Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 236

D

O

C

T

R

I

N

E

chevaux de Troie,  etc.).  » Mais le
RSSI de l'entreprise ne peut en
aucun cas déployer des verrous
entravant l'utilisation privée d'un
smartphone personnel, au motif
que cet équipement est également
utilisé pour accéder aux ressources
de l'entreprise. On ne peut pas
imposer sur un outil privé les
mêmes précautions que sur un outil
professionnel (ex  : interdiction de
participer à des forums publics, listes
noires de sites interdits ou blocage
du téléchargement d'applications
mobiles). Si la fonction du salarié
est critique au point d'envisager de
telles interdictions, le BYOD est tout
simplement contre-indiqué.
De même, le pouvoir de contrôle
de l'employeur ne peut porter
sur les données privées (sites
consultés, emails, photos, agenda,
annuaire). La Cnil rappelle que si
l'employeur doit pouvoir accéder
au contenu professionnel stocké
dans le terminal privé, voire
procéder à l'effacement à distance
des données de l'entreprise, il ne
peut en revanche en aucun cas
effacer à distance l'ensemble des
données présentes sur le terminal
privé de l'employé. La Cnil invite
donc les employeurs qui autorisent
le BYOD à se référer au « guide du
nomadisme numérique » proposé
par l'Anssi2 .
Une jurisprudence a posé qu'une
clé USB personnelle, connectée au
SI de l'entreprise pour y charger
des données professionnelles,
était alors également présumée
professionnelle (Cass. Ch. Soc.
12.02.2013 (11-28649) et permettait
les investigations de l'employeur
sur les fichiers non expressément
notés «  personnels  », ce qui est
inique puisque par défaut l'outil
personnel contient des fichiers
personnels.
Pour tous les employeurs pris au
dépourvu par le confinement, qui
ont prié leurs personnels de recourir
à leurs équipements personnels
depuis leur domicile... la faculté
de contrôle est donc largement
annihilée. La Cnil a rappelé

236

un certain nombre de recommandations de base, à l'intention des
salariés eux-mêmes (sécuriser
sa propre connexion, créer des
comptes spécifiques sur les
webmails et applications utilisées
pour travailler, sécuriser son propre
PC contre les risques d'intrusion,
chiffrer son accès internet avec
des clés renforcées de type WPA2
ou WPA3, supprimer les accès wifi
invités, s'assurer de la présence
d'un pare-feu et d'un antivirus sur
les outils personnels, renforcer ses
mots de passe, etc.). Les employeurs
doivent répercuter ces instructions
à leurs personnels confinés, mais
ce ne sont toutefois que des pis-aller. En parallèle, les services sécurité
des entreprises ont tenté de réduire
les risques, mais ils ne peuvent pas
assurer la sécurité d'un SI devenu
soudainement
hétéroclite
du
fait du recours aux équipements
personnels. Cette «  externalisation forcée  » a considérablement
multiplié les risques, notamment de
violations de données personnelles.
La Cnil a donc invité les employeurs
à des précautions telles que (i)
cloisonner les parties de l'outil
personnel qui sont utilisées dans
le cadre professionnel («  bulle de
sécurité  »), ou (ii) contrôler l'accès
distant par un dispositif d'authentification forte du salarié (certificat
électronique, carte à puce, etc.).
Or, ces mesures sont déjà rares en
temps normal ; c'est peu dire qu'elles
n'ont pu être mises en place en
catastrophe avant le confinement,
et qu'il est en pratique impossible
de les mettre en œuvre par des
personnels du service informatique
eux-mêmes cloîtrés chez eux...
De plus, l'employeur doit absolument clarifier ses facultés de
contrôle pour qu'elles soient
valables, et indiquer dans une
charte du BYOD quels sont
les appareils éligibles, quelles
sont les conditions d'utilisation, quelles applications, quels
logiciels peuvent être utilisés et
quels documents peuvent être
consultés via l'outil personnel, et
surtout quelles sont les modalités
EXPERTISES Juin 2020

de contrôle de l'employeur sur
les fichiers professionnels qui y
seraient stockés.

Les mesures
techniques et
organisationnelles
restent necessaires
Le télétravail renforce l'acuité des
préconisations qui accompagnent
l'utilisation de solutions cloud dans
le travail. S'il est difficile d'envisager en urgence l'implémentation
de toutes les mesures de sécurité
appropriées (sauvegardes automatisées et redondance, gestion des
identifiants, traçabilité des actions,
pare-feu, anti-virus, solutions
UTM, cryptographie, taux de
disponibilité, RTO/RPO, réversibilité, etc.), le service juridique peut
contrôler, à distance, la nature
et la portée des engagements
des « cloud providers » dans leurs
contrats.

