Archives pour la catégorie rgpd

RGPD. BEST-PRACTICES ET PLANS D’ACTIONS

Le mois de janvier est consacré au RGDP, que j’appelle dans mes travaux un amplificateur de risques (p.47, chapitre 1) / https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html
Après le rappel du contexte réglementaire, les 1eréléments de bilan 2020 et les sanctions (Carrefour et Carrefour Banque, Google, H&M) je vous propose, à partir d’éléments communiqués par l’entreprise toulousaine I-Trust (Editeur de solutions de Cybersécurité), une synthèse de best practices issues des règles de l’ANSSI et des recommandations de la CNIL. Autant de best pratices à suivre et de plans d’actions à mettre en œuvre.

Les règles de conformité RGPD imposent aux entreprises de se sécuriser selon les meilleures pratiques issues des :

Les règles d’hygiènes et bonnes pratiques de l’ANSSI

# 4 : Identifier les informations et serveurs les plus sensibles et maintenir un schéma du réseau.

Maintenir la cartographie du SI et des informations sensibles via les tags RGPD.

# 5 : Disposer d’un inventaire des comptes privilégiés et les maintenir à jour.

Identifier les comptes privilégiés et de vérifier en continu leur mise à jour. 

# 7 : Autoriser la connexion au réseau de l’entité aux seuls équipements maîtrisés.

Détecter la connexion d’appareils étrangers au SI.

#8 : Identifier nommément chaque personne accédant au système et distinguer les rôles utilisateur/administrateur. Journalisation activée.

Détecter les comportements malveillants sur les opérations de comptes et les partages réseaux. 

Détecter les bruits de force de compte. 

# 10 : Définir et vérifier des règles de choix et de dimensionnement des mots de passe.

Détecter des mots de passe triviaux actifs sur le réseau.

# 12 : Changer les éléments d’authentification par défaut sur les équipements et services.

Détecter les mots de passe par défaut sur les équipements et services.

# 14 : Mettre en place un niveau de sécurité minimal sur l’ensemble du parc informatique. Cette règle concerne essentiellement des points de configuration (chiffrement disque, désactivation autorun, etc.).

# 18 : Chiffrer les données sensibles transmises par voie Internet.

Détecter la présence de services d’échange ou d’interface de connexion non sécurisés.

# 20 : S’assurer de la sécurité des réseaux d’accès Wi-Fi et de la séparation des usages.

Scanner la sécurité des équipements impliqués dans le WiFi (bornes, routeur, etc.)

#21 : Utiliser des protocoles réseaux sécurisés dès qu’ils existent.

Détecter les services en écoute qui ne garantissent pas la sécurité des transmissions.

# 22 : Mettre en place une passerelle d’accès sécurisé à Internet.

Scanner la sécurité de cette passerelle.

#34 : Définir une politique de mise à jour des composants du système d’information.

Détecter les problèmes d’obsolescence des composants.

#36 : Activer et configurer les journaux des composants les plus importants.

Effectuer une étude contextuelle du SI. Journaliser les éléments suivants : > pare-feu : paquets bloqués ; > systèmes et applications : authentifications et autorisations (échecs et succès), arrêts inopinés ; > services : erreurs de protocoles (par exemples les erreurs 403, 404 et 500 pour les services HTTP), traçabilité des flux applicatifs aux interconnexions (URL sur un relai HTTP, en-têtes des messages sur un relai SMTP, etc.). Pour se faire un centre opérationnel de sécurité doit être installé. 

#38 : Procéder à des contrôles et audits de sécurité régulier puis appliquer les actions correctives associées.

Auditer le réseau en continu et éliminer les vulnérabilités évidentes pour que les auditeurs puissent se concentrer sur les failles cachées.

Procéder à des contrôles et audits de sécurité réguliers pour appliquer les actions correctives associées. 

# 40 : Définir une procédure de gestion des incidents.

Surveiller en continu toute intrusion ou malveillance présente sur le SI.

# 42 : Privilégier l’usage de produits et de services qualifiés par l’ANSSI.

Obtenir la certification CSPN.

Les règles de la CNIL. Les fiches CNIL sur la sécurité des données personnelles. 

#Fiche 1 : Sensibiliser les utilisateurs

Formation au RGPD pour faire le point sur les nouvelles règles et connaître les outils qui sont obligatoires depuis mai 2018, afin de lancer la mise en conformité au plus tôt dans votre organisme.

Cette formation est adressée aux CIL/DPO/DSI/RSSI/Responsable qualité et conformité.

#Fiche 2 : Authentifier les utilisateurs.

Cartographie de l’ensemble du SI permettant de détecter la connexion d’appareils étrangers au SI. Il permet de détecter les protocoles d’accès et d’authentification (ssh/smtp/FTP/…)

#Fiche 3 : Gérer les habilitations.

#Fiche 4 : Tracer les accès et gérer les incidents.

#Fiche 5 : Sécuriser les postes de travail. 

#Fiche 6 : Sécuriser l’informatique mobile. 

#Fiche 7 : Protéger le réseau informatique interne.

#Fiche 8 : Sécuriser les serveurs.

#Fiche 9 : Sécuriser les sites web.

Cartographie de l’ensemble du réseau. Note de criticité et correctifs associés. Identification des vulnérabilités et logiciels non mis à jour de la plupart des périphériques et applications, y compris les firewalls, les serveurs, les systèmes d’exploitation de bureau, les imprimantes, les appareils sans fil, ainsi que de nombreux autres éléments.

RGPD. SANCTIONS. CARREFOUR. GOOGLE. H&m.

Le mois de janvier est consacré au RGDP, que j’appelle dans mes travaux un amplificateur de risques (p.47, chapitre 1) / https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Au programme :

  • article / sanctions Carrefour France (2,25 millions euros) et Carrefour Banque (800 000 euros) / avec les délibérations et pour approfondir les références aux articles de la CNIL
  • article / sanctions Google LLC (60 millions d’euros) et Google Ireland Limited (40 millions d’euros)
  • article sanctions H&M (35 millions d’euros)

Sanctions de 2 250 000 euros et de 800 000 euros pour les sociétés CARREFOUR FRANCE et CARREFOUR BANQUE

26 novembre 2020


Saisie de plusieurs plaintes, la CNIL a sanctionné deux sociétés du groupe CARREFOUR pour des manquements au RGPD concernant notamment l’information délivrée aux personnes et le respect de leurs droits.

Saisie de plusieurs plaintes à l’encontre du groupe CARREFOUR, la CNIL a effectué des contrôles entre mai et juillet 2019 auprès des sociétés CARREFOUR FRANCE (secteur de la grande distribution) et CARREFOUR BANQUE (secteur bancaire). À cette occasion, la CNIL a constaté des manquements concernant le traitement des données des clients et des utilisateurs potentiels. La Présidente de la CNIL a donc décidé d’engager une procédure de sanction à l’encontre de ces sociétés.

