1 - Guide de la sécurité des données personnelles
La CNIL propose, sur son site Internet, un guide pratique afin d’encourager les professionnels à garantir la sécurité des données personnelles. Cette sécurité est actuellement exigée par la loi « Informatique et libertés ». Elle le sera, à compter du 25 mai 2018, par le règlement européen sur la protection des données personnelles (dit « RGPD »), règlement qui augmentera sensiblement le montant des sanctions encourues.
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ; www.cnil.fr
L'essentiel
Sous peine de sanctions qui vont être alourdies, les entreprises doivent, par des mesures concrètes, assurer la sécurité des données personnelles. / 1-1
La CNIL demande aux entreprises d'imposer une charte informatique à leurs salariés et de leur faire signer un engagement de confidentialité, dont elle propose un modèle. / 1-2 et 1-4
La CNIL soumet un modèle de clause à insérer dans les contrats de maintenance. / 1-5
La CNIL liste les précautions à prendre pour garantir la protection des données personnelles par les sous-traitants. / 1-6
Données personnelles, un sujet d’actualité
Le règlement européen sur la protection des données personnelles (RGPD) entrera en vigueur le 25 mai 2018 (voir FH 3693, § 8-1). Ce règlement précise que la protection des données personnelles nécessite de prendre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » (règlement 2016/679 du 27 avril 2016, art. 32).
En réalité, la loi « Informatique et libertés » impose déjà cette obligation : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » (loi 78-17 du 6 janvier 1978, art. 34).
Si le RGPD ne crée pas ici une règle nouvelle, il alourdit la sanction encourue en cas de non-respect de la règle. Ainsi, à compter du 25 mai 2018 le responsable du traitement de données personnelles qui n'aura pas pris les mesures nécessaires pour garantir leur sécurité encourra une amende allant jusqu'à 10 M€, voire jusqu'à 2 % de son chiffre d'affaires annuel mondial (règlement 2016/679 du 27 avril 2016, art. 83, § 4). Actuellement, le plafond de la sanction pécuniaire est de 3 M€ (loi 78-17 du 6 janvier 1978, art. 47), ce qui n'est déjà pas rien.
La Commission nationale de l’informatique et des libertés (CNIL) propose sur son site (www.cnil.fr) un guide afin d’aider les professionnels à obtenir la sécurité des données personnelles exigée par la loi et prochainement par le règlement. Les mesures conseillées sont intéressantes puisqu'elles émanent de l'autorité administrative qui a le pouvoir de sanctionner les manquements des entreprises. La plupart de ces mesures sont d’ordre technique ; certaines toutefois sont d’ordre juridique et nous les présentons ici.
Rédiger une charte informatique
Informations à donner aux salariés
Bon nombre d’entreprises ont d'ores et déjà adopté une charte informatique mais, ainsi que la CNIL le souligne, celles qui ne l’ont pas fait doivent franchir le pas.
Il faut également penser à donner à cette charte une force contraignante, en l'intégrant ou l’annexant au règlement intérieur.
À noter
La charte informatique a la même valeur que le règlement intérieur si elle est adoptée en respectant les formalités et les règles de fond applicables au règlement intérieur (par exemple, consultation préalable des représentants du personnel). Si elle est insérée au règlement intérieur, cela implique que celui-ci soit modifié suivant les prescriptions du code du travail (c. trav. art. L. 1321-4 ; voir « Discipline dans l’entreprise », RF 1088, §§ 4030 et s.).
Selon la CNIL, cette charte devrait, au moins, comporter les informations suivantes :
-le rappel des règles de protection des données et les sanctions encourues en cas de non-respect ;
-les modalités d’intervention des équipes chargées de la gestion des ressources informatiques dans l’entreprise ;
-les moyens d’authentification utilisés par l’entreprise ;
-les modalités d’utilisation des moyens informatiques et de télécommunications mis à disposition (poste de travail, équipements nomades, espaces de stockage individuel, réseaux locaux, Internet, messagerie électronique et téléphonie) ;
-les conditions d’utilisation des dispositifs personnels ;
-les conditions d’administration du système d’information, et l’existence, le cas échéant, de systèmes automatiques de filtrage, systèmes automatiques de traçabilité et gestion du poste de travail ;
-les sanctions encourues en cas de non-respect de la charte.
Obligations et interdictions à imposer aux salariés
La charte doit préciser les obligations imposées aux salariés au titre de la protection des données personnelles. La CNIL cite l'obligation de :
-signaler au service informatique interne toute violation ou tentative de violation suspectée de son compte informatique et de manière générale tout dysfonctionnement ;
-verrouiller son ordinateur dès que l’on quitte son poste de travail ;
-respecter certaines procédures (par exemple, demander l’accord d’un supérieur hiérarchique) afin d’encadrer certaines opérations (par exemple, la copie de données sur des supports amovibles).
La charte listera également les interdictions faites aux salariés, et la CNIL mentionne, à ce titre, l'interdiction de :
-confier ses identifiant et mot de passe à un tiers ;
-copier, installer, modifier ou détruire des logiciels sans autorisation ;
-supprimer des informations si cela ne relève pas des tâches incombant au salarié.
Prévoir une clause de confidentialité dans les contrats de travail
La CNIL demande aux entreprises de faire signer aux salariés un engagement de confidentialité lorsqu’ils sont amenés à manipuler des données personnelles.
À cette fin, la CNIL propose le modèle reproduit ci-dessous.
Les entreprises peuvent, si elles le préfèrent, insérer dans le contrat de travail une clause de confidentialité visant les données à caractère personnel.
