Salariés : défendez vos droits en matière de protection des données !
Sécurité des données liées à la vie privée et obligations des entreprises vis-à-vis de leurs salariés dès lors qu'elles choisissent de passer par des solutions SaaS extra-communautaires.
Rémunérations, comptes-rendus d’entretiens professionnels, informations liées à la santé ou à la famille… Ces données, qui relèvent de la vie privée des salariés, ne sont pas toujours bien protégées, dès lors que l’entreprise choisit de passer par des solutions SaaS extra-communautaires. Une réalité peu connue des employés, qui sont pourtant les premiers concernés…
Des solutions SaaS de plus en plus utilisées en entreprise
Alors qu’elles représentaient 43 % des ventes des éditeurs en 2020, les licences SaaS constituent aujourd’hui plus de 78 % de leur chiffre d’affaires. Une augmentation qui s’explique par les nombreux avantages qu’offrent ces solutions accessibles 24h/24, depuis n’importe quel terminal, pour gérer les projets des entreprises (visioconférences, gestion collaborative, RH…)
La crise de la Covid-19, qui a entraîné la généralisation du télétravail, a largement accéléré ce phénomène. Elle a aussi modifié les comportements d’achat au sein des entreprises. Lorsque les logiciels étaient installés sur leurs serveurs internes, la commande passait en effet à la moulinette scrupuleuse de la DSI, qui en examinait les implications juridiques et les risques de sécurité. Avec les outils SaaS, le processus d’achat s’est décentralisé. Ce sont aujourd’hui les experts métiers qui effectuent en direct le choix des solutions qu’ils utilisent. Ce qu’ils regardent en priorité, ce sont les avantages fonctionnels, l’ergonomie et le coût. Rarement, ils s’embarrassent de vérifier dans les détails ce que disent les clauses de confidentialité de l’éditeur. Et, puisque ce dernier leur assure que son logiciel est conforme aux règles RGPD, pourquoi en douter ?
Une violation du droit à la vie privée des salariés
Pourtant, une partie des solutions SaaS installées dans les entreprises françaises sont étrangères et, dans la plupart des cas, américaines. Les données sont donc hébergées dans des datacenters qui sont soumis à des réglementations extra-communautaires. D’autant que l’arrêt Schrems de la Cour de Justice européenne a invalidé en 2020 le « Privacy Shields », qui légitimait la collecte de données par les éditeurs américains, sur la base d’un mécanisme d’auto-certification.
En choisissant ce type de solutions, les entreprises contribuent elles-mêmes au pillage de leurs données. Et pas seulement des leurs, mais aussi celles de leurs collaborateurs : composition de leur famille, arrêts maladies, adresse, rémunération… Jusqu’au contenu de leurs conversations ! Des données personnelles soigneusement collectées par les éditeurs, années après années, pour leurs besoins commerciaux.
Dans le monde réel, conserver une trace de chaque information relative à une personne est considérée comme de l’espionnage. C’est pourtant ce que les entreprises autorisent en achetant ces solutions SaaS étrangères. Elles s’adjoignent le droit de violer une liberté fondamentale de leurs salariés : le respect de leur vie privée !
Une prise de conscience collective à accélérer
Suivis à la trace, les collaborateurs n’en sont pourtant jamais informés. D’ailleurs, la plupart des entreprises n’ont même pas conscience de la situation. Plus inquiétant encore, après une longue période de résistance, elles se tournent désormais vers des logiciels SaaS pour assurer leur sécurité. Or, ces derniers qui sont, là encore pour beaucoup, américains, accèdent ainsi aux informations les plus sensibles, comme les mots de passe ou les comptes de la société. Dans le cadre d’un Proxy SaaS, c’est également toute la navigation des collaborateurs sur Internet qui peut être scrutée et analysée.
Aujourd’hui, il est temps, pour les entreprises françaises, de prendre davantage conscience des risques. Les DSI doivent imposer que les achats logiciels soient systématiquement soumis à leur validation. D’autant que de plus en plus de solutions SaaS souveraines et respectueuses du RGPD existent désormais : elles n'ont donc plus d’excuse. Et, si toutefois elles ne parvenaient pas à trouver des alternatives françaises ou européennes, elles devront impérativement en informer les instances représentatives du personnel. Dans le cas contraire, elles s’exposent à des litiges ; la loi leur imposant d’obtenir le consentement de chaque collaborateur. Au-delà de l’aspect légal, il en va aussi de leur responsabilité morale, et du rapport de confiance qu’elles souhaitent établir avec leurs salariés.