18 minute read
RGPD, quatre lettres magiques
13
RGPD, quatre lettres magiques
Advertisement
RGPD ... ces quatre lettres sont devenues réalité le 25 mai 2018. Cette date marque le coup d’envoi officiel du General Data Protection Regulation. Ou règlement général sur la protection des données (RGPD), en français Pour commencer, vous vous êtes peut-être posé la question suivante : mon organisation est-elle soumise à ce règlement ? Une deuxième question se pose alors : mon organisation a-t-elle le droit de traiter des données à caractère personnel ? Enfin, en ces temps de pandémie, une question non négligeable : comment puis-je sécuriser au mieux mes données en cas de travail ou de réunion à domicile ? Comme la protection de la vie privée est essentielle, nous aimerions donner ici quelques éléments de réponse.
iStockphoto.com/NicoElNino.
1. Mon organisation est-elle soumise au règlement général sur la protection des données ?
Pour faire bref, la réponse est très probablement OUI. La plupart des organisations traitent plus de données à caractère personnel qu’elles ne le pensent. Presque toutes les organisations ont : • des données sur le personnel ; • des données relatives aux clients et/ou aux fournisseurs ; • un site web ou une application. L’adresse IP est en effet également une donnée à caractère personnel. • Le règlement s’applique lorsque des données à caractère personnel sont entièrement ou partiellement traitées par des moyens automatisés ou lorsque ces données sont collectées dans un fichier. • Deux notions doivent être clarifiées ici : • données à caractère personnel : on entend par là toute information relative à une personne physique qui est identifiée ou peut être identifiée ; • traitement : presque tous les synonymes peuvent être considérés, comme la collecte, l’enregistrement, l’organisation, la structuration, l’expédition, la diffusion ou toute autre forme de mise à disposition, le rapprochement, l’effacement ou la destruction de données.
En tant qu’entreprise, vous ne pouvez pas collecter ni utiliser des données à caractère personnel comme bon vous semble. Vous pouvez traiter des données à caractère personnel si vous remplissez au moins une des six conditions suivantes.
2.1. Consentement
C’est simple : vous demandez aux personnes si elles consentent à l’utilisation de leurs données à caractère personnel. En tant qu’organisation, vous devez être en mesure de démontrer que : • ce consentement est donné librement : personne n’est mis sous pression, en étant par exemple désavantagé s’il ne donne pas son consentement ; • ce consentement est spécifique : un consentement distinct doit être octroyé pour chaque finalité ; • ce consentement est univoque : il doit s’agir d’un acte positif. Aucune case préalablement cochée ; et • vous avez suffisamment informé la personne concernée.
Vous devez indiquer quelle est votre organisation, pourquoi (la finalité) vous souhaitez traiter des données à caractère personnel et, concrètement, de quelles données à caractère personnel il s’agit. Enfin et surtout, vous veillez à ce que les personnes concernées aient le droit de modifier ou de retirer leur consentement, à tout moment.
Il n’est pas toujours facile de demander le consentement, et ce n’est malheureusement pas aussi simple qu’il y paraît.
14
2.2. C’est nécessaire à l’exécution d’un contrat
Les organisations peuvent invoquer ce fondement si le traitement repose sur un contrat et s’il faut traiter des données à caractère personnel dans ce cadre.
Par exemple : vous avez besoin de l’adresse des clients pour livrer des produits à leur domicile.
2.3. C’est nécessaire au respect d’une obligation légale
À titre d’exemple, les employeurs sont tenus de fournir les données à caractère personnel des travailleurs à l’ONSS pour que ceux-ci puissent bénéficier de prestations de sécurité sociale. Nous vous conseillons de vérifier soigneusement si ce traitement de données Le règlement général sur la protection des données est effectivement décrit dans une loi. s’applique lorsque des Attention : il n’est pas possible d’invoquer ce fondement pour une tâche très générale, comme le maintien de l’ordre public. Un tel traitement repose sur un données à caractère personnel sont entièrement ou partiellement autre fondement : l’intérêt public ou traitées par des moyens l’autorité publique. automatisés ou lorsque ces 2.4. C’est nécessaire à la données sont collectées dans un fichier.
sauvegarde d’intérêts vitaux
C’est vraiment une question de vie ou de mort. En d’autres termes, la vie ou la santé d’une personne peut être réellement en danger.
