Données personnelles, cybersécurité et Coronavirus
Publié le :
01/04/2020
01
avril
avr.
04
2020
Suite à l’émergence de l’épidémie de Covid-19, au développement massif du télétravail et la volonté des entreprises de protéger leur personnel, les questions liées à la cybersécurité et aux données personnelles doivent rester une préoccupation majeure des entreprises. Ces préoccupations sont soumises à la vigilance de la Commission Nationale Informatique et Libertés (CNIL), du règlement général sur la protection des données personnelles (RGPD) et de l’Agence Nationale pour la Sécurité des Systèmes d’information (ANSSI).
Sur la collecte des données personnelles
Contrairement à la Corée du Nord qui exploite publiquement l’intégralité des données de santé et de géolocalisation des personnes infectées, la CNIL, autorité française de régulation de l’utilisation des données personnelles, est venue préciser les traitements autorisés et ceux interdits (pour l’instant).Ainsi, l’entreprise peut :
- Légitimement informer et sensibiliser son personnel pour qu’il lui transmette une éventuelle exposition au Covid-19 ou directement auprès des autorités sanitaires compétentes ;
- Favoriser les modes de travail à distance et encourager le recours à la médecine du travail.
- En cas de signalement, l’entreprise pourra consigner la date et l’identité de la personne suspectée d’avoir été exposée et les mesures organisationnelles prises (confinement, télétravail, contact avec le médecin du travail, etc.).
Par conséquent, les entreprises doivent s’abstenir de procéder à des traitements systématiques et généralisés portant notamment sur des données de santé ou relevant de la sphère privée, telles que des enquêtes et demandes individuelles relatives à la recherche d'éventuels symptômes présentés par un employé/agent et ses proches.
La CNIL interdit formellement, et conformément au RGPD, par exemple la mise en place de relevés obligatoires des températures corporelles de chaque salarié ou la collecte de questionnaires médicaux auprès de l’ensemble du personnel.
Seules les autorités sanitaires sont habilitées à collecter de telles données. Ces autorités sont toutefois, en qualité de personnes publiques, soumises également au RGPD. C’est pourquoi, pour permettre une information transparente, Santé Publique France a, par exemple, communiqué sur les traitements de données à caractère personnel ayant pour finalité le suivi des cas possibles et confirmés d’infection par le virus et le suivi des personnes dites contact d’un cas confirmé. Bien entendu, l’ensemble des droits des personnes concernées, à savoir le droit d’opposition, le droit d’accès, de rectification, d’effacement de leurs données et de limitation du traitement de leurs données, est maintenu et celles-ci peuvent contacter directement les autorités compétentes pour les exercer.
Toutefois, dans le cadre de l’état d’urgence sanitaire déclaré par la LOI n° 2020-290 du 23 mars 2020, les choses peuvent évoluer vite. En effet, le gouvernement a évoqué étudier de prêt les mesures de collecte massive de données personnelles, voire celle de santé, permettant de lutter contre l’épidémie. L’article 9 du RGPD permet le traitement de ces données lorsque celui-ci est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé.
Enfin, même le Comité européen de la protection des données (CEPD) a accepté un traçage des données de géolocalisation des européens en faisant appel aux opérateurs de télécommunication, ceux qu’Orange a officiellement accepté en France. Il reste toutefois que ce traçage est pour l’instant limité à des données anonymisées. A suivre donc !
Le respect de la protection des données personnelles reste donc une priorité absolue française dans un contexte épidémique, dont les modalités organisationnelles et juridiques doivent être appréhendées par les entreprises.
Sur la cybersécurité
Depuis l’avènement du confinement lié au COVID19, des cyberattaques massives ont eu lieu touchant tous secteurs d’activité, et même les hôpitaux. Ainsi le 22 mars 2020, une partie des serveurs de l'Assistance publique-Hôpitaux de Paris (AP-HP) ont été bloqués suite à une attaque par déni de services qui consiste à adresser des requêtes inutiles rendant inaccessibles les serveurs.Pour contrer ces attaques, plusieurs initiatives ont été mises en place, dont la création d’un groupe de 360 experts mondiaux (40 pays) en cybersécurité sous le nom de Cyber Threat Intelligence (CTI Covid-19) visant à supporter le secteur médical pendant la pandémie de Coronavirus.
