Comment gérer le télétravail en entreprise ?

Si jusqu’à présent le télétravail s’avérait être une pratique modestement développée en France, son recours, notamment depuis la pandémie Covid19 semble être de plus en plus courant. Une fois n’est pas coutume, de nouveaux dispositifs entraînent la mise en œuvre de nouvelles modalités et bonnes pratiques en matière de protection des données personnelles…

 

Recommandations à destination des employeurs :

  • Editez une charte de sécurité dans le cadre du télétravail : à l’image d’une charte informatique ou d’un règlement intérieur, il s’agit d’un document permettant d’encadrer le télétravail au sein de votre structure. Ce document pourra par exemple être transmis au salarié dès l’embauche, en annexe à son contrat de travail.
  • Sensibilisez votre personnel aux notions de cybersécurité et de protection des données personnelles.
  • Equipez tous les postes de travail de vos salariés en télétravail, à minima d’un pare-feu, d’un antivirus et d’un outil de blocage de l’accès aux sites malveillants.
  • Mettez en place un VPN afin d’éviter l’exposition directe de vos services sur le net.
  • Mettez à la disposition de vos salariés une liste d’outils de communication appropriés permettant de garantir la confidentialité des données partagées et/ou échangées : préférez par exemple des outils tels que SwissTransfer ou Smash (plutôt que WeTransfer), plus soucieux de la vie privée et permettant notamment de sécuriser les échanges et partages de fichiers (mots de passe ; limitation du nombre de téléchargements ; délai d’expiration ; etc).
  • Utilisez des protocoles garantissant la confidentialité et l’authentification du serveur destinataire : HTTPS pour les sites internet.
  • Tracez les accès et gérez les incidents de sécurité en mettant en place un système de journalisation : il s’agit d’un enregistrement des logs (ou fichiers journaux) des activités des utilisateurs permettant de retracer les anomalies et évènements liés à la sécurité. Attention, vous devrez toutefois informer le salarié de la mise en place d’un tel système, la journalisation constituant un traitement de données à caractère personnel à part entière !

Veuillez noter qu’un employeur reste responsable de la sécurité des données personnelles de son entreprise, y compris lorsqu’elles sont stockées sur des terminaux dont il n’a pas la maîtrise mais dont il a autorisé l’utilisation : plus communément connu sous l’acronyme de BYOD (Bring Your Own Device) il s’agit de l’utilisation par les salariés de leur équipement personnel (téléphone portable, ordinateur, tablette, etc).

­Utilisation d’un ordinateur personnel :

  • ­Installation d’un antivirus et d’un pare-feu ;
  • Mise à jour régulière du système d’exploitation et des logiciels utilisés ;
  • Utilisation de mots de passe forts sur l’ensemble des services et sessions utilisateur et renouvellement régulier ;
  • Solution de sauvegarde automatique du travail.

Utilisation d’un téléphone personnel :

  • Limitation de l’enregistrement d’informations confidentielles : coordonnées bancaires, codes d’accès, etc…
  • Verrouillage automatique du téléphone ;
  • Activation du chiffrement des informations ;
  • Limitation des connexions à un WI-FI public et non sécurisé.

Vous souhaitez être accompagné dans la mise en conformité au RGPD de votre structure ? Contactez l’Agence RGPD la plus proche : Nos agences.

Vous souhaitez tester la conformité de votre structure ? L’Agence RGPD met à votre disposition sur son site internet, un quizz rapide qui ne vous prendra que quelques minutes : testez ma conformité !

Quelles durées de conservation appliquer dans le cadre de la prospection ?

Données des clients utilisées à des fins de prospection commerciale :

  • Jusqu’à l’exercice du droit d’opposition ou le retrait du consentement ;

OU, au plus tard

  • En base active, le temps de la relation commerciale ;
  • En archivage intermédiaire pour une durée maximale de 3 ans à compter de la fin de la relation commerciale.

 

Données de prospect non-client :

  • Jusqu’à l’exercice du droit d’opposition ou le retrait du consentement ;

OU, au plus tard

  • Pendant 3 ans à compter de leur collecte par le responsable de traitement ou du dernier contact émanant du prospect (ex : demande de documentation, clic sur un lien hypertexte contenu dans un courriel de prospection). La simple ouverture d’un mail ne devrait pas être considérée comme un contact émanant du prospect.
  • Au terme de ce délai, le responsable de traitement pourra reprendre contact avec la personne concernée afin de savoir si elle souhaite continuer à recevoir des sollicitations commerciales. En l’absence de réponse positive, il conviendra de supprimer les données.
Les données publiquement accessibles sur le web peuvent-elles être utilisées à des fins de prospection commerciale ?

Si les données à caractère personnel sont librement accessibles, elles ne sont pour autant pas librement réutilisables à des fins de prospection. Autrement dit, le responsable de traitement qui entend « aspirer » des données publiques afin de les réutiliser pour ses opérations de prospection, doit se poser plusieurs questions :

  • Quelle est la base légale mobilisable pour cette opération de collecte ? 
  • Quelles sont les attentes raisonnables des personnes concernées ? 

Cas pratique : une personne publie sur un site de ventes entre particulier, une annonce, incluant son numéro de téléphone. La CNIL a considéré que le consentement de la personne concernée était requis.

Bien sûr, la personne concernée devra être informée de cette collecte indirecte, dans les conditions prévues par l’article 14 du RGPD.

Enfin, la transmission des données personnelles à des partenaires à des fins de prospection est également encadrée au sein d’un référentiel publié par la CNIL le 3 février 2022 relatif au traitements de données mis en œuvre aux fins de gestion des activités commerciales

Vite, j’accède au référentiel publié par la CNIL.

Restez informé !

Des nouveautés RGPD

Suivez les actualités et les évolutions de la réglementation relative à la protection des données et profitez des conseils de l’Agence RGPD.



    Les informations recueillies sur ce formulaire permettent à l’Agence RGPD de vous transmettre sa Newsletter mensuelle. Les champs « * » sont indispensable à cette fin ; la non-fourniture de ces données entraine l’impossibilité pour nous de vous transmettre notre Newsletter.
    Pour en savoir plus sur la gestion de vos données personnelles et pour exercer vos droits, cliquez ici»