Si jusqu’à présent le télétravail s’avérait être une pratique modestement développée en France, son recours, notamment depuis la pandémie Covid19 semble être de plus en plus courant. Une fois n’est pas coutume, de nouveaux dispositifs entraînent la mise en œuvre de nouvelles modalités et bonnes pratiques en matière de protection des données personnelles…
Recommandations à destination des employeurs :
- Editez une charte de sécurité dans le cadre du télétravail : à l’image d’une charte informatique ou d’un règlement intérieur, il s’agit d’un document permettant d’encadrer le télétravail au sein de votre structure. Ce document pourra par exemple être transmis au salarié dès l’embauche, en annexe à son contrat de travail.
- Sensibilisez votre personnel aux notions de cybersécurité et de protection des données personnelles.
- Equipez tous les postes de travail de vos salariés en télétravail, à minima d’un pare-feu, d’un antivirus et d’un outil de blocage de l’accès aux sites malveillants.
- Mettez en place un VPN afin d’éviter l’exposition directe de vos services sur le net.
- Mettez à la disposition de vos salariés une liste d’outils de communication appropriés permettant de garantir la confidentialité des données partagées et/ou échangées : préférez par exemple des outils tels que SwissTransfer ou Smash (plutôt que WeTransfer), plus soucieux de la vie privée et permettant notamment de sécuriser les échanges et partages de fichiers (mots de passe ; limitation du nombre de téléchargements ; délai d’expiration ; etc).
- Utilisez des protocoles garantissant la confidentialité et l’authentification du serveur destinataire : HTTPS pour les sites internet.
- Tracez les accès et gérez les incidents de sécurité en mettant en place un système de journalisation : il s’agit d’un enregistrement des logs (ou fichiers journaux) des activités des utilisateurs permettant de retracer les anomalies et évènements liés à la sécurité. Attention, vous devrez toutefois informer le salarié de la mise en place d’un tel système, la journalisation constituant un traitement de données à caractère personnel à part entière !
Veuillez noter qu’un employeur reste responsable de la sécurité des données personnelles de son entreprise, y compris lorsqu’elles sont stockées sur des terminaux dont il n’a pas la maîtrise mais dont il a autorisé l’utilisation : plus communément connu sous l’acronyme de BYOD (Bring Your Own Device) il s’agit de l’utilisation par les salariés de leur équipement personnel (téléphone portable, ordinateur, tablette, etc).
Utilisation d’un ordinateur personnel :
- Installation d’un antivirus et d’un pare-feu ;
- Mise à jour régulière du système d’exploitation et des logiciels utilisés ;
- Utilisation de mots de passe forts sur l’ensemble des services et sessions utilisateur et renouvellement régulier ;
- Solution de sauvegarde automatique du travail.
Utilisation d’un téléphone personnel :
- Limitation de l’enregistrement d’informations confidentielles : coordonnées bancaires, codes d’accès, etc…
- Verrouillage automatique du téléphone ;
- Activation du chiffrement des informations ;
- Limitation des connexions à un WI-FI public et non sécurisé.
Vous souhaitez être accompagné dans la mise en conformité au RGPD de votre structure ? Contactez l’Agence RGPD la plus proche : Nos agences.
Vous souhaitez tester la conformité de votre structure ? L’Agence RGPD met à votre disposition sur son site internet, un quizz rapide qui ne vous prendra que quelques minutes : testez ma conformité !