À l’issue de cette procédure, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a effectivement considéré que les sociétés avaient manqué à plusieurs obligations prévues par le RGPD.

Elle a ainsi sanctionné la société CARREFOUR FRANCE d’une amende de 2 250 000 euros et la société CARREFOUR BANQUE d’une amende de 800 000 euros. En revanche, elle n’a pas prononcé d’injonction dès lors qu’elle a constaté que des efforts importants avaient permis la mise en conformité sur tous les manquements relevés.

Des manquements à l’obligation d’informer les personnes (article 13 du RGPD)

L’information fournie aux utilisateurs des sites carrefour.fr et carrefour-banque.fr comme aux personnes désirant adhérer au programme de fidélité ou à la carte Pass n’était pas facilement accessible (accès à l’information trop compliqué, dans des documents très longs contenant d’autres informations), ni facilement compréhensible (information rédigée en des termes généraux et imprécis, utilisant parfois des formulations inutilement compliquées). De plus, elle était incomplète en ce qui concerne la durée de conservation des données.

Concernant le site carrefour.fr, l’information était également insuffisante en ce qui concerne les transferts de données hors de l’Union européenne et la base légale des traitements (fichiers).

Sur ce point, les sociétés ont modifié leurs mentions d’information et sites web durant la procédure pour se mettre en conformité.

Des manquements relatifs aux cookies (article 82 de la loi Informatique et Libertés)

La CNIL a constaté que, lorsqu’un utilisateur se connectait au site carrefour.fr ou au site carrefour-banque.fr, plusieurs cookies étaient automatiquement déposés sur son terminal, avant toute action de sa part. Plusieurs de ces cookies servant à la publicité, le consentement de l’utilisateur aurait pourtant dû être recueilli avant le dépôt.

Les sociétés ont modifié, durant la procédure, le fonctionnement de leurs sites web. Plus aucun cookie publicitaire n’est désormais déposé avant que l’utilisateur n’ait donné son accord.

Un manquement à l’obligation de limiter la durée de conservation des données (article 5.1.e du RGPD)

La société CARREFOUR FRANCE ne respectait pas les durées de conservation des données qu’elle avait fixées. Les données de plus de vingt-huit millions de clients inactifs depuis cinq à dix ans étaient ainsi conservées dans le cadre du programme de fidélité. Il en était de même pour 750 000 utilisateurs du site carrefour.fr inactifs depuis cinq à dix ans.

Par ailleurs, en l’espèce, la formation restreinte considère qu’une durée de conservation de 4 ans des données clients après leur dernier achat est excessive. En effet, cette durée, initialement retenue par la société, excède ce qui apparaît nécessaire dans le domaine de la grande distribution, compte tenu des habitudes de consommation des clients qui font principalement des achats réguliers. 

Pendant la procédure, la société CARREFOUR FRANCE a engagé d’importants moyens pour procéder aux modifications nécessaires à sa mise en conformité avec le RGPD. Toutes les données trop anciennes ont notamment été supprimées.

Un manquement à l’obligation de faciliter l’exercice des droits (article 12 du RGPD)

La société CARREFOUR FRANCE exigeait, sauf pour l’opposition à la prospection commerciale, un justificatif d’identité pour toute demande d’exercice de droit. Cette demande systématique n’était pas justifiée dès lors qu’il n’existait pas de doute sur l’identité des personnes exerçant leurs droits. Par ailleurs, la société n’a pas été en mesure de traiter dans les délais exigés par le RGPD plusieurs demandes d’exercice de droits.

Sur ces deux points, la société a modifié ses pratiques durant la procédure. Elle a notamment déployé d’importants moyens humains et organisationnels pour répondre à l’ensemble des demandes reçues dans un délai inférieur à un mois.

Un manquement au respect des droits (articles 15, 17 et 21 du RGPD et L34-5 du Code des postes et des communications électroniques)

Tout d’abord, la société CARREFOUR FRANCE n’a pas donné suite à plusieurs demandes de personnes souhaitant accéder à leurs données personnelles. La société s’est rapprochée de toutes les personnes concernées durant la procédure.

Ensuite, dans plusieurs cas, la société n’a pas procédé à l’effacement de données demandé par plusieurs personnes alors qu’elle aurait dû le faire. Sur ce point également, la société a fait droit à toutes les demandes durant la procédure.

Enfin, la société n’a pas pris en compte plusieurs demandes de personnes s’étant opposées à recevoir de la publicité par SMS ou courrier électronique, notamment en raison d’erreurs techniques ponctuelles. La société s’est mise en conformité durant la procédure sur ce point également.

Un manquement à l’obligation de traiter les données de manière loyale (article 5 du RGPD)

Lorsqu’une personne souscrivant à la carte Pass (carte de crédit pouvant être rattachée au compte fidélité) souhaitait également adhérer au programme de fidélité, elle devait cocher une case indiquant qu’elle acceptait que CARREFOUR BANQUE communique à « Carrefour fidélité » son nom, son prénom et son adresse de courrier électronique. CARREFOUR BANQUE indiquait explicitement qu’aucune autre donnée n’était transmise. La CNIL a pourtant constaté que d’autres données étaient transmises, comme l’adresse postale, le numéro de téléphone et le nombre de ses enfants, bien que la société se fût engagée à ne transmettre aucune autre donnée.

Sur ce point, la société a modifié ses pratiques durant la procédure. Elle a entièrement refondu son parcours de souscription en ligne à la carte Pass et les personnes sont désormais informées de l’ensemble des données transmises à la société CARREFOUR FRANCE.

Les délibérations

> Délibération de la formation restreinte n° SAN-2020-008 du 18 novembre 2020 concernant la société CARREFOUR FRANCE 

> Délibération de la formation restreinte n° SAN-2020-009 du 18 novembre 2020 concernant la société CARREFOUR BANQUE 

Pour approfondir

> La procédure de sanction

Les textes de référence

> Article 5 du règlement général sur la protection des données (principes relatifs au traitement des données personnelles) 

> Article 5.1.e du RGPD (conservation des données) 

> Article 12 du RGPD (transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée) 

> Article 13 du RGPD (informations à fournir lorsque des données personnelles sont collectées auprès de la personne concernée) 

> Article 15 du RGPD (droits de la personne concernée) 

> Article 17 du RGPD (droit à l’effacement ou droit à l’oubli) 

> Article 21 du RGPD (droit d’opposition) 

> Article 82 de la loi Informatique et Libertés (droits et obligations propres aux traitements dans le secteur des communications électroniques) 

> Article L34-5 du Code des postes et des communications électroniques 

Cookies : sanction de 60 millions d’euros à l’encontre de GOOGLE LLC et de 40 millions d’euros à l’encontre de GOOGLE IRELAND LIMITED

10 décembre 2020

Le 7 décembre 2020, la formation restreinte de la CNIL a sanctionné les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED d’un montant total de 100 millions d’euros d’amende, notamment pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs du moteur de recherche google.fr sans consentement préalable ni information satisfaisante.