Engagement de confidentialité
Je soussigné(e) Monsieur/Madame …, exerçant les fonctions de … au sein de la société …, étant à ce titre amené/e à accéder à des données à caractère personnel, déclare reconnaître la confidentialité desdites données.
Je m’engage par conséquent, conformément aux articles 34 et 35 de la loi du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ainsi qu’aux articles 32 à 35 du règlement général sur la protection des données du 27 avril 2016, à prendre toutes précautions conformes aux usages et à l’état de l’art dans le cadre de mes attributions afin de protéger la confidentialité des informations auxquelles j’ai accès, et en particulier d’empêcher qu’elles ne soient communiquées à des personnes non expressément autorisées à recevoir ces informations.
Je m’engage en particulier à :
-ne pas utiliser les données auxquelles je peux accéder à des fins autres que celles prévues par mes attributions ;
-ne divulguer ces données qu’aux personnes dûment autorisées, en raison de leurs fonctions, à en recevoir communication, qu’il s’agisse de personnes privées, publiques, physiques ou morales ;
-ne faire aucune copie de ces données sauf à ce que cela soit nécessaire à l’exécution de mes fonctions ;
-prendre toutes les mesures conformes aux usages et à l’état de l’art dans le cadre de mes attributions afin d’éviter l’utilisation détournée ou frauduleuse de ces données ;
-prendre toutes précautions conformes aux usages et à l’état de l’art pour préserver la sécurité physique et logique de ces données ;
-m’assurer, dans la limite de mes attributions, que seuls des moyens de communication sécurisés seront utilisés pour transférer ces données ;
-en cas de cessation de mes fonctions, restituer intégralement les données, fichiers informatiques et tout support d’information relatif à ces données.
Cet engagement de confidentialité, en vigueur pendant toute la durée de mes fonctions, demeurera effectif, sans limitation de durée après la cessation de mes fonctions, quelle qu’en soit la cause, dès lors que cet engagement concerne l’utilisation et la communication de données à caractère personnel.
J’ai été informé(e) que toute violation du présent engagement m’expose à des sanctions disciplinaires et pénales conformément à la réglementation en vigueur, notamment au regard des articles 226-16 à 226-24 du code pénal.
Fait à …, le …, en deux exemplaires
Signature
Insérer une clause de sécurité dans les contrats de maintenance
Les opérations de maintenance doivent être encadrées pour maîtriser l’accès aux données par les prestataires.
La CNIL souligne que les interventions de maintenance doivent être enregistrées dans une main courante et qu'une procédure de suppression sécurisée des données doit être mise en place.
Par ailleurs, la CNIL engage les entreprises à prévoir une clause de sécurité dans leurs contrats de maintenance. Elle propose, à cette fin, la clause suivante.
Clause de sécurité
Chaque opération de maintenance devra faire l'objet d'un descriptif précisant les dates, la nature des opérations et les noms des intervenants, transmis à X (l'entreprise cliente).
En cas de télémaintenance permettant l'accès à distance aux fichiers de X, Y (le prestataire) prendra toutes dispositions afin de permettre à X d'identifier la provenance de chaque intervention extérieure. À cette fin, Y s'engage à obtenir l'accord préalable de X avant chaque opération de télémaintenance dont elle prendrait l'initiative.
Des registres seront établis sous les responsabilités respectives de X et Y, mentionnant les date et nature détaillée des interventions de télémaintenance ainsi que les noms de leurs auteurs.
Gérer la sous-traitance
Garanties à exiger
Les données communiquées à (ou gérées par) des sous-traitants doivent bénéficier de garanties suffisantes.
La CNIL insiste auprès des entreprises pour qu’elles ne fassent appel qu’à des sous-traitants présentant des garanties suffisantes (notamment en termes de connaissances spécialisées, de fiabilité et de ressources) et qu’elles exigent du sous-traitant la communication de sa politique de sécurité des systèmes d’information.
De plus, les entreprises doivent prendre et documenter les moyens (audits de sécurité, visite des installations, etc.) permettant d’assurer l’effectivité des garanties offertes par le sous-traitant en matière de protection des données. Ces garanties incluent notamment :
-le chiffrement des données selon leur sensibilité ou à défaut l’existence de procédures garantissant que la société de prestation n’a pas accès aux données qui lui sont confiées ;
-le chiffrement des transmissions de données (ex. : connexion de type HTTPS, VPN, etc.) ;
-des garanties en matière de protection du réseau, de traçabilité (journaux, audits), de gestion des habilitations, d’authentification, etc.
Clauses contractuelles
Naturellement, un contrat doit être conclu avec les sous-traitants. Ce contrat définit l’objet, la durée, la finalité du traitement et les obligations des parties. Les entreprises doivent s’assurer qu’il prévoit en particulier :
-la confidentialité des données personnelles confiées ;
-des contraintes minimales en matière d’authentification des utilisateurs ;
-les conditions de restitution et/ou de destruction des données en fin du contrat ;
-les règles de gestion et de notification des incidents.
Notamment, il est important de prévoir une information du responsable de traitement en cas de découverte de faille de sécurité ou d’incident de sécurité, et cela dans les plus brefs délais lorsqu’il s’agit d’une violation de données à caractère personnel.
Services de cloud
Pour finir, la CNIL met en garde les entreprises. Elles ne doivent pas avoir recours à des services de cloud :
-sans avoir des garanties quant à la localisation géographique effective des données ;
-et sans s’assurer des conditions légales et des éventuelles formalités auprès de la CNIL pour les transferts de données en dehors de l’Union européenne.
