Données personnelles, cybersécurité et Coronavirus

Données personnelles, cybersécurité et Coronavirus

Publié le : 01/04/2020 01 avril avr. 04 2020

Suite à l’émergence de l’épidémie de Covid-19, au développement massif du télétravail et la volonté des entreprises de protéger leur personnel, les questions liées à la cybersécurité et aux données personnelles doivent rester une préoccupation majeure des entreprises. Ces préoccupations sont soumises à la vigilance de la Commission Nationale Informatique et Libertés (CNIL), du règlement général sur la protection des données personnelles (RGPD) et de l’Agence Nationale pour la Sécurité des Systèmes d’information (ANSSI).

Sur la collecte des données personnelles

Contrairement à la Corée du Nord qui exploite publiquement l’intégralité des données de santé et de géolocalisation des personnes infectées, la CNIL, autorité française de régulation de l’utilisation des données personnelles, est venue préciser les traitements autorisés et ceux interdits (pour l’instant).

Ainsi, l’entreprise peut :
  • Légitimement informer et sensibiliser son personnel pour qu’il lui transmette une éventuelle exposition au Covid-19 ou directement auprès des autorités sanitaires compétentes ;
  • Favoriser les modes de travail à distance et encourager le recours à la médecine du travail.
  • En cas de signalement, l’entreprise pourra consigner la date et l’identité de la personne suspectée d’avoir été exposée et les mesures organisationnelles prises (confinement, télétravail, contact avec le médecin du travail, etc.).
Toutes autres données de santé, dite sensibles selon le RGPD, et priorité des contrôles CNIL sur l’année 2020, sont soumises à une réglementation particulièrement rigoureuse (consentement, information précise, mesures sécuritaires fortes, base de collecte exceptionnelle…) et ne peuvent être collectées à la simple volonté par l’employeur. En effet, les entreprises ne peuvent porter atteinte au respect de la vie privée de leur personnel, et ne peuvent donc pas procéder à la collecte de données de santé, dont la finalité ne serait pas la seule gestion des suspicions d’exposition au Covid-19.

Par conséquent, les entreprises doivent s’abstenir de procéder à des traitements systématiques et généralisés portant notamment sur des données de santé ou relevant de la sphère privée, telles que des enquêtes et demandes individuelles relatives à la recherche d'éventuels symptômes présentés par un employé/agent et ses proches.

La CNIL interdit formellement, et conformément au RGPD, par exemple la mise en place de relevés obligatoires des températures corporelles de chaque salarié ou la collecte de questionnaires médicaux auprès de l’ensemble du personnel.

Seules les autorités sanitaires sont habilitées à collecter de telles données. Ces autorités sont toutefois, en qualité de personnes publiques, soumises également au RGPD. C’est pourquoi, pour permettre une information transparente, Santé Publique France a, par exemple, communiqué sur les traitements de données à caractère personnel ayant pour finalité le suivi des cas possibles et confirmés d’infection par le virus et le suivi des personnes dites contact d’un cas confirmé. Bien entendu, l’ensemble des droits des personnes concernées, à savoir le droit d’opposition, le droit d’accès, de rectification, d’effacement de leurs données et de limitation du traitement de leurs données, est maintenu et celles-ci peuvent contacter directement les autorités compétentes pour les exercer.

Toutefois, dans le cadre de l’état d’urgence sanitaire déclaré par la LOI n° 2020-290 du 23 mars 2020, les choses peuvent évoluer vite. En effet, le gouvernement a évoqué étudier de prêt les mesures de collecte massive de données personnelles, voire celle de santé, permettant de lutter contre l’épidémie. L’article 9 du RGPD permet le traitement de ces données lorsque celui-ci est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé.

Enfin, même le Comité européen de la protection des données (CEPD) a accepté un traçage des données de géolocalisation des européens en faisant appel aux opérateurs de télécommunication, ceux qu’Orange a officiellement accepté en France. Il reste toutefois que ce traçage est pour l’instant limité à des données anonymisées. A suivre donc !