Le 16 mars 2020, la CNIL a effectué un contrôle en ligne sur le site web google.fr qui a permis de constater que lorsqu’un utilisateur se rendait sur ce site, des cookies étaient automatiquement déposés sur son ordinateur, sans action de sa part. Plusieurs de ces cookies poursuivaient un objectif publicitaire.

Les manquements à la loi Informatique et Libertés

La formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a relevé trois violations à l’article 82 de la loi Informatique et Libertés :

Un dépôt de cookies sans recueil préalable du consentement de l’utilisateur

Lorsqu’un utilisateur se rendait sur la page google.fr, plusieurs cookies poursuivant une finalité publicitaire étaient automatiquement déposés sur son ordinateur sans action de sa part.

Ce type de cookies ne pouvant être déposé sans que l’utilisateur ait exprimé son consentement, la formation restreinte a considéré que les sociétés n’avaient pas respecté l’exigence prévue par l’article 82 de la loi Informatique et Libertés de recueil préalable du consentement avant le dépôt de cookies non essentiels au service.

Un défaut d’information des utilisateurs du moteur de recherche google.fr

Lorsqu’un utilisateur se rendait sur la page google.fr, un bandeau d’information s’affichait en pied de page, portant la mention suivante « Rappel concernant les règles de confidentialité de Google » en face de laquelle figuraient deux boutons intitulés « Me le rappeler plus tard » et « Consulter maintenant ».

Ce bandeau ne fournissait à l’utilisateur aucune information relative aux cookies qui avaient pourtant déjà été déposés sur son ordinateur, dès son arrivée sur le site. Cette information ne lui était pas non plus fournie lorsqu’il cliquait sur le bouton « Consulter maintenant ».

La formation restreinte a donc estimé que l’information fournie par les sociétés ne permettait pas aux utilisateurs résidant en France d’être préalablement et clairement renseignés quant au dépôt de cookies sur leur ordinateur ni, par conséquent, des objectifs de ces cookies et des moyens mis à leur disposition quant à la possibilité de les refuser.

La défaillance partielle du mécanisme « d’opposition »

Lorsqu’un utilisateur désactivait la personnalisation des annonces sur la recherche Google en recourant au mécanisme mis à sa disposition à partir du bouton « Consulter maintenant », un des cookies publicitaires demeurait stocké sur son ordinateur et continuait de lire des informations à destination du serveur auquel il est rattaché.

La formation restreinte a donc estimé que le mécanisme « d’opposition » mis en place par les sociétés était partiellement défaillant, en violation de l’article 82 de la loi Informatique et Libertés.

La sanction prononcée par la formation restreinte

La formation restreinte a sanctionné la société GOOGLE LLC d’une amende de 60 millions d’euros et la société GOOGLE IRELAND LIMITED d’une amende de 40 millions d’euros, rendues publiques.

La formation restreinte a justifié ces montants au regard de la gravité du triple manquement précité à l’article 82 de la loi Informatique et Libertés.

Elle a également souligné la portée du moteur de recherche Google Search en France et le fait que les pratiques des sociétés ont affecté près de cinquante millions d’utilisateurs.

Enfin, elle a relevé les bénéfices considérables que les sociétés tirent des revenus publicitaires indirectement générés à partir des données collectées par ces cookies publicitaires.

La formation restreinte a pris acte que, depuis une mise à jour de septembre 2020, les sociétés cessent de déposer automatiquement les cookies publicitaires dès l’arrivée de l’utilisateur sur la page google.fr.

Elle a néanmoins relevé que le nouveau bandeau d’information mis en œuvre par les sociétés lors de l’arrivée sur la page google.fr ne permettait toujours pas aux utilisateurs résidant en France de comprendre les finalités pour lesquelles les cookies sont utilisés et ne les informait pas du fait qu’ils pouvaient refuser ces cookies.

Dès lors, en complément des amendes administratives, la formation restreinte a également adopté une injonction sous astreinte afin que les sociétés procèdent à une information des personnes conforme à l’article 82 de la loi Informatique et Libertés dans un délai de 3 mois à compter de la notification. Dans le cas contraire, les sociétés s’exposeront au paiement d’une astreinte de 100 000 euros par jour de retard.

Une compétence de la CNIL 

Dans sa délibération, la formation restreinte a rappelé que la CNIL est matériellement compétente pour contrôler et sanctionner les cookies déposés par les sociétés sur les ordinateurs des utilisateurs résidant en France. Elle a souligné ainsi que le mécanisme de coopération prévu par le RGPD (mécanisme de « guichet unique ») n’avait pas vocation à s’appliquer dans cette procédure étant donné que les opérations liées à l’utilisation des cookies relèvent de la directive « ePrivacy », transposée à l’article 82 de la loi Informatique et Libertés.

Elle a considéré qu’elle est également territorialement compétente en application de l’article 3 de la loi Informatique et Libertés car le recours à des cookies est effectué dans le « cadre des activités » de la société GOOGLE FRANCE qui constitue « l’établissement » sur le territoire français des sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED et y assure la promotion de leurs produits et services.

Elle a également estimé que les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED sont conjointement responsables dès lors qu’elles déterminent toutes les deux les finalités et les moyens liés à l’usage des cookies.

L’articulation de la sanction avec les travaux de la CNIL sur les cookies

Dans le cadre de son plan d’action sur le ciblage publicitaire et pour tenir compte de l’entrée en application du RGPD, la CNIL a publié le 1er octobre 2020 ses lignes directrices modificatives ainsi qu’une recommandation portant sur l’usage de cookies et autres traceurs. La CNIL a demandé aux acteurs de se conformer aux règles ainsi clarifiées, en estimant que cette période d’adaptation ne devrait pas dépasser six mois.

À cette occasion, elle a néanmoins précisé qu’elle continuerait notamment à contrôler pleinement le respect des autres obligations qui n’ont fait l’objet d’aucune modification et le cas échéant, d’adopter des mesures correctrices pour protéger la vie privée des internautes.

