RGPD : Les enjeux du travail nomade ou à domicile

De plus en plus d’employés travaillent à distance. Qu’ils soient à la maison, en voyage d’affaires ou en déplacement, des dispositions doivent être prises afin de s’assurer que les données ne soient pas utilisées à mauvais escient, égarées ou détournées.

Cela signifie généralement, crypter les données, créer des politiques de gestion des accès ou encore fournir des logiciels de sécurité pour les appareils des employés. Mais avec l’approche de la date butoir de mise en application du Règlement Général Européen sur la Protection des Données (RGPD), les entreprises doivent s’assurer de répondre aux exigences.

Voici les problématiques sur lesquelles les entreprises doivent se tenir informées :

 

Protection des données

Lorsqu’une entreprise crée une nouvelle méthode d’accès aux données, elle accroit les risques pour les données. Le travail à distance amplifie les risques puisqu’il est plus compliqué pour les employés et l’entreprise de savoir si les données ont été corrompues et encore plus difficile d’en identifier les raisons.

Les entreprises doivent corriger les faiblesses de leurs réseaux et de leurs méthodes de stockage physique de données. La plupart des employés à distance devront, par nécessité, déplacer les données (ou les appareils qui peuvent accéder aux données) dans les espaces publics. Il peut alors y avoir un risque de perte de données. De nombreuses violations de données ont eu lieu du fait de documents oubliés dans un train, de clés USB tombées de la poche d’une personne ou d’ordinateurs portables volés.

Bien qu’il soit compliqué d’empêcher la perte de données (les entreprises ne peuvent que créer des politiques de protection des données strictes), il y a certains moyens de limiter les dommages une fois les données compromises. Par exemple, la mise en place des droits d’accès stricts qui permettraient de limiter l’accès aux données d’entreprise en cas de vol d’appareils ou d’ordinateurs d’employés.

Les entreprises doivent également protéger les données conservées sur ces appareils. Ces résultats peuvent être obtenus via le cryptage ou la « pseudonymisation » des données avant transfert (expliqué de manière plus détaillée ci-dessous).

 

Confidentialité

Afin de protéger les ordinateurs portables et autres appareils de travail contre les mauvaises utilisations, les entreprises peuvent être tentées de mettre en place des logiciels permettant de contrôler l’utilisation des appareils par les employés (ou les criminels). Il y a plein de logiciels capables de contrôler les frappes claviers ou mouvements de souris, mais cela pose des problèmes de conformité au RGPD.

En effet, les employés travaillant à distance peuvent avoir des horaires irréguliers ou utiliser les appareils pour des raisons personnelles et professionnelles, il est donc impossible de faire la différence entre le contrôle du travail des employés et la vie privée. Par conséquent, il n’y a pas de moyen de contrôler les appareils sans pour autant violer les droits à la vie privée des employés.

Il sera également compliqué de trouver des bases légitimes au traitement des données. Comme l’indique l’article 29 du Working Party : « Les technologies qui contrôlent les communications peuvent […] avoir un effet négatif sur les droits fondamentaux des employés d’organiser des réunions d’employés et de communiquer de manière confidentielle (y compris le droit d’obtenir des informations). »

« Du fait des capacités de telles technologies, les employés peuvent ne pas être conscients de quelles données personnelles sont traitées et à quelles fins ou bien même de l’existence de ces technologies de contrôles elles-mêmes. »

 

Transferts de données

Lorsque des données sont transférées d’un endroit à l’autre, elles doivent être « pseudonymisées » ou cryptées afin d’empêcher toute divulgation.

La « pseudonymisation » masque les données en remplaçant l’identification des informations grâce à des identifiants artificiels. Bien qu’il soit essentiel de protéger des données – mentionné 15 fois dans le RGPD – que cela puisse aider à protéger la confidentialité et la sécurité des données personnelles, la « pseudonymisation » a ses limites ; c’est pourquoi le RGPD mentionne le cryptage.

Toute comme la « pseudonymisation », le cryptage dissimule l’information en remplacant les identifiants par autre chose. Cependant, si la « pseudonymisation » permet à toute personne d’accéder aux données afin de voir une partie de la série de données, le cryptage permet uniquement aux utilisateurs autorisés d’accéder à la série de données complète. « Pseudonymisation » et cryptage peuvent être utilisés séparément ou de manière simultanée.

 

En savoir plus sur le RGPD

Vous souhaitez en savoir plus sur le RGPD ? Inscrivez-vous à l’une de nos formations RGPD.

Selon votre niveau de connaissance, l’une des formations ci-dessous peut vous intéresser :

Formation certifiée d’introduction au Règlement Général Européen sur la Protection des Données (RGPD)

Formation certifiée de spécialisation au Règlement Général Européen sur la Protection des Données (RGPD)

Bénéficiez de 15% de réduction en réservant ces cours simultanément via notre offre de formation combinée.

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.