Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 235

illicites, comme l'a rappelé la Cour
de cassation dans un arrêt du
26 février 2020 (18-24.758) relatif au
déploiement par un employeur de
l'outil « Smart RH » sans information préalable des instances
représentatives du personnel.
Pourtant, les exigences de transparence et de proportionnalité du
RGPD doivent être respectées, la
finalité de contrôle d'activité doit
être signalée. On peut d'ailleurs
s'interroger sur la compatibilité
entre télétravail et contrôle étroit
de l'activité des salariés, puisque le
télétravail a justement pour effet,
sinon pour objet, de redonner aux
salariés une plus grande liberté
dans leur organisation. Il est
difficile de prétendre accorder cette
liberté aux salariés tout en estimant
pouvoir les sanctionner s'il apparaît
qu'ils ne se connectent pas assez
souvent aux outils de travail
ou prennent des pauses jugées
excessives ou trop fréquentes dans
un contexte normal. Si les notions
d'horaires et de lieux professionnels s'estompent, la faculté de
contrôle de l'employeur également.
L'entreprise doit aussi s'interroger sur la pertinence d'un
enregistrement
systématique
des visioconférences. Beaucoup
d'entre elles n'y voient pas d'intérêt et limitent ainsi la quantité de
données collectées. Est-il impératif d'allumer sa webcam pour
participer à une réunion  ? On
constate parfois une forme de
pression pour que tous les participants d'une réunion affichent leur
visage, au nom de la convivialité...
Mais le salarié qui participe à
une réunion de travail depuis
sa cuisine peut-il être contraint
à le faire  ? Certainement pas
sans qu'une finalité robuste soit
invoquée à cet effet.
De surcroît, un dispositif de contrôle
distant du salarié peut impliquer
l'exécution d'une analyse d'impact
préalable (AIPD) au sens de l'article
35 du RGPD - ce que bien peu
d'entreprises sont prêtes à faire
en période de confinement. Or, la

Cnil a rappelé que tout « traitement
ayant pour finalité de surveiller de
manière constante l'activité des
employés concernés  » implique
une telle analyse. Plusieurs critères
déclencheurs de l'AIPD peuvent
être réunis  : surveillance via les
logs, mesure de rendement, recours
à des technologies « innovantes »,
collecte de données concernant
des
personnes
juridiquement
vulnérables que sont les salariés).
Attention donc à tout contrôle
systématique
d'activité
qui
s'appuierait sur les outils de travail
distant : il ne peut pas être pratiqué
sans AIPD.
L'employeur doit donc s'interroger
sur les données des salariés qu'il
collecte via les outils de travail
distants. Il doit s'assurer de la
base légale qui l'autorise à le faire
(exécution du contrat de travail,
intérêt légitime lié à la sécurité de
ses actifs ou de son réseau), définir
avec précision les finalités qu'il
poursuit via ces outils, et limiter
au strict nécessaire les données
collectées, en prenant soin d'en
informer au préalable l'ensemble
des personnels.
Or, si l'urgence peut permettre de se
passer de la consultation préalable
du CSE, peu d'entreprises ont eu
le réflexe d'informer leurs salariés,
comme exigé à la fois par l'article
L. 1222-4 du code du travail et par
les articles 12 et 13 du RGPD, au
moment du confinement et préalablement au déploiement des outils
de télétravail. Il est donc vivement
préconisé aux entreprises de
supprimer toute donnée qui aurait
été collectée sans cette information
légale préalable, et de vite déployer
celle-ci si elles souhaitent pouvoir
continuer d'utiliser ces outils à
l'avenir.

Bring Your Own Device...
back at home
Le confinement et le déploiement du télétravail ont amené de
nombreux salariés à utiliser des
outils personnels (PC, smartphone,
abonnement internet personnels...)
EXPERTISES Juin 2020