2.5. C’est nécessaire pour l’intérêt public ou l’autorité publique
Ce fondement ne peut être invoqué que si vous accomplissez une tâche publique, dans l’intérêt général ou pour l’autorité publique. Par exemple : vous êtes une commune et avez installé des caméras de surveillance dans des lieux publics pour des raisons de sécurité.
Vous pouvez invoquer ce fondement si vous remplissez trois conditions.
Condition 1 : il faut un intérêt légitime. Cet intérêt doit être licite, suffisamment clairement exprimé et il doit s’agir d’un intérêt qui existe réellement. Condition 2 : le traitement des données à caractère personnel est nécessaire à la protection de l’intérêt légitime. Vous devez veiller à ce que • la finalité du traitement soit proportionnelle à l’atteinte à la vie privée des personnes dont vous traitez les données à caractère personnel = proportionnalité ; • la finalité ne puisse être atteinte d’une autre manière, moins intrusive, pour les personnes concernées = subsidiarité.
Condition 3 : vos intérêts en tant qu’organisation et les intérêts des personnes dont vous traitez les données à caractère personnel font l’objet d’un équilibrage. Vous devez éventuellement prendre des mesures à cet égard pour garantir que les droits et libertés de ces personnes ne l’emportent pas sur votre intérêt légitime.
L’intérêt légitime peut être invoqué pour détecter une fraude ou pour envoyer à des clients existants des informations commerciales sur vos propres produits ou des services comparables.
Il est temps d’agir ! Vous vous rendez compte qu’il est maintenant temps de faire le point, tout d’abord, et de déterminer le fondement que vous pouvez invoquer pour traiter les données à caractère personnel. Prenons l’exemple du marketing direct. Les données à caractère personnel peuvent être traitées de différentes manières (via les cookies, les e-mails) et par différents canaux (utilisation d’outils, de plateformes en ligne). Le tout avec une finalité globale, à savoir le marketing direct. En vertu du RGPD, une organisation a l’obligation de tenir un registre interne des activités de traitement. Le règlement prévoit une dérogation : les organisations comptant moins de 250 travailleurs ne devraient pas avoir à tenir de registre. Dans ce cas, vous devez être en mesure de démontrer formellement, en tant qu’organisation, que les opérations de traitement : • ne présentent aucun risque pour les personnes concernées ; • ne concernent aucune donnée à caractère personnel sensible et/ou criminelle ; • sont fortuites ou se produisent de manière occasionnelle ou aléatoire et n’ont pas lieu avec une régularité particulière.
Bon à savoir : en résumé, presque toutes les organisations devront tenir un registre. En effet, comme indiqué précédemment, en tant qu’organisation, vous traiterez très probablement des données à caractère personnel sur une base régulière. Il suffit de penser aux données à caractère personnel de vos travailleurs. Vous devrez donc créer un registre interne.
L’établissement de ce registre est un document essentiel. Concrètement, un registre des activités de traitement doit contenir les informations suivantes : 1. Les finalités du traitement. Il peut s’agir, par exemple, de la gestion du personnel, du marketing direct, de la gestion des clients, de l’administration salariale, ... 2. Le type de données à caractère personnel : nom, prénom, caractéristiques personnelles, numéro de registre national, images, ... 3. Le fondement. 4. Le sous-traitant. 5. La période de conservation : combien de temps pouvez-vous conserver des données à caractère personnel ? Pour faire bref : le moins longtemps possible. Dès que votre entreprise demande des données à caractère personnel, vous êtes obligé de dire à quelles fins vous les utiliserez et pendant combien de temps vous les conserverez, précisément.
Bon à savoir : vous ne devez pas nécessairement indiquer la durée de conservation en jours, mois ou années. Une option pourrait être d’inclure une phrase comme : « les données seront conservées pendant cinq ans après le dernier contact avec le client ».
6. Une description des mesures de sécurité techniques et organisationnelles.
15
3. Quel est l’impact du RGPD sur le travail à domicile ?
Toute organisation est confrontée au défi de sécuriser correctement ses données. Aujourd’hui, ce défi est devenu encore plus important, en raison de la prévalence du travail et des réunions à domicile. C’est la raison pour laquelle il est important de considérer les éléments suivants. Il est essentiel de donner des instructions claires à vos collaborateurs.
3.1. Travail à domicile : qu’est-ce qui est autorisé et qu’est-ce qui ne l’est pas ?
Heureusement, nombre d’entre nous disposent des moyens techniques et de la possibilité de travailler à domicile. Peutêtre que la sécurité n’est pas aussi bonne qu’au bureau. Les organisations peuvent être victimes de la « fraude au président » (ou escroquerie aux faux ordres de virement), de phishing, etc.