Les obligations dont la CNIL sanctionne aujourd’hui le non-respect par les sociétés préexistaient au RGPD et ne font donc pas partie de celles qui ont été clarifiées par les nouvelles lignes directrices et la recommandation du 1er octobre 2020.

Note : La société GOOGLE LLC, établie en Californie, développe le moteur de recherche Google Search. La société GOOGLE IRELAND LIMITED, dont le siège est en Irlande, se présente comme le siège européen du groupe Google. La société GOOGLE FRANCE est l’établissement en France de la société GOOGLE LLC.

Une amende de 35 millions d’euros pour H&M qui a stocké les données personnelles des salariés

Ces faits ont été dévoilés en octobre 2019, lorsqu’une erreur informatique les a rendus accessibles, pendant quelques heures, à l’ensemble de l’entreprise.     

Une amende de plus de 35 millions d’euros a été prononcée contre l’enseigne H&M en Allemagne jeudi. Le groupe a été condamné pour avoir rassemblé et stocké des informations sur une centaine de salariés.

L’Allemagne a infligé jeudi une amende sans précédent de 35,3 millions d’euros au groupe de prêt-à-porter H&M, pour avoir enregistré des données privées de certains salariés à leur insu, a annoncé le centre de protection des données du pays jeudi.

« Large connaissance » de la vie privée des employés

« Une amende de 35 258 707,95 euros est requise contre H&M (…) pour une affaire de surveillance de plusieurs centaines de ses collaborateurs », a indiqué le Commissariat à la protection des données de Hambourg. Il s’agit du montant le plus important infligé par l’Allemagne à une entreprise au nom de la législation européenne sur la protection des données privées (RGPD), depuis son entrée en vigueur en 2018, a indiqué une porte-parole de l’institution.

Les autorités reprochent au groupe de prêt-à-porter d’avoir laissé des responsables d’un site H&M, à Nuremberg (sud), rassembler et stocker des informations sur leurs salariés, entre 2014 et 2019. « Certains de ces supérieurs ont acquis une large connaissance de la vie privée de leurs employés », a constaté le centre de protection.

Une erreur informatique

Après l’absence d’un collaborateur, les responsables du site organisaient systématiquement un entretien, traitant « des vacances », ou des « symptômes et diagnostics » du salarié, en cas de congés maladie. Ces informations étaient ensuite « enregistrées », stockées numériquement, et servaient à « établir des profils individuels ».

H&M insiste sur l’aspect « local » de ces pratiques

Les supérieurs obtenaient également des éléments de vie privée de leurs collaborateurs lors de discussions informelles, notamment sur des « problèmes familiaux », ou des « croyances religieuses ». Ces données étaient ensuite « disponibles à la lecture pour jusqu’à 50 responsables du groupe ».

Réagissant à la décision des autorités allemandes, la marque de prêt-à-porter a présenté ses excuses pour des faits qu’elle estime « non conformes aux directives et instructions » du groupe. H&M insiste sur l’aspect « local » de ces pratiques, et affirme avoir « signalé immédiatement les faits » aux autorités, après en avoir pris connaissance.

Ces faits ont été dévoilés en octobre 2019, lorsqu’une erreur informatique les a rendus accessibles, pendant quelques heures, à l’ensemble de l’entreprise. 

L’Europe veut protéger la vie privée

Le Règlement européen de protection des données a renforcé les obligations des entreprises en termes de protection de la vie privée. Il prévoit des amendes pouvant aller jusqu’à 4% de leur chiffre d’affaires.

En 2019, l’Allemagne a déjà condamné le groupe immobilier Deutsche Wohnen à une amende de 14,5 millions d’euros pour avoir archivé des données sensibles de ses locataires. La France a de son côté infligé une sanction de 50 millions d’euros au géant de l’informatique Google, pour défaut d’information de ses utilisateurs de leurs données personnelles. L’amende la plus élevée a été infligée par le Royaume-Uni à la compagnie aérienne British Airways, qui a écopé en 2019 d’une sanction de 183 millions de livres (200 millions d’euros), pour un vol des données financières de centaines de milliers de ses clients.

RGPD. RAPPEL. BILAN 2020. QUELS PLANS D’ACTIONS ?

Je vous souhaite à tous une Excellente Année 2021 : respiration, aération, inspiration…
Le mois de janvier du blog sera consacré au RGDP, que j’appelle dans mes travaux un amplificateur de risques (p.47, chapitre 1) / https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html
Nous avons déjà abordé le sujet en 2019 et 2020. Vous pouvez relire en avril 2019 « RGPD, les sanctions tombent » et en avril 2020 « Le contexte réglementaire qui accentue l’intérêt des entreprises pour les risques liés au télétravail, à savoir le RGPD…» A retrouver dans les archives tout en bas du menu déroulant en bas à gauche.
Aujourd’hui, 11 janvier 2021. Rappel du contexte réglementaire : le RGPD. 1er éléments de bilan 2020 à partir de deux articles :
  • « Pourquoi le RGPD n’a (presque) rien changé pour les internautes » et constat d’un relatif échec
  • Quelques chiffres sur le montant des sanctions en Europe

Au programme. Le 18 janvier 2021

  • article / sanctions H&M
  • article / sanctions Google
  • article / sanctions Carrefour / avec les délibérations et pour approfondir les références aux articles de la CNIL

Au programme. Le 25 janvier 2021

  • Règles de l’ANSSI et de la CNIL à suivre / Quels Plans d’Actions ? (source : I-Trust)

Rappel du contexte réglementaire : le RGPD.

General Data Protection Regulation (GDPR) ou Réglement Général pour la Protection de données (RGPD)

Date : entrée en vigueur le 26 mai 2016 ; applicable à partir du 25 mai 2018.

Dispositif : le nouveau règlement européen modifie le cadre juridique relatif à la protection des données à caractère personnel au sein de l’Union européenne. Les entreprises devront déclarer aux autorités de leur pays (et dans certains cas aux personnes concernées) les violations de données à caractère personnel sous 72 heures en suivant les dispositions spécifiques du GDPR  et en conservant un registre de violation.

Champ d’application : toutes les entreprises qui collectent, traitent, et stockent des données à caractère personnel.

Sanctions : action judiciaire des individus pour réclamer des dommages et intérêts ; actions de groupe ; amende administrative jusqu’à 20 millions d’euros ou 4% du Chiffre d’Affaires mondial.

Il s’attarde sur les risques de notre époque post-moderne (violation de données, perte des données, traitement illicite de données…).

Pour en savoir plus : « Règlement Général pour la Protection des Données. Comment l’entreprise doit-elle protéger les données personnelles ?, Cahier technique de l’AMRAE, juillet 2018.