qui n'ont pas été mis à disposition
par leurs employeurs et ne bénéficient pas des mesures de sécurité
en vigueur sur le système d'information de l'entreprise. On sécurise
généralement bien mieux un
réseau professionnel qu'un réseau
personnel  : l'entreprise consacre
des personnels spécialisés (DSI,
RSSI) à la sécurisation de ses actifs,
son fichier client, sa R&D, etc.
Certes, certaines entreprises n'ont
pas attendu la crise sanitaire pour
permettre à leurs salariés d'utiliser
leurs outils personnels  : c'est la
pratique du BYOD («  bring your
own device  »). Ces entreprises
ont pris soin de s'assurer que
les connexions distantes depuis
d'autres locaux que les locaux
professionnels sont effectuées
via des canaux sécurisés (VPN).
Il suffit à ces entreprises de
continuer à appliquer les règles
déjà exposées dans leurs chartes
informatiques.
Cependant, dès lors qu'un salarié
recourt à un outil personnel, la
logique s'inverse. Là où l'outil
professionnel ne peut être utilisé
à des fins personnelles que
de manière très résiduelle, en
revanche l'outil personnel est,
par définition, rempli de fichiers
privés, au milieu desquels les
données professionnelles sont
stockées.
Qu'on
songe
aux
répertoires de contacts dans les
smartphones par exemple.
La Cnil a rappelé que « l'employeur
est responsable de la sécurité
des données personnelles de son
entreprise, y compris lorsqu'elles
sont stockées sur des terminaux
dont il n'a pas la maîtrise physique
ou juridique, mais dont il a
autorisé l'utilisation pour accéder
aux ressources informatiques de
l'entreprise.  », et que «  Les risques
contre lesquels il est indispensable
de se prémunir vont de l'atteinte
ponctuelle à la disponibilité,
l'intégrité et la confidentialité des
données, à la compromission
générale du système d'information
de l'entreprise (intrusion, virus,

235



Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia

Table des matières de la publication Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia

Couverture
Editorial & Sommaire
FOCUS - DE LA SMART CITY À LA SMART CITY-ZEN
EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
INTERVIEW - LES RACINES DE NOTRE DÉPENDANCE TECHNOLOGIQUE
DOCTRINE
DONNÉES PERSONNELLES - STRATÉGIE DE CONTRÔLE 2020 DE LA CNIL : LE CAP VA-T-IL CHANGER ?
DONNÉES PERSONNELLES - DECONFINEMENT ET DONNEES DE SANTE : SORTEZ COUVERTS !
DONNÉES PERSONNELLES - ET SI ON SE TROMPAIT DE CIBLE ?
DONNÉES PERSONNELLES - LES RÈGLES DANS L’ENTREPRISE EN PÉRIODE DE CRISE SANITAIRE
CONTRATS ET RGPD - CONTRATS ENTRE RESPONSABLES DE TRAITEMENTS ET SOUS-TRAITANTS LES MARGES DE MANOEUVRE POSSIBLES
PROSPECTIVE - AUTOMATISATION DE L’ÉVALUATION DES PRÉJUDICES CORPORELS
CONTRATS INFORMATIQUES - PLANS DE CONTINUITÉ D’ACTIVITÉ ET REPRISE APRÈS DÉSASTRE
PROSPECTIVE - LES LEGATECH, DU CAPITOLE À LA ROCHE TARPÉIENNE
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - Couverture
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - Editorial & Sommaire
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - FOCUS - DE LA SMART CITY À LA SMART CITY-ZEN
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 205
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 206
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 208
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 209
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 210
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - INTERVIEW - LES RACINES DE NOTRE DÉPENDANCE TECHNOLOGIQUE
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 212
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 213
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 214
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 215
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - STRATÉGIE DE CONTRÔLE 2020 DE LA CNIL : LE CAP VA-T-IL CHANGER ?
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 217
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 218
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 219
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 220
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - DECONFINEMENT ET DONNEES DE SANTE : SORTEZ COUVERTS !
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 222
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 223
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 224
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 225
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 226
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 227
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 228
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - ET SI ON SE TROMPAIT DE CIBLE ?
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 230
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - LES RÈGLES DANS L’ENTREPRISE EN PÉRIODE DE CRISE SANITAIRE
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 232
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 233
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 234
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 235
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 236
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 237
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 238
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - CONTRATS ET RGPD - CONTRATS ENTRE RESPONSABLES DE TRAITEMENTS ET SOUS-TRAITANTS LES MARGES DE MANOEUVRE POSSIBLES
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 240
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 241
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 242
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 243
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - PROSPECTIVE - AUTOMATISATION DE L’ÉVALUATION DES PRÉJUDICES CORPORELS
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 245
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 246
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 247
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - CONTRATS INFORMATIQUES - PLANS DE CONTINUITÉ D’ACTIVITÉ ET REPRISE APRÈS DÉSASTRE
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 249
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - PROSPECTIVE - LES LEGATECH, DU CAPITOLE À LA ROCHE TARPÉIENNE
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 251
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 252
https://www.nxtbook.fr/newpress/celog/celog-expertises-2009_460
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com