Que pouvez-vous faire en tant qu’organisation ? • Assurez-vous que les collaborateurs utilisent à tout moment l’ordinateur portable de l’entreprise. Celui-ci doit être conforme à votre système et à votre procédure de sécurité internes. Cela vous permet d’imposer l’utilisation de mots de passe robustes et d’assurer la protection des données par le biais du cryptage.
iStockphoto.com/guvendemir.
16
iStockphoto.com/ridvan_celik.
• Veillez à ce que vos collaborateurs doivent se connecter avec une authentification à multiples facteurs ou, au moins, à deux facteurs. Malheureusement, les mots de passe ne suffisent plus. • Sensibilisez les collaborateurs aux risques liés à l’utilisation de services gratuits. Assurez-vous que vos collaborateurs connaissent les dangers de ces outils gratuits. Il se peut qu’un outil soit gratuit parce que le fournisseur utilise vos données à d’autres fins. Il est également possible qu’un tel outil soit moins sûr contre le piratage. Assurezvous que votre organisation dispose d’outils qui rendent inutile l’utilisation de services gratuits.
3.2. Travail à domicile : naviguer sans laisser de traces
Sensibilisez les collaborateurs aux cookies. Lorsque vous visitez des sites web, de nombreuses entreprises vous épient. Elles enregistrent vos habitudes de navigation dans des fichiers de cookies sur votre PC.
Que sont donc ces cookies et comment fonctionnent-ils ?
Un cookie est un petit fichier texte qu’un site web place sur le disque dur de votre ordinateur lorsque vous visitez le site. Le contenu de ce fichier texte est généralement converti en code informatique illisible. Les données proprement dites se trouvent dans une base de données du site web. La principale fonction des cookies est de distinguer un utilisateur d’un autre. Il y a souvent des cookies sur les sites web auxquels vous devez vous connecter. Un cookie fait en sorte que vous restiez connecté pendant que vous utilisez le site. Les cookies ont une durée de vie. Certains cookies sont supprimés lorsque vous fermez votre navigateur. D’autres (par exemple ceux qui contiennent des données de connexion) peuvent rester pendant des années sur votre ordinateur, si vous ne les supprimez pas.
Bon à savoir : vous ne devez pas demander le consentement pour chaque cookie. Voici un aperçu des possibilités. Il existe trois types de cookies, qui requièrent chacun une action différente du propriétaire de site web.
1. Cookies fonctionnels : ils sont nécessaires au fonctionnement d’un site web. Ils conservent par exemple les données de connexion, afin qu’un visiteur soit immédiatement reconnu et connecté la fois suivante. Ils se souviennent aussi des produits qu’un visiteur place dans le panier, etc.
Vous ne devez pas demander la permission pour les cookies fonctionnels.
2. Cookies analytiques : ils vous donnent, en tant que propriétaire de site web, un aperçu de l’utilisation de votre site web. Quelles sont les pages visitées ? Qui quitte le site web, à quel endroit ? Quels sont les boutons sur lesquels les visiteurs cliquent ? Google Analytics, entre autres, utilise des cookies analytiques.
Comme seules des données anonymes sont stockées et analysées, il suffit d’informer les visiteurs de l’existence de cookies analytiques.
3. Cookies de suivi : il s’agit de cookies de marketing qui permettent de suivre le comportement de navigation des visiteurs. Ils veillent à ce que Google AdWords et les médias sociaux affichent sur votre écran des messages et des publicités qui correspondent aux recherches récentes et aux sites web visités.
Il est obligatoire de demander et d’obtenir un consentement pour les cookies de suivi. Ce n’est qu’ensuite qu’il est autorisé de placer ces cookies qui enregistrent des données à caractère personnel.
3.3 Incidents et fuites de données
Les cybercriminels sont désormais également contraints de travailler à domicile. Concrètement, cela signifie qu’il y a plus de tentatives d’attaques de serveurs, plus de courriers électroniques de phishing et plus de tentatives de phishing via les médias sociaux, comme des messages SMS et WhatsApp. On sait que les cybercriminels profitent de la crise du coronavirus pour envoyer des courriers de phishing. Il s’agit de faux courriers électroniques contenant,
par exemple, des informations sur le coronavirus. Les criminels tentent ainsi de voler des informations ou d’installer des logiciels malveillants sur votre ordinateur. En principe, la majorité des courriers de phishing finissent dans votre boîte à spams. Il arrive cependant parfois que quelques-uns passent à travers les mailles du filet. Ce sont généralement les plus dangereux. Les cybercriminels ont de plus en plus recours aux techniques de phishing. Il semble qu’il soit beaucoup plus facile de faire cliquer quelqu’un sur un lien que de s’introduire dans son ordinateur.
