28 Avr COVID-19 : bonnes pratiques des DPO

De nombreux services informatiques font état d’une augmentation de la cybercriminalité depuis le début du confinement lié au Covid-19. Les points de vigilance sont nombreux pour les DPO et les DSI.

Le 1er avril 2020, la CNIL a publié ses recommandations pour la mise en place du télétravail, et son impact sur les données personnelles et le respect de la vie privée des utilisateurs.

Parmi les points de vigilance :

–   Sécurisez le système d’information : en élaborant un socle de règles à respecter (charte de sécurité).

–   Faire suivre les mesures à l’ensemble des collaborateurs.

La CNIL a également rappelé dans une communication du 9 avril 2020 que les nouveaux outils de visioconférences mis en place par les entreprises (logiciels zoom, slack, Microsoft Teams, etc…) ne doivent pas accroître les risques en termes de vie privée des utilisateurs.

Pour faire face aux éventuelles failles de sécurité, il est primordial de mettre en place les outils nécessaires pour une gestion efficace des crises : effectuer des reportings, alerter les collaborateurs. 

Comment garantir une protection efficace des données ? Anonymisation des données, durée de conservation des données…

Il est conseillé de toujours se reporter au RGPD et au code du travail. 

Certains éditeurs ont mis en place des mesures particulières de traitement des données concernant le Covid-19 :

–   Identification limitée des contacts : infirmière et DRH.

–   Elaboration d’un tableau reportant :

• Nom et prénom du salarié
• Cas potentiel de Covid-19
• Cas avéré de Covid-19
• Arrêt de travail
• Dernier jour de travail du salarié
• Lieu de confinement

–   Anonymisation des données 2 mois après la fin du confinement.

–   Sécurisation du système informatique avec accès des dossiers sensibles grâce à un mot de passe.

La question de la prise des températures a été également évoquée par Me Corinne Thiérache, notamment parmi les mesures à prendre dans le cadre du déconfinement en sus de la mise à disposition de gels, de masques, d’organisation de postes de travail respectant la distanciation requise et une désinfection régulière. 

La CNIL y était opposée avant le confinement (cf. sa communication du 6 mars dernier). Bien que le Ministère du Travail indique, quant à lui, sur son site que la prise de température quotidienne de tous les individus à l’entrée d’une entreprise ne correspond pas aux recommandations du gouvernement, il ne semble pas exclure cette mesure.  Aussi, dans l’attente éventuelle d’une communication de la CNIL qui pourrait assouplir sa doctrine dans la perspective du déconfinement, des grandes précautions sont à prendre : une étude d’impact en s’interrogeant sur la nécessité et l’utilité réelle d’une telle mesure pour protéger les salariés, la nécessité d’une information préalable, le respect strict du principe de minimisation, le choix de la base légale appropriée (consentement, intérêt légitime, obligation légale dans le sens où l’employeur doit assurer la sécurité notamment sanitaire de ses salariés sur leur lieu de travail (cf. condamnation d’Amazon le 14 avril dernier). 

A date, tous s’accordent à dire que c’est une mesure délicate à mettre en place. De même, quid des informations que la DRH serait amenée à recueillir concernant les salariés à risques ?