Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 237

de la base légale, et donc de
l'information des personnes
concernées ou du recueil de leur
consentement ;
■	 le prestataire fournit son assistance en cas de demandes des
personnes dont les données sont
traitées ou en cas de faille de
sécurité engendrant une perte,
corruption ou indisponibilité
des données, et met en œuvre
des mesures palliatives.
Le recours aux applications de
visioconférence, en particulier,
pose question. Très prisées par
leur caractère convivial et pour
leurs
options
collaboratives,
certaines constituent de vraies
menaces sur la protection des
données personnelles.  L'Anssi a
certifié l'une d'elles3. Certaines
sont proposées par des fournisseurs reconnus et largement
sensibilisés au RGPD, sans que
cela dispense pour autant l'entreprise des vérifications rappelées
ci-avant. Mais d'autres applications, simples d'installation (sans
inscription préalable), ont posé
de graves problèmes de sécurité.
Or, c'est justement leur simplicité
qui a poussé un grand nombre
d'entreprises à y recourir en
urgence dès le début du confinement. L'application Zoom4 a connu
un succès massif et immédiat,
puis un retour de flamme dû à des
défauts dénoncés par des experts
en sécurité (serveur web insuffisamment sécurisé et facilement
piraté, data leaks du fait du « social
login  » Facebook qui en profite
pour implanter son SDK et collecter des données, porosité aux
malwares, absence de chiffrement
de bout en bout, injection automatisée des carnets d'adresses,
croisement de données avec les
profils sociaux des utilisateurs
sans leur consentement, etc.).
Ce n'est ici qu'un exemple des
dangers encourus si l'on utilise des
outils de travail distant sans mettre
en œuvre les précautions exigées
par le RGPD. Certes, la sécurité
peut nuire à la fluidité mais
justement  : les obligations légales

de l'entreprise lui interdisent de
confondre vitesse et précipitation.
Si l'urgence empêche l'entreprise
de procéder aux vérifications qui
s'imposent, elle doit renoncer aux
outils vendus à grand renfort de
slogans chocs et de boniment
marketing, et résister au solutionnisme ambiant. Dans de nombreux
cas qui n'impliquent pas de
partager des documents, une
conférence téléphonique permet
tout aussi bien d'organiser une
réunion de travail qu'une application sur tablette...
Les employeurs doivent également
déployer des plans de continuité
d'activité (PCA) et de reprise
d'activité (PRA). Ces plans se
concentrent généralement sur
les modalités de sécurisation des
outils et connexions distantes,
mais
ils
doivent
également
comporter des mesures organisationnelles,
et
l'information
nécessaire à la protection des
données personnelles. Or, trop peu
de PCA l'évoquent. Pourtant, rien
ne vient exonérer les responsables
de traitement de leur obligation
d'information
des
personnes
concernées lorsqu'ils déclenchent
le PCA.
A toutes ces précautions d'ordre
technique et contractuel, s'ajoute
la nécessaire sensibilisation des
salariés. La sécurité n'est pas
qu'une question de technologies,
mais aussi de comportement. Ce
que la technique ne permet pas de
faire, la formation doit y suppléer.

La sensibilisation
et l'information des équipes
La protection des données personnelles ne comprend pas que les
mesures techniques à déployer par
la DSI, tant bien que mal, sur des
outils qu'elle ne maîtrise pas  : elle
repose aussi sur la vigilance du
personnel. Le recours au télétravail implique une sensibilisation
spécifique. Si la charte informatique de l'entreprise ne prévoyait
pas déjà un chapitre afférent,
l'entreprise doit y remédier au plus
EXPERTISES Juin 2020