Quelques Chiffres

En 2020, le montant des amendes pour non-respect du RGPD s’élève à 171 millions d’euros. C’est l’Italie qui a infligé le plus de sanctions, avec 34 infractions constatées, soit un montant correspondant à 58,16 millions d’amendes.

Le nombre d’affaires croissant porté devant les autorités de protection des données personnelles devrait toutefois mener à une hausse du montant total de sanctions dans les années à venir, notamment après l’invalidation du Privacy Shield par la Cour de Justice européenne (CJUE).
En 2020, le montant des amendes pour non-respect du RGPD s’est élevé à 171 millions d’euros

C’est l’Italie qui a infligé le plus de sanctions.

Le classement des pays qui ont infligé le plus d’amendes au titre du règlement général sur la protection des données vient de sortir. Selon Finbold, le montant total des sanctions s’élève cette année à 171,3 millions d’euros. C’est l’Italie qui arrive en tête du classement avec 34 infractions constatées pour ses entreprises et un total de 58,16 millions d’euros d’amendes infligées.

L’étonnante dernière position de l’Irlande

En mai 2018, après plusieurs années de réflexion et de travail, le RGPD voyait le jour. Ce règlement européen précède à la directive 95/46/CE instaurée en 1995 par le Parlement Européen. Un véritable chantier juridique qui semble désormais porter ses fruits. En effet, si entre mai 2018 (date d’entrée en vigueur du texte) et janvier 2020, seulement 114 millions d’euros d’amendes avaient été comptabilisés, entre janvier 2020 et décembre 2020, le montant total des sanctions est plus élevé. Il atteint précisément 171,3 millions d’euros.

Il est intéressant de s’arrêter sur le classement des pays. Premier constat étonnant : l’Irlande est en dernière position dans ce classement des pays qui ont infligé le plus d’amendes au titre du RGPD. Seulement 630 000 euros d’amendes. Ce pays est pourtant le centre névralgique de la protection des données. C’est là que Google, Facebook, LinkedIn, Microsoft, Airbnb, Hubspot, Stripe, Smartbox, Dropbox, Slack, Salesforce ou encore IBM ont leur siège social… Des entreprises susceptibles de ne pas respecter le règlement général sur la protection des données.

La France inflige 3 millions d’euros d’amendes

En première position de ce classement, nous retrouvons l’Italie. La Garante per la protezione dei dati personali, l’équivalent de la Cnil en Italie, a délivré un total de 58,16 millions d’euros d’amendes. Parmi les entreprises concernées, nous retrouvons Eni Gas et Luce, un fournisseur italien d’électricité et de gaz. L’entreprise a dû s’acquitter d’une grosse amende de 11,5 millions d’euros. Le Royaume-Uni se classe en deuxième position avec 49,3 millions d’euros d’amendes. On se souvient notamment de l’amende prononcée à l’encontre de British Airways.

L’Allemagne est troisième avec 37,39 millions d’euros d’amendes. Ensuite nous retrouvons la Suède, l’Espagne et la France en sixième position avec seulement 3 millions d’euros d’amendes. L’amende la plus importante est celle dont Carrefour Banque a dû s’acquitter en fin d’année. En 2021, l’invalidation du Privacy Shield par la Cour de justice européenne (CJUE) devrait représenter un véritable défi pour les autorités de protection des données. 5 300 entreprises sont concernées et cela rebat totalement les cartes des flux de données. Enfin, notons que malgré le Brexit, le RGPD reste applicable jusqu’en juillet 2021.

Par Valentin Cimino 

 

« La Fonction Risk Manager. Organisation, Méthodes et Positionnement » à nouveau disponible en version papier. Gereso Editions reprend les livraisons. Toujours disponible en version numérique.

A la question de la place du Risk Manager dans l’entreprise, l’un des intervenants d’un webinaire de l’AMRAE répondait : « il doit être dans la warroom, mais la fonction est encore sous-staffée. Les entreprises ne pourront pas ignorer la fonction. S’il y a une fonction sur laquelle il faut investir, c’est la Fonction Risk Manager ». Je défends ce point de vue dans mes articles depuis de nombreuses années au point d’avoir co-écrit un ouvrage sur cette fonction. Découvrez la Fonction Risk Manager, un « job de dingue » !

Pour commander :

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

2020 Post citation 1

 

Deux articles sur les risques liés au télétravail. Le 1er dresse un état de la situation (télétravail en période de confinement), identifie les principaux risques, fait des recommandations pour les atténuer. Le 2ème (visionnaire) paru en 2018 rappelle le contexte réglementaire qui accentue l’intérêt des entreprises pour ce risque à savoir le RGPD ; il est ce que j’appelle dans mes travaux un amplificateur de risque.

Recommandations de sécurité informatique pour le télétravail en situation de crise

La situation de crise et de confinement liée à l’épidémie du CORONAVIRUS – COVID-19 engendre une intensification du recours au télétravail. Pour beaucoup d’employeurs et de collaborateurs, cette situation inédite et qui va s’inscrire dans la durée, n’avait pas été anticipée. Une mise en œuvre non-maîtrisée du télétravail peut augmenter considérablement les risques de sécurité pour les entreprises ou organisations qui y recourent. Elle peut même mettre en danger leur activité face à une cybercriminalité qui redouble d’efforts pour profiter de cette nouvelle opportunité.
En complément des 
mesures générales de vigilance cybersécurité publiées sur la crise du CORONAVIRUS – COVID-19, cet article décrit les conseils de Cybermalveillance.gouv.fr tant pour les collaborateurs que pour les employeurs afin de limiter les risques de sécurité informatique liés au télétravail.

État de la situation

La crise sanitaire mondiale du CORONAVIRUS – COVID-19 a nécessité la mise en place de mesures de confinement et de stricte limitation des déplacements aux seuls motifs indispensables. Face à cette situation exceptionnelle et inédite, les entreprises, associations, administrations ou collectivités qui en avaient la possibilité ont dû mettre en place le télétravail pour préserver au moins les activités essentielles que ce mode de fonctionnement peut permettre.

Certaines de ces organisations étaient déjà préparées au télétravail, mais pas pour y faire face de manière aussi massive et en s’inscrivant autant dans la durée.

Pour beaucoup d’autres organisations, la mise en place du télétravail a dû se faire dans l’urgence, voire elles ont dû l’initier « à distance » avec des collaborateurs confinés et sans réelle maîtrise des mesures de sécurité à mettre en place pour protéger de manière satisfaisante le système d’information de l’organisation.

Dans certains cas, et faute d’avoir pu déployer les moyens nécessaires, le télétravail s’opère même depuis les équipements personnels des collaborateurs, dont le niveau de sécurité ne peut pas être évalué et encore moins garanti.