Le respect du RGPD par les
outils professionnels de
télétravail
En effet, le prestataire qui fournit
un SaaS doit garantir qu'il présente
l'ensemble
des
engagements
prévus à l'article 28 du RGPD, et
l'entreprise doit vérifier dans le
contrat que :
■	 les données ne seront utilisées
par ce prestataire à aucune autre
fin que celle liée à la destination
de l'outil (travail collaboratif,
stockage distant, visioconférence, etc.) ;
■	 les données demeurent confidentielles en dépit des transferts,
le service présente les mesures
techniques et organisationnelles
appropriées et a été conçu de
manière à protéger structurellement les données («  privacy by
design ») ;
■	 les données ne peuvent en aucun
cas être transmises vers des tiers
ou réutilisées à d'autres fins par
le prestataire ;
■	 l'outil présente bien les mentions
d'information - mais c'est à l'entreprise, en tant que responsable
de traitement, qui doit s'assurer



Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia

Table des matières de la publication Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia

Couverture
Editorial & Sommaire
FOCUS - DE LA SMART CITY À LA SMART CITY-ZEN
EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
INTERVIEW - LES RACINES DE NOTRE DÉPENDANCE TECHNOLOGIQUE
DOCTRINE
DONNÉES PERSONNELLES - STRATÉGIE DE CONTRÔLE 2020 DE LA CNIL : LE CAP VA-T-IL CHANGER ?
DONNÉES PERSONNELLES - DECONFINEMENT ET DONNEES DE SANTE : SORTEZ COUVERTS !
DONNÉES PERSONNELLES - ET SI ON SE TROMPAIT DE CIBLE ?
DONNÉES PERSONNELLES - LES RÈGLES DANS L’ENTREPRISE EN PÉRIODE DE CRISE SANITAIRE
CONTRATS ET RGPD - CONTRATS ENTRE RESPONSABLES DE TRAITEMENTS ET SOUS-TRAITANTS LES MARGES DE MANOEUVRE POSSIBLES
PROSPECTIVE - AUTOMATISATION DE L’ÉVALUATION DES PRÉJUDICES CORPORELS
CONTRATS INFORMATIQUES - PLANS DE CONTINUITÉ D’ACTIVITÉ ET REPRISE APRÈS DÉSASTRE
PROSPECTIVE - LES LEGATECH, DU CAPITOLE À LA ROCHE TARPÉIENNE
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - Couverture
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - Editorial & Sommaire
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - FOCUS - DE LA SMART CITY À LA SMART CITY-ZEN
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 205
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 206
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 208
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 209
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 210
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - INTERVIEW - LES RACINES DE NOTRE DÉPENDANCE TECHNOLOGIQUE
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 212
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 213
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 214
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 215
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - STRATÉGIE DE CONTRÔLE 2020 DE LA CNIL : LE CAP VA-T-IL CHANGER ?
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 217
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 218
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 219
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 220
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - DECONFINEMENT ET DONNEES DE SANTE : SORTEZ COUVERTS !
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 222
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 223
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 224
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 225
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 226
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 227
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 228
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - ET SI ON SE TROMPAIT DE CIBLE ?
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 230
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - LES RÈGLES DANS L’ENTREPRISE EN PÉRIODE DE CRISE SANITAIRE
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 232
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 233
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 234
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 235
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 236
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 237
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 238
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - CONTRATS ET RGPD - CONTRATS ENTRE RESPONSABLES DE TRAITEMENTS ET SOUS-TRAITANTS LES MARGES DE MANOEUVRE POSSIBLES
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 240
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 241
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 242
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 243
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - PROSPECTIVE - AUTOMATISATION DE L’ÉVALUATION DES PRÉJUDICES CORPORELS
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 245
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 246
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 247
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - CONTRATS INFORMATIQUES - PLANS DE CONTINUITÉ D’ACTIVITÉ ET REPRISE APRÈS DÉSASTRE
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 249
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - PROSPECTIVE - LES LEGATECH, DU CAPITOLE À LA ROCHE TARPÉIENNE
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 251
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 252
https://www.nxtbook.fr/newpress/celog/celog-expertises-2210_483
https://www.nxtbook.fr/newpress/celog/celog-expertises-2209_482
https://www.nxtbook.fr/newpress/celog/celog-expertises-2207_481
https://www.nxtbook.fr/newpress/celog/celog-expertises-2206_480
https://www.nxtbook.fr/newpress/celog/celog-expertises-2205_479
https://www.nxtbook.fr/newpress/celog/celog-expertises-2204_478
https://www.nxtbook.fr/newpress/celog/celog-expertises-2203_477
https://www.nxtbook.fr/newpress/celog/celog-expertises-2202_476
https://www.nxtbook.fr/newpress/celog/celog-expertises-2201_475
https://www.nxtbook.fr/newpress/celog/celog-expertises-2112_474
https://www.nxtbook.fr/newpress/celog/celog-expertises-2111_473
https://www.nxtbook.fr/newpress/celog/celog-expertises-2110_472
https://www.nxtbook.fr/newpress/celog/celog-expertises-2109_471
https://www.nxtbook.fr/newpress/celog/celog-expertises-2107_470
https://www.nxtbook.fr/newpress/celog/celog-expertises-2106_469
https://www.nxtbook.fr/newpress/celog/celog-expertises-2105_468
https://www.nxtbook.fr/newpress/celog/celog-expertises-2104_467
https://www.nxtbook.fr/newpress/celog/celog-expertises-2103_466
https://www.nxtbook.fr/newpress/celog/celog-expertises-2102_465
https://www.nxtbook.fr/newpress/celog/celog-expertises-2101_464
https://www.nxtbook.fr/newpress/celog/celog-expertises-2012_463
https://www.nxtbook.fr/newpress/celog/celog-expertises-2011_462
https://www.nxtbook.fr/newpress/celog/celog-expertises-2010_461
https://www.nxtbook.fr/newpress/celog/celog-expertises-2009_460
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com