La meilleure façon d’éviter une fuite de données est la prévention. Il est donc important que vos collaborateurs soient très sensibilisés à tout ce qui concerne la protection de la vie privée et la sécurité. Organisez des ateliers et des formations pour les sensibiliser aux risques. Si nécessaire, contrôlez l’application de la politique de respect de la vie privée et d’utilisation des TIC, afin que chacun sache ce qu’est un incident/une fuite de données.
Si vous n’avez pas de chance et que vous êtes confronté à une fuite de données, intervenez immédiatement. Assurezvous que votre organisation a établi un plan d’intervention en cas d’incident. Un plan d’intervention en cas d’incident vous permet de réagir rapidement, suite à une fuite de données, à l’aide d’un plan d’intervention préparé à l’avance. 1. Assurez-vous d’avoir une vue d’ensemble de la situation et, surtout, établissez qu’il y a bien eu une fuite de données. 2. Prenez immédiatement des mesures pour limiter les dégâts. Dans certains cas, il peut y avoir une fuite
« active » de données. C’est par exemple le cas lorsqu’un pirate informatique a encore accès aux données.
Des actions rapides et une bonne évaluation des risques sont nécessaires, telles que le blocage des comptes, la fermeture du réseau, etc. 3. Rassemblez autant d’informations que possible sur la fuite de données. Non seulement sur la fuite elle-même, mais aussi sur la manière dont elle a pu se produire.
Les systèmes informatiques doivent être déployés de manière à collecter automatiquement ce type d’informations. Les systèmes peuvent générer des fichiers journaux dans lesquels les modifications et les transferts de fichiers sont conservés, en lien avec les utilisateurs.
Cela vous permet de facilement voir qui a eu accès à quelles données. 4. Renseignez-vous pour savoir si vous devez notifier la fuite aux personnes concernées. Faites-le aussi rapidement possible. Si la fuite est potentiellement préjudiciable à la vie privée des personnes concernées, cette notification est obligatoire. 5. Vérifiez si vous devez effectuer une notification à l’Autorité de protection des données (APD). Vous devez le faire dans les 72 heures après avoir découvert une fuite de données. Vous êtes tenu d’effectuer une notification si la fuite de données pourrait avoir de graves conséquences pour les personnes concernées. 6. Prenez des mesures pour éviter la fuite à l’avenir. Si la fuite est due à des mesures de sécurité techniques insuffisantes, investissez dans de meilleures ressources. Organisez des formations pour vos collaborateurs.
Voici quelques conseils si vous avez malgré tout ouvert une pièce jointe ou cliqué sur un lien, en toute bonne foi. • Déconnectez votre appareil du réseau/d’Internet. Si vous êtes connecté par un câble, débranchez simplement celui-ci. Si vous êtes connecté sans fil, éteignez la WiFi.
Cela vous permettra d’éviter que d’autres personnes soient infectées et d’empêcher le pirate informatique d’envoyer des données en votre nom. • Exécutez une analyse complète des logiciels malveillants avec votre programme antivirus. Cela peut prendre un certain temps. • Changez vos mots de passe immédiatement. N’oubliez pas non plus de modifier les réponses aux questions de sécurité. • Pour éviter que d’autres personnes ne soient également victimes de phishing ou de faux e-mails, vous pouvez faire suivre ceux-ci à : suspect@safeonweb.be.
Bon à savoir : Le RGPD exige de vous, en tant qu’organisation, que vous teniez un registre des fuites de données. L’objectif d’un registre des fuites de données est de permettre à l’organisation de tirer les leçons des fuites de données précédentes et de prendre des mesures pour réduire le risque de nouvelles fuites de données.