Parallèlement, on peut observer dans cette crise du CORONAVIRUS – COVID-19 une intensification des activités de cybercriminels qui, comme dans toute situation exceptionnelle, cherchent à profiter de l’aubaine et des vulnérabilités induites.

Cette situation engendre une augmentation des risques de cybermalveillance pour les organisations qu’il est indispensable de juguler au mieux sous peine de dommages considérables.

Principaux risques et cybermenaces liés au télétravail

Avec l’intensification du télétravail, les cybercriminels vont chercher à mettre à profit la possible désorganisation et confusion des entreprises et organisations, ainsi que la dématérialisation des procédures qui en résulte, pour intensifier leurs attaques.
Les principales cyberattaques que l’ont peut envisager sont :

– L’hameçonnage (phishing) : Messages (email, SMS, chat…) visant à dérober des informations confidentielles (mots de passe, informations personnelles ou bancaires) en usurpant l’identité d’un tiers de confiance. Conséquences possibles : piratage de comptes professionnels de messagerie ou d’accès aux systèmes d’information de l’organisation, intrusion sur le réseau de l’entreprise, rançongiciels (ransomware), fraude aux faux ordres de virement… En savoir plus.

– Les rançongiciels (ransomware) : Attaque qui consiste à chiffrer ou empêcher l’accès aux données de l’entreprise et à généralement réclamer une rançon pour les libérer. Ce type d’attaque s’accompagne de plus en plus souvent d’un vol de données et d’une destruction préalables des sauvegardes. Ces attaques sont généralement rendues possibles par une intrusion sur le réseau de l’entreprise, soit par ses accès à distance, soit par la compromission de l’équipement d’un collaborateur. Conséquence : arrêt de l’activité de l’entreprise, perte de données… En savoir plus.

– Le vol de données : Attaque qui consiste à s’introduire sur le réseau de l’entreprise, ou sur ses hébergement externes (cloud), pour lui dérober des données afin de la faire « chanter », ou de les revendre, ou encore de les diffuser pour lui nuire. Comme pour les rançongiciels (cf. supra), ces attaques sont généralement possibles par une intrusion dans le réseau ou sur les systèmes hébergées de l’entreprise via ses accès à distance ou bien encore par la compromission du poste d’un collaborateur. Conséquences : atteinte à l’activité et à l’image de l’entreprise ou de l’organisation.

– Les faux ordres de virement (FOVI/BEC) : Escroquerie réalisée, parfois suite au piratage d’un compte de messagerie, par message et même téléphone, en usurpant l’identité d’un dirigeant ou d’un de ses mandataires, d’un fournisseur ou d’un prestataire, voire d’un collaborateur, pour demander un virement exceptionnel et confidentiel, ou un changement des coordonnées de règlement (RIB) d’une facture ou d’un salaire. Conséquence : perte financière pour l’entreprise ou l’organisation.

« Bien connaître les risques permet de mieux détecter les attaques et de comprendre l’intérêt des mesures de sécurité à appliquer. »

10 recommandations de sécurité pour les télétravailleurs

Vous êtes confinés et devez avoir recours au télétravail pour maintenir votre activité. Vous ne disposez parfois pas d’équipement professionnel pour télétravailler et devez le faire avec vos moyens informatiques personnels (ordinateur, tablette, téléphone, comptes de messagerie…).
Afin de préserver au mieux la sécurité de votre entreprise, appliquez les 10 recommandations suivantes :

  1. Si vous disposez d’équipements professionnels, séparez vos usages : Séparez bien vos usages professionnels et personnels au risque de les confondre et de générer des fautes de sécurité qui pourraient être préjudiciables à votre entreprise. L’activité professionnelle doit se faire sur vos moyens professionnels et seulement sur vos moyens professionnels et l’activité personnelle doit se faire seulement sur vos moyens personnels. En savoir plus.
  2. Appliquez strictement les consignes de sécurité de votre entreprise : Ces mesures de sécurité visent à protéger votre entreprise, donc votre activité. Si vous rencontrez des difficultés à appliquer les mesures prescrites, remontez l’information et demandez conseil à votre entreprise, mais ne les contournez pas de votre propre chef, car vous n’êtes probablement pas en mesure d’apprécier l’étendue des risques que vous pourriez prendre et faire prendre à votre entreprise
  3. Ne faites pas en télétravail ce que vous ne feriez pas au bureau : A fortiori sur vos équipements professionnels si vous en disposez. Ayez une utilisation responsable et vigilante de vos équipements et accès professionnels. Si vous utilisez vos moyens personnels en télétravail, ayez conscience que vos activités personnelles peuvent faire prendre un risque aussi à votre entreprise, redoublez donc d’attention et de prudence.
  4. Appliquez les mises à jour de sécurité sur tous vos équipements connectés (PC, tablettes, téléphones…) : Et ce dès qu’elles vous sont proposées afin de corriger les failles de sécurité qui pourraient être utilisées par des pirates pour s’y introduire et les utiliser pour attaquer le réseau de votre entreprise au travers de vos accès. En savoir plus.
  5. Vérifiez que vous utilisez bien un antivirus et scannez vos équipements : Vérifiez que tous vos équipements connectés (PC, téléphones, tablettes…) sont bien protégés par un antivirus, qu’il est bien à jour, et effectuez une analyse complète (scan) de vos matériels. Si un matériel ne peut avoir d’antivirus, évitez le plus possible de l’utiliser pour accéder au réseau de votre entreprise.
  6. Renforcez la sécurité de vos mots de passe : Utilisez des mots de passe suffisamment longs, complexes et différents sur tous les équipement et services auxquels vous accédez, qu’ils soient personnels ou professionnels. La majorité des attaques est due à des mots de passe trop simples ou réutilisés. Au moindre doute ou même en prévention, changez-les et activez la double authentification chaque fois que cela est possible. En savoir plus.
  7. Sécurisez votre connexion WiFi : Le télétravail s’opère en général principalement sur votre connexion WiFi personnelle. Il est donc primordial de bien la sécuriser pour éviter toute intrusion sur votre réseau qui pourrait être utilisée pour attaquer votre entreprise. Utilisez un mot de passe suffisamment long et complexe (voir plus haut) et assurez vous que vous utilisez bien le chiffrement de votre connexion en WPA2. Pensez également à mettre à jour régulièrement votre « box Internet » en la redémarrant ou depuis son interface d’administration.
  8. Sauvegardez régulièrement votre travail : La sauvegarde est le seul moyen permettant de retrouver ses données en cas de cyberattaques, mais également en cas de panne ou de perte de son équipement. Si vous en avez la possibilité, sauvegardez régulièrement votre travail sur le réseau de l’entreprise ou les moyens qu’elle met à disposition à cet effet, mais aussi sur un support externe à votre équipement (clé ou disque USB) que vous débranchez une fois la sauvegarde effectuée. En savoir plus.
  9. Méfiez-vous des messages inattendus : Que ce soit par messagerie (email, SMS, chat…) en cas de message inattendu ou alarmiste, demandez toujours confirmation à l’émetteur par un autre moyen. Il peut s’agir d’une attaque par hameçonnage (phishing) visant à vous dérober des informations confidentielles (mots de passe), de l’envoi d’un virus par pièce-jointe ou d’un lien qui vous attirerait sur un site piégé, ou encore d’une tentative d’arnaque aux faux ordres de virement (voir menaces supra).
  10. N’installez vos applications que dans un cadre « officiel » et évitez les sites suspects : Sur vos équipements professionnels, n’installez de nouvelles applications qu’après l’accord de votre support informatique. Sur vos équipements personnels utilisés en télétravail, n’installez des applications que depuis les sites ou magasins officiels des éditeurs (exemple : Apple App Store,Google Play Store) pour limiter les risques d’installation d’une application piégée pour pirater votre équipement. De même, évitez les sites Internet suspects ou frauduleux (téléchargement, vidéo, streaming illégaux) qui pourraient également piéger vos équipements.

