Télétravail : piratages, données personnelles, RGPD, obligations de santé / sécurité
Par Laurence - Publié le
Avec le confinement, le télétravail s’est généralisé. Selon une étude Gartner -menée auprès de 800 cadres RH mondiaux le 17 mars-, 88% des organisations ont encouragé ou obligé les employés à travailler à domicile, qu'ils présentent ou non des symptômes liés au coronavirus. Presque toutes les organisations (97%) ont annulé leurs déplacements professionnels, soit plus de 80% depuis le 3 mars.
Mais la situation inquiète de nombreux experts en cybersécurité qui redoutent un effet d'aubaine pour les pirates informatiques. Ainsi, plusieurs gouvernements commencent à mettre en garde sur les risques du travail à distance. Parallèlement, les demandes auprès des entreprises de sécurité augmentent (par exemple x10 chez Cisco en quelques semaines) craignant pour la sécurité des données.
Déjà, plusieurs piratages ont été signalés, de même que la multiplication d'emails malveillants ou de fausses propositions de support technique. En France, la CNIL a d'ailleurs publié un dossier
Dans le contexte de crise sanitaire liée au coronavirus, particuliers et professionnels s’interrogent sur les mesures à mettre en œuvre aux fins de limiter la propagation du virus, et sur les conditions dans lesquelles les données personnelles, notamment de santé, peuvent être utilisées.
Elle rappelle en effet, que
Elle dresse ensuite une liste de principes applicables à tout employeur. Ce dernier est en effet responsable de la santé et de la sécurité de ses employés conformément au Code du travail et des textes régissant la fonction publique (particulièrement l’article L. 4121-1 du Code du travail).
La Cnil revient également sur le « plan de continuité de l’activité » (PCA), qui a pour objectif de maintenir l’activité essentielle d'une structure et son organisation. Ce plan doit prévoir notamment
Mais cela va dans les deux sens. En effet, les salariés comme les fonctionnaires sont tenus d'une obligation de moyens, c'est-à-dire qu'ils doivent tout mettre en œuvre pour préserver leur santé et leur sécurité mais aussi celles des autres (article L.4122-1 du Code du travail). Ils doivent ainsi informer leur employeur en cas de suspicion de contact avec le Covid-19.
Enfin, des données de santé peuvent être collectées par les autorités sanitaires, qualifiées pour prendre les mesures adaptées à la situation. L'évaluation et la collecte des informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes relèvent de la responsabilité de ces autorités publiques.
Sources 1 et 2
Mais la situation inquiète de nombreux experts en cybersécurité qui redoutent un effet d'aubaine pour les pirates informatiques. Ainsi, plusieurs gouvernements commencent à mettre en garde sur les risques du travail à distance. Parallèlement, les demandes auprès des entreprises de sécurité augmentent (par exemple x10 chez Cisco en quelques semaines) craignant pour la sécurité des données.
Déjà, plusieurs piratages ont été signalés, de même que la multiplication d'emails malveillants ou de fausses propositions de support technique. En France, la CNIL a d'ailleurs publié un dossier
Covid-19 et données personnelles(que vous pouvez trouver ici), dans lequel elle rappelle quelques principes.
Dans le contexte de crise sanitaire liée au coronavirus, particuliers et professionnels s’interrogent sur les mesures à mettre en œuvre aux fins de limiter la propagation du virus, et sur les conditions dans lesquelles les données personnelles, notamment de santé, peuvent être utilisées.
Elle rappelle en effet, que
si chacun doit mettre en œuvre des mesures adaptées à la situation telles que la limitation des déplacements et réunions ou encore le respect de mesures d’hygiène, les employeurs ne peuvent pas prendre des mesures susceptibles de porter atteinte au respect de la vie privée des personnes concernées, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus.
Elle dresse ensuite une liste de principes applicables à tout employeur. Ce dernier est en effet responsable de la santé et de la sécurité de ses employés conformément au Code du travail et des textes régissant la fonction publique (particulièrement l’article L. 4121-1 du Code du travail).
La Cnil revient également sur le « plan de continuité de l’activité » (PCA), qui a pour objectif de maintenir l’activité essentielle d'une structure et son organisation. Ce plan doit prévoir notamment
toutes les mesures pour protéger la sécurité des employés, identifier les activités essentielles devant être maintenues et également les personnes nécessaires à la continuité du service.
Mais cela va dans les deux sens. En effet, les salariés comme les fonctionnaires sont tenus d'une obligation de moyens, c'est-à-dire qu'ils doivent tout mettre en œuvre pour préserver leur santé et leur sécurité mais aussi celles des autres (article L.4122-1 du Code du travail). Ils doivent ainsi informer leur employeur en cas de suspicion de contact avec le Covid-19.
Enfin, des données de santé peuvent être collectées par les autorités sanitaires, qualifiées pour prendre les mesures adaptées à la situation. L'évaluation et la collecte des informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes relèvent de la responsabilité de ces autorités publiques.
Sources 1 et 2