Les réflexes à adopter en télétravail en matière de sécurisation des données

La bascule effectuée en urgence de 8 millions de Français en télétravail a accru le risque numérique des organisations. L'urgence passée, l'entreprise se doit d'être vigilante sur les outils à distance qu'elle met à la disposition de ses collaborateurs.

Le déconfinement a commencé mais de nombreux salariés vont poursuivre en télétravail pour une durée encore indéterminée voire privilégier ce nouveau mode d’organisation du travail sur le long terme.  Les outils utilisés ont été parfois mis en place dans des délais très courts pour apporter une réponse immédiate à la continuité de l’activité, accentuant inéluctablement le risque numérique des entreprises.  L’ANSSI comme la DGCCRF ont tour à tour alerté sur la multiplication des actes de cyber- malveillance[1] et des risques d’actions d’espionnage économique. Lorsque l’on sait que le risque cyber le plus répandu reste la négligence, l’erreur de manipulation ou de configuration du poste d’un salarié[2], l’entreprise se doit, l’urgence passée, d’être vigilante sur les outils à distance qu’elle met à la disposition de ses collaborateurs.  

Retour sur les réflexes à adopter pour sécuriser les outils à distance des salariés en télétravail et identifier les outils de visioconférence conformes à la réglementation relative aux données personnelles afin de mettre en place une véritable politique de sécurisation de la donnée hors entreprise.

Les obligations de l’entreprise en la matière

La sécurité des données personnelles est un  principe essentiel érigé par le Règlement Européen sur la Protection des données[3] (RGPD) et par la Loi Informatique et Libertés. Le défaut de sécurisation avéré peut entraîner une sanction financière lourde et obliger l’entreprise à notifier l’incident de sécurité à la CNIL en cas de violation de données personnelles [4]. La CNIL a d’ailleurs depuis le confinement édicté un certain nombre de recommandations favorisant la sécurisation des données personnelles[5]. En somme, l’entreprise doit mettre en œuvre toutes les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté. Il lui revient donc de maîtriser les équipements et les outils mis à la disposition de ses employés, mais également les flux liés (échanges de données, partages de fichiers, gestion du cloud, etc.). L’information des personnes dont les données personnelles pourraient être traitées dans ce cadre reste également une obligation majeure de l’employeur.

Vers une politique de sécurisation de la donnée hors entreprise

Cette maîtrise doit essentiellement se traduire par une sécurisation du système d’information de l’entité par l’équipement des postes de travail portatifs au minimum d’un pare-feu, d’un anti-virus et d’un outil de blocage de l’accès aux sites malveillants. Elle passe également par la mise en place de mesures de chiffrement des flux d’informations (solution VPN – la solution IPsec étant recommandée par l’ANSSI, protocole garantissant la confidentialité et l’authentification)[6]. La problématique des BYOD (Bring Your Own Device"), désignant l’usage par l’employé d’un équipement informatique personnel dans un contexte professionnel, s’avère bien plus complexe en ce que l’employeur a d’une part une maîtrise faible de l’équipement personnel susceptible de provoquer des situations à risques et doit d’autre part veiller dans ses mesures de contrôle à respecter la vie privée du salarié[7]. La CNIL recommande notamment la mise en place d’une "bulle de sécurité" et une connexion wifi avec une clé sécurisée WPA2 ou WPA3.  

Le télétravail est également propice à l’usage d’outils de visioconférence. L’application américaine Zoom, qui a le vent en poupe depuis le confinement, a ainsi révélé plusieurs failles de sécurité. Des données personnelles auraient été transférées à des applications tierces, de même que des participants "pirates" se seraient invités à des réunions à l’insu des organisateurs. A l’heure où l’on parle de souveraineté numérique européenne voire française, des alternatives "sécurisées" existent, certaines sont déjà certifiées par l’ANSSI, d’autres en cours.  Reste à les éprouver. Si la gratuité de certaines solutions est attractive, elle ne doit en aucun cas être le seul critère de sélection -  la gratuité étant souvent synonyme d’une réutilisation commerciale des données à d’autres fins par la solution. Il est ainsi recommandé de télécharger ces outils via une source sûre, d’analyser leur conditions générales d’utilisation, de se renseigner à tout le moins sur l’utilisation que ces solutions font des données, sur l’existence et les modalités de transfert des données vers un pays non européen. Il est en outre essentiel pour l’entreprise de privilégier des solutions qui assurent l’authentification des participants et protègent la confidentialité des échanges qui s’y tiennent ainsi que la vie privée des participants.

Sensibiliser les employés à la sécurité numérique par la communication de bonnes pratiques et inclure ces engagements au sein des documents sociaux seront, enfin, le fruit d’un travail concerté de la DSI, du DPO (délégué à la protection des données personnelles s’il a été désigné), du juriste et des ressources humaines de l’entreprise, aboutissant à la mise en place d’une politique de sécurisation des données hors entreprise. L’anticipation est désormais de mise.

Chronique rédigée par Me Claire Poirson, associée et Me Léa Monel, collaboratrice au sein du Cabinet Bersay.

[1] https://www.economie.gouv.fr/dgccrf/arnaques-liees-au-coronavirus

[2] 5ème édition du baromètre annuel de la cybersécurité des entreprises, CESIN, 24 janvier 2020

[3] Article 32 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD)

[4] Article 83 RGPD

[5]: https://www.cnil.fr/fr/les-conseils-de-la-cnil-pour-mettre-en-place-du-teletravail ; https://www.cnil.fr/fr/salaries-en-teletravail-quelles-sont-les-bonnes-pratiques-suivre ; https://www.cnil.fr/fr/byod-quelles-sont-les-bonnes-pratiques

[6] https://www.cert.ssi.gouv.fr/actualite/CERTFR-2020-ACT-002/