12 recommandations de sécurité liées au télétravail pour les employeurs

Pour faire face à la crise et au confinement imposé par l’épidémie du CORONAVIRUS – COVID-19 les employeurs, entreprises, associations, administrations, collectivités se sont vues devoir mettre en place ou développer dans l’urgence le télétravail pour maintenir, au moins a minima,  leurs activités essentielles. L’ouverture vers l’extérieur du système d’information de l’entreprise peut engendrer des risques sérieux de sécurité qui pourraient mettre à mal l’entreprise, voire engager sa survie en cas de cyberattaque.
Voici 12 recommandations à mettre en œuvre pour limiter au mieux les risques :

  1. Définissez et mettez en œuvre une politique d’équipement des télétravailleurs : Privilégiez autant que possible pour le télétravail l’utilisation de moyens mis à disposition, sécurisés et maîtrisés par l’entreprise. Lorsque ce n’est pas possible, donnez des directives d’utilisation et de sécurisation claires aux employés en ayant conscience que leurs équipements personnels ne pourront jamais avoir un niveau de sécurité vérifiable (voire sont peut être déjà compromis par leur usage personnel).
  2. Maîtrisez vos accès extérieurs : Limitez l’ouverture de vos accès extérieurs ou distants (RDP) aux seules personnes et services indispensables, et filtrer strictement ces accès sur votre pare-feu. Cloisonnez les systèmes pour lesquels un accès à distance n’est pas nécessaire pour les préserver, surtout s’ils revêtent un caractère sensible pour l’activité de l’entreprise.
  3. Sécurisez vos accès extérieurs : Systématisez les connexions sécurisées à vos infrastructures par l’emploi d’un « VPN » (Virtual Private Network ou « réseau privé virtuel » en français). Outre le chiffrement de vos connexions extérieures, ces dispositifs permettent également de renforcer la sécurité de vos accès distants en les limitant aux seuls équipements authentifiés. La mise en place sur ces connexions VPN d’une double authentification sera également à privilégier pour se prémunir de toute usurpation.
  4. Renforcez votre politique de gestion des mots de passe : Qu’il s’agisse des mots de passe des utilisateurs en télétravail, mais aussi de ceux en charge du support informatique, les mots de passe doivent être suffisamment longs, complexes et uniques sur chaque équipement ou service utilisé. La majorité des attaques est due à des mots de passe trop simples ou réutilisés. Au moindre doute ou même en prévention, changez-les et activez la double authentification chaque fois que cela est possible. En savoir plus.
  5. Ayez une politique stricte de déploiement des mises à jour de sécurité : Et ce, dès qu’elles sont disponibles et sur tous les équipements accessibles de votre système d’information (postes nomades, de bureau, tablettes, smartphones, serveurs, équipements réseaux ou de sécurité…) car les cybercriminels mettent peu de temps à exploiter les failles lorsqu’ils en ont connaissance. Un défaut de mise à jour d’un équipement est souvent la cause d’une intrusion dans le réseau des entreprises. En savoir plus.
  6. Durcissez la sauvegarde de vos données et activités : Les sauvegardes seront parfois le seul moyen pour l’entreprise de recouvrer ses données suite à une cyberattaque. Les sauvegardes doivent être réalisées et testées régulièrement pour s’assurer qu’elles fonctionnent. Des sauvegardes déconnectées sont souvent indispensables pour faire face à une attaque destructrice par rançongiciel (ransomware). En outre, il convient également de s’assurer du niveau de sauvegarde de ses hébergements externes (cloud, site Internet d’entreprise, service de messagerie…) pour s’assurer que le service souscrit est bien en adéquation avec les risques encourus par l’entreprise. En savoir plus.
  7. Utilisez des solutions antivirales professionnelles : Les solutions antivirales professionnelles permettent de protéger les entreprises de la plupart des attaques virales connues, mais également parfois des messages d’hameçonnage (phishing), voire de certains rançongiciels (ransomware). Utiliser des solutions différentes pour la protection des infrastructures et pour les terminaux peut s’avérer très complémentaire et donc démultiplier l’efficacité de la protection dans un principe de défense en profondeur.
  8. Mettez en place une journalisation de l’activité de tous vos équipements d’infrastructure : Ayez une journalisation systématique et d’une durée de rétention suffisamment longue de tous les accès et activités de vos équipements d’infrastructure (serveurs, pare-feu, proxy…), voire des postes de travail. Cette journalisation sera souvent le seul moyen de pouvoir comprendre comment a pu se produire une cyberattaque et donc de pouvoir y remédier, ainsi que d’évaluer l’étendue de l’attaque.
  9. Supervisez l’activité de vos accès externes et systèmes sensibles : Cette supervision doit vous permettre de pouvoir détecter toute activité anormale qui pourrait être le signe d’une cyberattaque, tels une connexion suspecte d’un utilisateur inconnu, ou d’un utilisateur connu en dehors de ses horaires habituels, ou encore un volume inhabituel de téléchargement d’informations…
  10. Sensibilisez et apportez un soutien réactif à vos collaborateurs en télétravail : Donnez aux télétravailleurs des consignes claires sur ce qu’ils peuvent faire ou ne pas faire et sensibilisez les aux risques de sécurité liés au télétravail. Cela doit se faire avec pédagogie pour vous assurer de leur adhésion et donc de l’efficacité des consignes. Les utilisateurs sont souvent le premier rempart pour éviter, voire détecter les cyberattaques. Utilisez au besoin nos supports et notre kit de sensibilisation ou encore les recommandations aux télétravailleurs décrites supra. Ces utilisateurs coupés de leur entreprise ont également besoin d’un soutien de qualité et réactif pour éviter toute dérive.
  11. Préparez-vous à affronter une cyberattaque : L’actualité démontre qu’aucune organisation, quelle que soit sa taille, n’est à l’abri d’une cyberattaque. Il faut donc admettre que cela n’arrive pas qu’aux autres. La question n’est donc plus de savoir si on va être victime d’une cyberattaque, mais quand on le sera. Il faut donc s’y préparer. L’évaluation des scénarios d’attaques possibles (cf. menaces supra) permet d’anticiper les mesures à prendre pour s’en protéger et de définir également la conduite à tenir pour réagir quand elle surviendra : plans de crise et de communication, contractualisation avec des prestataires spécialisés pour recourir à leur assistance…
  12. Dirigeants : impliquez-vous et montrez l’exemple ! La sécurité est toujours une contrainte qu’il faut accepter à la mesure des enjeux qui peuvent s’avérer vitaux pour les entreprises. L’implication et l’adhésion des dirigeants aux mesures de sécurité est indispensable, tout comme leur comportement qui doit se vouloir exemplaire afin de s’assurer de l’adhésion des collaborateurs.

