Accueil>Durant la crise, le télétravail a renforcé les enjeux de protection des données
18.06.2020
Durant la crise, le télétravail a renforcé les enjeux de protection des données
En accélérant la digitalisation des organisations et en développant massivement le télétravail, l'épidémie de Covid-19 a imposé aux entreprises une attention renouvelée à la protection des données. Les explications de Merav Griguer, avocate associée chez Bird & Bird et directrice du Certificat Data Protection Officer de Sciences Po Executive Education et de Mounir Mahjoubi, député de Paris, ancien secrétaire d'Etat chargé du numérique et intervenant à Sciences Po.
La période du confinement a-t-elle entraîné une dynamique durable autour de la numérisation des entreprises ?
Mounir Mahjoubi - Nous avons pu observer, dans certains domaines, une dynamique extraordinaire. Elle a permis, en quelques semaines, des avancées qui auraient normalement pris plusieurs années. C'est le cas dans le secteur de la relation client. Une accélération considérable a été réalisée dans la façon de « recruter » des clients (publicité, communication) ou de vendre (actes d'achat et de paiement). La progression a été également impressionnante concernant la transformation numérique de l'organisation de l'entreprise. Beaucoup de réflexions ont été menées dans les sociétés autour du télétravail. Quels outils utiliser pour partager l'information, mais aussi pour prendre des décisions ou donner du rythme à notre travail ? Chaque entreprise s'est adaptée en fonction de sa culture.
Ce développement du travail à distance a-t-il renouvelé, pour les entreprises, les enjeux de sécurisation des échanges et de protection des données ?
Merav Griguer - C'est évidemment un sujet d'importance : la digitalisation observée est source de fragilité concernant l'accessibilité aux données à caractère personnel. Dans beaucoup d'entreprises, comme les banques ou les assurances, les salariés ont dû travailler à distance tout en ayant accès à des informations sensibles : données de leurs clients, bases de données CRM... La généralisation du télétravail suppose d'avoir un dispositif matériel adapté (un VPN ou réseau privé virtuel par exemple) assurant la sécurité des échanges et du système d'information lui-même. Or toutes les entreprises n'étaient pas prêtes à 100 % et équipées pour assurer un niveau de sécurité maximal.
« La généralisation du télétravail suppose d'avoir un dispositif matériel adapté (...) assurant la sécurité des échanges et du système d'information lui-même »
Merav Griguer
avocate associée chez Bird & Bird et directrice du Certificat Data Protection Officer de Sciences Po Executive Education
Cette accélération de la digitalisation impose-t-elle de définir et de diffuser des bonnes pratiques ?
Merav Griguer - Les entreprises ne sont pas toutes égales à ce sujet. Celles qui ont mis en place le télétravail depuis plusieurs années avaient déjà établi des bonnes pratiques. La situation a en revanche été très différente pour les organisations ayant agi dans l'urgence lors du confinement. Face à une telle situation, il est important qu'elles aient pu faire passer quelques messages clés aux collaborateurs à distance. L'un d'eux concerne la confidentialité des données : lorsque vous télétravaillez, vous devez vous assurer que personne n'accède physiquement aux informations que vous consultez ou produisez - qu'il s'agisse des données à caractère personnel ou plus largement du patrimoine informationnel de l'entreprise. Rappelons que la confidentialité peut être violée par le simple regard d'une tierce personne sur l'écran. La violation du RGPD (Règlement général sur la protection des données) étant, en pareil cas, caractérisée. Mais s'il est nécessaire d'encadrer les pratiques, il faut également appeler les collaborateurs au bon sens. Un bon sens qui impose par exemple qu'on verrouille son ordinateur lorsqu'on le laisse brièvement sans surveillance. Cela peut par exemple éviter qu'un enfant ne se serve du clavier et ne menace ainsi l'intégrité des données.
Avec la crise, certaines entreprises ont été en possession de nouvelles données personnelles relatives aux cas et aux suspicions de Covid-19. Leur stockage numérique est-il un autre point d'attention pour les organisations ?
Merav Griguer - Oui, c'est même un point crucial pour elles. Stocker des données à caractère personnel, et plus encore des données sensibles de santé, augmente les risques de violation et d'accessibilité à ces informations confidentielles. Un risque qui s'accroît évidemment avec la durée de stockage. C'est un point de vigilance qui a été souligné par la Commission nationale de l'informatique et des libertés (CNIL). Sa présidente, Marie-Laure Denis, a d'ailleurs indiqué que l'arrêt de l'utilisation et de la conservation de ces données devrait intervenir avant la fin de la crise.
La digitalisation observée dans les entreprises durant cette crise se retrouve-t-elle également au sein de la société ? Observe-t-on une plus grande appréhension des outils numériques ?
Mounir Mahjoubi - Nous avons pu en effet le constater durant le confinement. Lorsqu'elles avaient la possibilité de se connecter à un ordinateur ou un smartphone, les personnes âgées ou isolées ont par exemple pu développer des usages à fort impact humain. Le numérique leur a permis de se rapprocher de leurs familles, de s'informer, de prendre des décisions médicales... Au-delà, ces pratiques leur ont permis de gagner en maturité dans l'usage des technologies. C'est d'ailleurs une bonne nouvelle pour la sécurité des individus en ligne et celle de leurs données. Les risques s'effacent et la protection augmente lorsque les outils sont utilisés régulièrement et avec une maîtrise croissante.
« On doit recourir aux technologies seulement lorsque cela est fondamentalement nécessaire et efficace, et non de manière systématique. »
L'application StopCovid a été déployée début juin en France. Elle avertit ses utilisateurs lorsqu'ils ont été à proximité de personnes diagnostiquées positives au Covid-19 durant un certain temps. A-t-on l'assurance qu'elle garantisse la protection des do
Mounir Mahjoubi - Pour cette application, les pouvoirs publics ont fait le choix d'une architecture protectrice. Elle ne collecte aucune donnée nominative et ne permet pas d'identification. StopCovid ne donne pas davantage la possibilité de stocker les données médicales. Impossible, donc, de reconstituer une liste de personnes positives. C'est donc uniquement un dispositif d'alerte entre utilisateurs. Si un débat doit avoir lieu autour de cette application, ce n'est donc pas sur la protection des données mais bien davantage sur son utilité et son efficacité.