Les informations suivantes doivent être reprises dans ce registre des fuites de données : • la date à laquelle la fuite de données s’est produite (si vous ne savez pas exactement, indiquez la période pendant laquelle elle a dû se produire) ; • la date et l’heure auxquelles vous avez découvert la fuite de données ; • le nom de la personne qui l’a découverte ; • le type de fuite de données (par exemple, une clé USB contenant des dossiers personnels a été perdue) ; • le type d’informations concernées (par exemple, des données salariales) ; • la quantité approximative de données à caractère personnel ayant fait l’objet de la fuite ; • la manière dont la fuite de données a pu se produire (par exemple, parce que le responsable des ressources humaines voulait ramener une clé USB à la maison et l’a perdue dans le train) ; • les conséquences (possibles) de la fuite de données (par exemple, des tiers savent combien ces personnes gagnent) ; • si vous avez notifié la fuite de données à l’Autorité de protection des données (APD) et, dans l’affirmative, quand précisément, et, dans la négative, pourquoi pas (par exemple, la notification n’était pas nécessaire, le personnel gagne ce que prévoit la CCT et cette information est publique) ;
17
18
• si vous avez effectué une notification dans les 72 heures suivant la découverte et, dans la négative, pourquoi vous ne l’avez pas fait ; • si vous avez notifié la fuite de données aux victimes et, dans l’affirmative, comment et quand vous l’avez fait ; • les mesures que vous avez prises pour prévenir les futures fuites (par exemple, une note de service adressée à tous les collaborateurs indiquant que le personnel ne peut plus sortir les clés USB du bureau).
3.4. Des vidéoconférences sûres
Pratiquement tout le monde participe régulièrement à des vidéoconférences en recourant à divers outils. Nous constatons que les vidéoconférences posent les mêmes problèmes de sécurité de l’information et de protection de la vie privée que les courriers électroniques. Il y aura toujours un certain degré de risque pour la sécurité et la protection de la vie privée dans le cadre de leur utilisation. Voici quelques éléments à prendre en considération lors de l’utilisation d’applications de vidéoconférence.
Problèmes liés à la sécurité technique
Vérifiez si votre outil de vidéoconférences dispose des mesures de sécurité suivantes : • chiffrement de bout en bout ; • des identifiants de réunion uniques qui ne peuvent être utilisés que par une seule personne ; • un centre de données au sein de l’UE ; • vérifiez les paramètres de votre application. Tous les paramètres de confidentialité et de sécurité ne sont pas paramétrés par défaut. Parfois, vous devez cocher ou décocher manuellement des options.
Problèmes liés aux règles d’organisation/règles internes
• Veillez à ce que l’outil soit utilisé et configuré de la manière la plus respectueuse possible de la vie privée : désactivez les fonctions de suivi (d’attention) et n’enregistrez pas la conversation. • Utilisez la salle d’attente. Les outils de réunion donnent souvent la possibilité d’aménager une salle d’attente ou un lobby. Dans ce cas, les participants se connectent et doivent être admis par l’hôte de la réunion. Cela permet à l’hôte de contrôler qui entre et quand. • Sensibilisez les collaborateurs à ce qui les entoure lorsqu’ils utilisent l’outil. Par exemple, des personnes sontelles susceptibles de les entendre, ou bien des données à caractère personnel (sensibles) sont-elles affichées pendant la vidéoconférence et la clôture de celle-ci, une fois l’appel terminé ? Gardez à l’esprit que ce dont vous discutez pourrait en principe devenir public. • Utilisez le bouton de coupure de son. Il peut être utile de couper les micros des participants. Cela permet d’éviter que des personnes perturbent la réunion et de garantir l’absence de bruit de fond. • Faites attention à ce qui est filmé. Placez hors de vue les documents et les informations confidentielles, comme celles qui figurent sur les tableaux. • Limiter les options de partage d’écran à l’hôte de la réunion. Cela permet d’éviter qu’un participant ne partage accidentellement son écran. Faites attention à ne pas partager tout l’ordinateur.
Bon à savoir : Lorsque vous travaillez à domicile, les personnes avec qui vous cohabitez peuvent entendre certains éléments de la conversation. Veillez donc à préserver le caractère confidentiel des informations de l’entreprise.
En conclusion... Ne pas respecter ces règles de protection de la vie privée peut nuire à la réputation de l’entreprise et même entraîner des amendes, si une personne dépose plainte pour violation de sa vie privée. Il est important que votre organisation soit non seulement financièrement saine, mais qu’elle respecte également les règles de protection de la vie privée. Les politiques et procédures existantes sur la manière de traiter certaines données d’entreprise doivent être mises à jour de toute urgence. N’attendez pas trop longtemps, le COVID-19 ne doit pas devenir une excuse pour ignorer les règles de protection de la vie privée.
iStockphoto.com/ipopba.
