Les nouvelles IT/IP/DATA du cabinet Marvell Avocats

 
Les nouvelles IP/IT/DATA du cabinet Marvell Avocats

CNIL & Télétravail : Que dois-je faire ?

 
Force est de constater que la situation sanitaire contraint de nombreux employés à travailler de chez eux. La pandémie de COVID-19 a donc entraîné l’essor du télétravail. Toutes les entreprises se posent donc des questions sur les modalités de mise en œuvre de ce télétravail tant en droit social, sécurité informatique mais aussi sur le respect du RGPD. En effet les dernières publications de sanctions en matière RGPD s’élèvent à plusieurs millions. Penchons-nous donc sur les recommandations de la CNIL concernant le télétravail.
 
  • Respecter a minima les 3 points clés de la mise en place du télétravail
Pour aller plus loin le NIST (National Institute of Standards and Technology) a publié un Guide sur le télétravail et le BYOD.
Pour mettre en place le télétravail, et en dehors des contraintes liées au droit social (info/consultation des représentants du personnel, accord avec l’employeur…), il est essentiel a minima de remplir les 3 points suivants, si cela n’avait pas été fait en amont de la pandémie COVID-19 :


Une image contenant texteDescription générée automatiquement
 Point 1 : Inscription au registre des activités de traitement
 Point 2 : Information des employés et signature d’une charte de sécurité informatique, si cela n’a pas déjà été fait
Point 3 : Mise en place des mesures de sécurité : une charte informatique, une charte télétravail et un guide de bonnes pratiques doivent être mis à la disposition des employés en télétravail. Par ailleurs, la sécurité des systèmes se trouve très challengée en cette période. Ainsi, il faut porter une attention particulière aux règles d’habilitation aux serveurs, fichiers etc… Enfin, l’employeur doit proposer des outils sécurisés avec au minimum un VPN dès que cela a été possible, un pare-feu, un anti-virus et un outil de blocage de l'accès aux sites malveillants.
 
A ce sujet, le 27 octobre 2020, l’ANSSI a publié
https://www.ssi.gouv.fr/uploads/liste-produits-et-services-qualifies.pdf

Pour aller plus loin le NIST (National Institute of Standards and Technology) a publié un Guide sur le télétravail et le BYOD.
 
  • Contrôler les outils et l’activité lors du télétravail
 
  Focus sur l’utilisation des outils personnels à des fins professionnelles (BYOD) :

L’employé peut utiliser son ordinateur ou téléphone personnel à des fins professionnelles, mais l’employeur reste responsable de la sécurité des données de son entreprise, établissement ou association… Au regard du RGPD, le niveau de sécurité et de confidentialité des données personnelles traitées doit donc être le même, quel que soit l’équipement utilisé. La CNIL rappelle également les règles et bonnes pratiques en matière de sécurité des données sur son site web et dans un guide téléchargeable. L’employeur peut donc mettre en place des règles contraignantes pour l’employé, même des outils personnels de l’employé, sous réserve de concilier ces restrictions avec le respect de la vie privée des employés.
 
  Focus sur les outils de vidéoconférence :   

Le télétravail implique nécessairement la mise en place d’outils collaboratifs et de visioconférences. La visioconférence permet d’être vu et entendu de ses interlocuteurs. En cette période de COVID-19, les outils gratuits de visioconférences sont très utilisés par les entreprises, établissements, associations. Mais la gratuité des outils est souvent synonyme de collecte pour analyse/revente des informations collectées via l’outil. Il est donc essentiel que l’employeur mette à disposition des outils qui garantissent la confidentialité des échanges et des données partagées (chiffrement, authentification conformes à l'état de l’art…). A noter : la direction interministérielle du numérique (DINUM) déconseille fortement des outils tels que Zoom si les échanges portent sur des données confidentielles…Elle recommande d’autres outils tel que Jitsi.
 
  • Est-on obligé d’activer la caméra en vidéoconférence ?
Non ! l’employeur ne peut pas imposer l’activation de la caméra lors de visioconférences. Pour la Cnil, il s’agirait d’un manquement à l’article 5.1 du RGPD « minimisation » des données collectées au regard de la finalité. Pour échanger, le micro est donc suffisant, même si c’est moins convivial J. Seules des circonstances très particulières pourraient permettre à l’employeur d’exiger l’ouverture de la caméra, et ce sur justification.
 