Le respect de la protection des données personnelles reste donc une priorité absolue française dans un contexte épidémique, dont les modalités organisationnelles et juridiques doivent être appréhendées par les entreprises.

Sur la cybersécurité

Depuis l’avènement du confinement lié au COVID19, des cyberattaques massives ont eu lieu touchant tous secteurs d’activité, et même les hôpitaux. Ainsi le 22 mars 2020, une partie des serveurs de l'Assistance publique-Hôpitaux de Paris (AP-HP) ont été bloqués suite à une attaque par déni de services qui consiste à adresser des requêtes inutiles rendant inaccessibles les serveurs.

Pour contrer ces attaques, plusieurs initiatives ont été mises en place, dont la création d’un groupe de 360 experts mondiaux (40 pays) en cybersécurité sous le nom de Cyber Threat Intelligence (CTI Covid-19) visant à supporter le secteur médical pendant la pandémie de Coronavirus.

En parallèle, l’ANSSI et le site internet https://www.cybermalveillance.gouv.fr/ recensent les bonnes pratiques à adopter pour limiter la propagation de ces cyber-attaques, et incite chacun des individus à veiller à sa propre cybersécurité par :
  • Une identification de la session informatique par identifiant et mots de passe robustes ;
  • La vérification de l’origine des messages (mail, SMS, chat…) reçus pour lutter contre l’hameçonnage (ou phishing) qui visant à subtilise des données personnelles, professionnelles ou bancaires sur un prétendu site officiel ;
  • L’absence de téléchargements des applications hors de sites officiels ou des pièces jointes douteuses, pour endiguer les risques liés aux ransomwares, logiciel visant à bloquer l’accès à l’ensemble de vos données contre la remise d’une rançon la plupart du temps financière ;
  • La vigilance concernant les sites de ventes de masques, de gel hydroalcoolique, de téléconsultation médiale, qui sont le plus souvent créés uniquement pour soutirer des données personnelles ou réclamer un paiement pour un produit inexistant ou non conforme aux réglementations en vigueur ;
  • L’utilisation du seul site du ministère de l’intérieur (https://www.interieur.gouv.fr/Actualites/L-actu-du-Ministere/Attestation-de-deplacement-derogatoire-et-justificatif-de-deplacement-professionnel) pour télécharger gratuitement les attestations obligatoires de déplacement, contrairement aux sites internet frauduleux permettant la captation non autorisée ou payante de données personnelles.
A titre de complément, le site internet www.solidarite-numerique.fr et le numéro de téléphone associé ont été lancés le 29 mars 2020 pour accompagner les personnes ayant des difficultés à appréhender les outils numériques, notamment dans leurs démarches administratives à distance.

Concernant spécifiquement le télétravail, il convient d’être vigilant sur les mesures liées à la sécurité informatique des postes de travail professionnels et/ou personnels utilisés à titre professionnel par les salariés. Une charte informatique est peut-être présente au sein de l’entreprise, encadrant notamment les modalités du BYOD (Bring Your Own Device). Si tel n’est pas le cas, cette période est certainement propice à la mise en place d’une information et sensibilisation claire et précise pour l’usage de ces outils, dont la teneur juridique est primordiale en matière de responsabilité des utilisateurs.

Par Ludovic de la MONNERAYE, Avocat Directeur au sein du département IP/IT.

Toute l’équipe VAUGHAN AVOCATS est mobilisée et à votre disposition pour vous aider dans cette période de crise.

Si vous avez des questions particulières, n’hésitez pas à nous écrire à contact@vaughan-avocats.fr, nous ferons notre possible pour vous répondre dans les 24 h.

Historique

<< < ... 34 35 36 37 38 39 40 ... > >>
Navigateur non pris en charge

Le navigateur Internet Explorer que vous utilisez actuellement ne permet pas d'afficher ce site web correctement.

Nous vous conseillons de télécharger et d'utiliser un navigateur plus récent et sûr tel que Google Chrome, Microsoft Edge, Mozilla Firefox, ou Safari (pour Mac) par exemple.
OK