En parallèle, l’ANSSI et le site internet https://www.cybermalveillance.gouv.fr/ recensent les bonnes pratiques à adopter pour limiter la propagation de ces cyber-attaques, et incite chacun des individus à veiller à sa propre cybersécurité par :
- Une identification de la session informatique par identifiant et mots de passe robustes ;
- La vérification de l’origine des messages (mail, SMS, chat…) reçus pour lutter contre l’hameçonnage (ou phishing) qui visant à subtilise des données personnelles, professionnelles ou bancaires sur un prétendu site officiel ;
- L’absence de téléchargements des applications hors de sites officiels ou des pièces jointes douteuses, pour endiguer les risques liés aux ransomwares, logiciel visant à bloquer l’accès à l’ensemble de vos données contre la remise d’une rançon la plupart du temps financière ;
- La vigilance concernant les sites de ventes de masques, de gel hydroalcoolique, de téléconsultation médiale, qui sont le plus souvent créés uniquement pour soutirer des données personnelles ou réclamer un paiement pour un produit inexistant ou non conforme aux réglementations en vigueur ;
- L’utilisation du seul site du ministère de l’intérieur (https://www.interieur.gouv.fr/Actualites/L-actu-du-Ministere/Attestation-de-deplacement-derogatoire-et-justificatif-de-deplacement-professionnel) pour télécharger gratuitement les attestations obligatoires de déplacement, contrairement aux sites internet frauduleux permettant la captation non autorisée ou payante de données personnelles.
Concernant spécifiquement le télétravail, il convient d’être vigilant sur les mesures liées à la sécurité informatique des postes de travail professionnels et/ou personnels utilisés à titre professionnel par les salariés. Une charte informatique est peut-être présente au sein de l’entreprise, encadrant notamment les modalités du BYOD (Bring Your Own Device). Si tel n’est pas le cas, cette période est certainement propice à la mise en place d’une information et sensibilisation claire et précise pour l’usage de ces outils, dont la teneur juridique est primordiale en matière de responsabilité des utilisateurs.
Par Ludovic de la MONNERAYE, Avocat Directeur au sein du département IP/IT.
Toute l’équipe VAUGHAN AVOCATS est mobilisée et à votre disposition pour vous aider dans cette période de crise.
Si vous avez des questions particulières, n’hésitez pas à nous écrire à contact@vaughan-avocats.fr, nous ferons notre possible pour vous répondre dans les 24 h.
Historique
-
LBO & Covid-2019 : Aides d’Etat ou dividendes, le choix impossible.
Publié le : 03/04/2020 03 avril avr. 04 2020CorporateDomaine d'expertise / Droit des affaires et corporateDécryptage actualitésL’arsenal économique mis en place par le gouvernement en cette période de « guerre » contre la pandémie du covid-19 s’est articulé autour de trois mesures phares : le report de paiement de charges sociales et fiscales , celui du chômage partiel et le dispositif de prêts garantis. Afin d’amortir l...
-
Covid19 - Mobilité internationale : actualités
Publié le : 03/04/2020 03 avril avr. 04 2020Domaine d'expertise / Mobilité internationaleDécryptage actualitésTour d’horizon de quelques actualités en mobilité internationale : Activité partielle et mobilité : NEW L’ordonnance n° 2020-346 du 27 mars 2020 portant mesures d'urgence en matière d'activité partielle ouvre le dispositif d’activité partielle aux entreprises étrangères sans établisseme...
-
Décryptage des ordonnances impactant le droit public #Covid19
Publié le : 02/04/2020 02 avril avr. 04 2020Domaine d'expertise / Droit publicDécryptage actualitésLe premier anniversaire du Code de la Commande Publique est marqué par les circonstances exceptionnelles rencontrées avec le covid-19. La loi du 23 mars 2020 a déclaré l’état d’urgence sanitaire pour une durée de deux mois à compter de l’entrée en vigueur de la présente loi, soit la publication a...
-
Données personnelles, cybersécurité et Coronavirus
Publié le : 01/04/2020 01 avril avr. 04 2020Domaine d'expertise / Propriété intellectuelle & Numérique (IP / IT)Décryptage actualitésSuite à l’émergence de l’épidémie de Covid-19, au développement massif du télétravail et la volonté des entreprises de protéger leur personnel, les questions liées à la cybersécurité et aux données personnelles doivent rester une préoccupation majeure des entreprises. Ces préoccupations sont soum...
-
Décryptage de l’Ordonnance du 25 mars 2020 relative au paiement des loyers, des factures d'eau, de gaz et d'électricité afférents aux locaux professionnels
Publié le : 31/03/2020 31 mars mars 03 2020Domaine d'expertise / Droit des affaires et corporateDécryptage actualitésLES BENEFICIAIRES: Peuvent bénéficier des dispositions d’aménagement du paiement des loyers, factures d’eau, de gaz et d’électricité : Les personnes physiques et morales de droit privé exerçant une activité économique qui sont susceptibles de bénéficier du fonds de solidarité mis en place...