité professionnelle est nécessaire, et tout salarié doit être sensibilisé sur ce point.
Les autres mesures ?
Enfin, en vue d’assurer un niveau de sécurité minimum à son environnement numérique de travail, il convient notamment de mettre en place a minima quelques bonnes pratiques :
- vérifier que la connexion wifi utilisée en environnement de télétravail est sécurisée ;
- vérifier que son équipement informatique est doté d’un antivirus et que ce dernier est mis à jour ;
- s’assurer que les logiciels de sécurité sont à jour ;
- veiller à sauvegarder régulièrement tous les fichiers et, par principe, ne pas stocker de fichiers / données sur le disque dur du poste de travail : un enregistrement sur le réseau de l’entreprise doit être privilégié ;
- ne pas laisser un ordinateur sans surveillance et de ne pas l’emmener dans le cadre de ses déplacements ou sorties privés (restaurants, soirées ou autres) ;
- penser à verrouiller son ordinateur à chaque fois que l’utilisateur le quitte des yeux (ex : pause) et à éteindre son ordinateur à chaque fin de journée, cette mesure ayant vocation à permettre d’assurer la confidentialité des données qui sont accessibles par ce moyen mais également de permettre à tout ordinateur d’effectuer régulièrement les mises à jour appropriées.
*
* *
Ces précautions ont notamment vocation à limiter le risque de violation de données à caractère personnel, c’est-à-dire de violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données. Pour mémoire, une telle violation nécessite en pratique de procéder à une notification auprès de l’autorité de contrôle en matière de protection des données à caractère personnel (la Commission nationale de l’informatique et des libertés, dite « Cnil ») dans les meilleurs délais, et au plus tard en principe dans les 72h de la connaissance de la violation, sauf à considérer que la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes concernées (article 33 du RGPD). Dans une telle hypothèse, il est également nécessaire d’informer les personnes concernées par une telle violation de données à caractère personnel si celle-ci est susceptible d’engendrer un risque « élevé » pour les droits et libertés des personnes concernées (article 34 du RGPD).
En tout état de cause, la sécurité est l’affaire de tous et doit être une préoccupation de chaque instant pour chaque membre d’une entreprise. Aussi, les règles et principes applicables (et opposables aux salariés) doivent, ainsi que la Cnil le rappelle, être définis par l’entreprise (charte informatique, code de bonnes pratiques mais également toute documentation utile en matière de sécurité des systèmes d’information et des données à caractère personnel) et les salariés doivent, pour toute interrogation, pouvoir se référer à la documentation déployée au sein de l’entreprise à laquelle ils appartiennent.
Le pôle IT & Data protection d’Agil’IT accompagne ses clients dans le cadre de la rédaction de la documentation interne nécessaire à toute entreprises aux fins de formalisation des règles et principes applicables en matière de sécurité des données à caractère personnel.
Par AGIL’IT – Pôle IT, Data protection & Télécoms
Laure LANDES-GRONOWSKI, Avocate associée
Marie MILIOTIS, Avocate