tôt et, dans l'immédiat, diffuser
des notes d'information, quitte à
actualiser les chartes internes dans
un second temps via la validation
par les instances représentatives
du personnel.
L'entreprise doit rappeler les
précautions à observer quand on
travaille de chez soi, y compris
sur ses outils personnels, car les
données manipulées sont celles
de l'entreprise (dont les données
personnelles des clients, fournisseurs, partenaires, prospects) qu'il
incombe à chacun de protéger
dans ce contexte exceptionnel. Le salarié doit surveiller les
outils utilisés et s'abstenir de tout
comportement à risque. En clair,
on ne télécharge pas un film piraté
sur l'ordinateur qu'on utilise pour
les visioconférences du lundi...
La Cnil a émis une liste de bonnes
pratiques à adopter par le salarié
lui-même5  : vérifier les dispositifs
de sécurité de son PC, renouveler
ses mots de passe, sauvegarder
souvent son travail. Certains
conseils
sont
spécifiquement
tournés vers le télétravail6 dont
l'émission de règles minimales de
confidentialité à respecter, contrôle
des accès distants, etc.
Le salarié doit aussi signaler toute
fuite de données qu'il constaterait,
ou dont il serait malheureusement
à l'origine par erreur de manipulation. L'utilisation de ressources
personnelles court-circuite souvent
les mesures automatisées du réseau
d'entreprise. Il suffit d'un serveur
distant indisponible, d'une panne
d'un PC personnel ou de la destruction accidentelle d'une sauvegarde
pour créer une violation de
données.
Or, l'employeur est tenu de signaler
toute violation de données conformément à l'article 33 du RGPD7. Et
pour ne rien arranger, le piratage
informatique profite bien entendu
de la situation pour tromper
la vigilance des équipes  : on a
constaté une forte recrudescence
de tentatives de phishing à l'occasion du confinement.

237



Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia

Table des matières de la publication Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia

Couverture
Editorial & Sommaire
FOCUS - DE LA SMART CITY À LA SMART CITY-ZEN
EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
INTERVIEW - LES RACINES DE NOTRE DÉPENDANCE TECHNOLOGIQUE
DOCTRINE
DONNÉES PERSONNELLES - STRATÉGIE DE CONTRÔLE 2020 DE LA CNIL : LE CAP VA-T-IL CHANGER ?
DONNÉES PERSONNELLES - DECONFINEMENT ET DONNEES DE SANTE : SORTEZ COUVERTS !
DONNÉES PERSONNELLES - ET SI ON SE TROMPAIT DE CIBLE ?
DONNÉES PERSONNELLES - LES RÈGLES DANS L’ENTREPRISE EN PÉRIODE DE CRISE SANITAIRE
CONTRATS ET RGPD - CONTRATS ENTRE RESPONSABLES DE TRAITEMENTS ET SOUS-TRAITANTS LES MARGES DE MANOEUVRE POSSIBLES
PROSPECTIVE - AUTOMATISATION DE L’ÉVALUATION DES PRÉJUDICES CORPORELS
CONTRATS INFORMATIQUES - PLANS DE CONTINUITÉ D’ACTIVITÉ ET REPRISE APRÈS DÉSASTRE
PROSPECTIVE - LES LEGATECH, DU CAPITOLE À LA ROCHE TARPÉIENNE
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - Couverture
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - Editorial & Sommaire
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - FOCUS - DE LA SMART CITY À LA SMART CITY-ZEN
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 205
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 206
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 208
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 209
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 210
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - INTERVIEW - LES RACINES DE NOTRE DÉPENDANCE TECHNOLOGIQUE
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 212
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 213
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 214
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 215
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - STRATÉGIE DE CONTRÔLE 2020 DE LA CNIL : LE CAP VA-T-IL CHANGER ?
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 217
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 218
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 219
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 220
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - DECONFINEMENT ET DONNEES DE SANTE : SORTEZ COUVERTS !
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 222
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 223
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 224
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 225
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 226
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 227
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 228
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - ET SI ON SE TROMPAIT DE CIBLE ?
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 230
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - LES RÈGLES DANS L’ENTREPRISE EN PÉRIODE DE CRISE SANITAIRE
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 232
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 233
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 234
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 235
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 236
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 237
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 238
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - CONTRATS ET RGPD - CONTRATS ENTRE RESPONSABLES DE TRAITEMENTS ET SOUS-TRAITANTS LES MARGES DE MANOEUVRE POSSIBLES
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 240
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 241
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 242
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 243
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - PROSPECTIVE - AUTOMATISATION DE L’ÉVALUATION DES PRÉJUDICES CORPORELS
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 245
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 246
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 247
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - CONTRATS INFORMATIQUES - PLANS DE CONTINUITÉ D’ACTIVITÉ ET REPRISE APRÈS DÉSASTRE
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 249
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - PROSPECTIVE - LES LEGATECH, DU CAPITOLE À LA ROCHE TARPÉIENNE
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 251
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 252
https://www.nxtbook.fr/newpress/celog/celog-expertises-2009_460
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com