 

Travail nomade : risk managers et DRH limitent les risques

JULIE LE BOLZER

L’employeur doit s’assurer que le télétravailleur est convenablement équipé.

Bénéficiant d’une vision transverse, le risk manager apporte une méthode pour cartographier les risques inhérents au travail nomade.

D’après les entreprises matures sur le sujet, le travail à distance constitue notamment un vecteur de bien-être, d’engagement, de performance et de baisse du stress pour les collaborateurs concernés. Reste que le télétravail n’est pas sans risques.

Pour identifier les grains de sable qui pourraient venir contrarier sa mise en oeuvre, les directions des ressources humaines (DRH) ont tout intérêt à s’appuyer sur l’expertise et la méthode de cartographie des risk managers« Par essence, le responsable des risques occupe une fonction transverse et prouve son efficacité dès lors qu’il oeuvre en interface avec les autres départements de l’entreprise », explique François Beaume, vice-président chargé des risques digitaux de l’Association pour le management des risques et des assurances de l’entreprise (Amrae).

Accompagnement et confiance réciproque

En interagissant avec les différentes directions, le risk manager peut cartographier l’ensemble des failles et aider les services concernés, comme les ressources humaines, à mieux identifier et quantifier les risques« Le premier risque lié au télétravail est le manque de conformité juridique, d’où la nécessité pour la DRH de travailler sur la question avec les instances représentatives du personnel », pointe François Malan, vice-président métier et formation de l’Amrae.

De son avis, cette consultation du terrain et des règles clairement définies permettent d’emporter l’adhésion des collaborateurs et des managers« Le télétravail ne doit pas devenir une source de frustration avec des collaborateurs qui se retrouvent exclus du dispositif alors qu’ils pourraient y prétendre. L’accompagnement des managers et la confiance réciproque sont indispensables pour réussir cette transformation », prévient-il.

La cartographie des risques permet d’identifier les adaptations de process et d’organisation nécessaires au maintien de la performance de l’entreprise. « Les entreprises de services, par exemple, ne peuvent pas se permettre de ne pas être accessibles aux clients. Il s’agit donc de veiller à ce que tous les membres d’une même équipe ne soient pas en télétravail au même moment », souligne François Malan.

Equipement suffisant et installation aux normes

Autre élément essentiel à la mise en place d’une politique de télétravail : l’aspect technique. L’employeur doit s’assurer que le télétravailleur est convenablement équipé, avec une connexion Internet suffisante et une installation électrique non défectueuse.« Le plus souvent, c’est l’entreprise qui dote les collaborateurs des outils nécessaires et les assure. Si elle ne fournit pas les équipements et qu’elle n’assure pas le matériel, elle doit inviter le télétravailleur à se rapprocher de son assureur et elle peut interdire le recours à des logiciels non sécurisés », rappelle François Beaume.

En effet, le risque cyber constitue l’un des principaux dangers du télétravail. Il s’avère donc essentiel d’impliquer le directeur des services d’information (DSI) à la démarche. « On a coutume de dire que 50 % des risques cyber sont liés aux individus et aux comportements des personnes. Si les collaborateurs sont conscients de la menace et adoptent une certaine hygiène informatique, l’entreprise se met davantage à l’abri », remarque François Beaume, estimant que la formation constitue la pierre angulaire de la sécurité informatique« Les firewall, antivirus, antimalware, VPN [« virtual private network » ou réseau privé virtuel, NDLR] et autres ne se révèlent réellement efficaces que si l’ensemble des équipes est sensibilisé », dit-il, insistant sur « la nécessité de mettre autour de la table la DRH, la DSI, le service juridique et le risk manager pour que les mesures qui sont prises soient cohérentes entre elles ».

Si ce travail transverse entre les différentes entités de l’entreprise constitue un rempart aux risques, il n’est pas encore effectué naturellement dans toutes les entreprises. « Dans les organisations moins matures, le risk manager n’est associé qu’aux projets considérés comme stratégiques. Si le télétravail est jugé comme tel, le risk manager interviendra dès le début. Mais cela est encore loin d’être le cas partout », conclut François Malan.

Julie Le Bolzer

Entré en application le 25 mai 2018, le règlement général sur la protection des données (RGPD) oblige les entreprises à prendre des mesures techniques et organisationnelles garantissant la sécurité des données personnelles qu’elles traitent dans le cadre de leurs activités (données RH, consommateurs, clients, fournisseurs…). « Avec le travail à distance, certains collaborateurs sont amenés à manipuler des données personnelles en dehors de l’entreprise, d’où la nécessité de prendre en compte la dimension télétravail dans la politique de protection des données personnelles pour en garantir la sécurité effective grâce à un bon usage des outils informatiques », prévient Guillaume Bordier, avocat associé chez Capstan Avocats.

 

« La Fonction Risk Manager. Organisation, Méthodes et Positionnement » labellisé par la Fondation Nationale pour l’Enseignement de la Gestion des Entreprises (FNEGE).

Moins d’un an après sa parution, l’ouvrage que j’ai co-écrit avec Nicolas Dufour, RM dans une Mutuelle, a reçu le label 2020 de la FNEGE. Label de qualité et reconnaissance de nos pairs dont nous sommes très fiers.  Nous espérons que cette labellisation vous donnera envie de lire notre ouvrage. FNEGE 2