 
  Focus sur la surveillance des employés : Le pouvoir de contrôle de l’activité des employés fait partie intégrante du contrat de travail. Ce contrôle de l’activité des employés reste donc possible en télétravail, sous réserve de justifier que les dispositifs mis en œuvre sont strictement proportionnés à l’objectif poursuivi. Le dispositif de contrôle/surveillance de l’employé ne doit pas porter une atteinte excessive au respect des droits et libertés des employés. Il est important également d’informer les employés, les représentants du personnel et de porter ce traitement de données au registre des activités de traitements. Attention : il faudra aussi faire une analyse d’impact (PIA) si les traitements sont susceptibles d’engendrer un risque élevé pour les droits et libertés des employés.
 
  • Les risques pour non-respect du RGPD
Même en période de confinement, la CNIL reste missionnée pour assurer le respect du RGPD. Son pouvoir de contrôle et de sanction reste donc important.

 Le pouvoir de contrôle de la CNIL : En cas de plainte d’un salarié ou de sa propre initiative, la CNIL peut réaliser des contrôles à distance, des contrôles sur place ou des contrôles sur audition ou sur pièces en cas de plainte d’un salarié ou de sa propre initiative.
 
 Le pouvoir de sanction de la CNIL : En cas de non-respect du RGPD ou de la loi, la CNIL peut mettre en demeure les entreprises ou prononcer des sanctions financières atteignant 4% du CA de l’entreprise ou 20 millions d’euros, le plus élevé des deux.


 
Par Yaël Cohen-Hadria, avocate.
 


▶️  Pour toute question concernant la mise en place du télétravail dans le secteur public ou privé : contact.ntic@marvellavocats.com
 
▶️  Pour suivre nos formations sur la conformité RGPD et les actualités de la CNIL :  https://marvellavocats.com/fr/formation


LinkedIn suivez nous sur notre page LinkedIn 
 


📢 PROCHAINE FORMATION :


LEGAL DESIGN


11 Décembre 2020 : 9h-12h30

Présentée par Yaël Cohen-Hadria et Yuna Lesteven

Pour en savoir plus sur cette formation et sur nos formations IP/IT et DATA cliquez ici : 

https://marvellavocats.com/fr/formation
  
 
 
⏩ Plus d'articles ci-dessous 


 

MESSI peut déposer sa marque sans risque de confusion avec la marque MASSI
Alors que l'EUIPO avait fait une interprétation stricte de la ressemblance entre les signes "MESSI" et "MASSI", la Cour de Justice de L'Union Européenne retient que ces signes peuvent coexister car distinctifs pour le public visé !

Lire la suite...

Par Aline Yvon
 
Banksy perd sa marque "lanceur de fleurs" pour mauvaise foi
La notoriété d'un artiste tel que Banksy ne suffit pas à justifier du dépôt d'une marque qui n'est pas utilisée dans le monde des affaires, qui aurait de plus été déposée de mauvaise foi. Il est clair que l'anonymat de Banksy ne l'a pas aidé à défendre cette marque.

Lire la suite...

Par Aline Yvon

 

RGPD : Sanction de 20 millions d'euros au Royaume-Uni contre le groupe hôtelier Marriott
Le 30 octobre 2020, l'autorité de contrôle anglaise (Information Commissioner's Office - ICO) a infligé une amende de 18,4 millions de livres sterling (environ 20,4 millions d'euros) à  la société Marriott International.
 
Lire la suite...
 
Par Clara Stefani
 
 
SHREMS // Mesures supplémentaires 
Suite à la décision Shrems II de juillet 2016 invalidant le Privacy Shield, le Comité Européen à la Protection des Données vient préciser les mesures qui doivent être mises en œuvre par les entreprises pour transférer des données hors de l’Union européenne...

Lire la suite...

Par Yaël Cohen-Hadria et Yuna Lesteven


 



 




Marvell Académie
Pour nous suivre sur LinkedIn cliquez ici
 

Quoi

IT | IP | Data
• CNIL et Data Management