Protection des données et coronavirus – 11 mesures pour le traitement des données en cas de crise

De nombreuses entreprises sont touchées par les effets du virus corona ( SARS-CoV-2 ). Certaines entreprises ont déjà demandé à leurs employés de travailler à domicile ou ont documenté leur état de santé. Même dans de telles situations, il ne faut pas négliger la GDPR ou les mesures générales de protection des données, en particulier les précautions relatives à la sécurité organisationnelle et technique. Certaines entreprises ont déjà mis en place une politique de télétravail pour leurs employés, d’autres non. Cet article donne un aperçu des mesures à prendre.

Mesures de protection contre le virus de la corona

Si des informations sur l’état de santé des employés sont collectées, des données sont traitées qui, en tant que données sur la santé, font l’objet d’un niveau de protection accru en vertu du GDPR. Ces données peuvent être traitées, par exemple, en prenant des mesures de fièvre à l’entrée des locaux de l’entreprise ou en interrogeant les employés eux-mêmes. Compte tenu de la nécessité de protéger d’autres employés ou clients contre l’infection, il est considéré comme admissible de s’enquérir de l’état de santé, mais pas d’obtenir des informations générales sur la santé. La question de savoir si un relevé de température serait justifié ou non a été discutée jusqu’à présent par les experts en protection des données, bien que le caractère volontaire de la participation à une telle mesure joue un rôle ici. En revanche, les mesures de fièvre complètes, les dossiers médicaux systématiques, le suivi des téléphones portables et l’évaluation excessive des profils de mouvement des employés en déplacement sont généralement considérés comme des mesures excessives qui pourraient être réalisées par des moyens moins invasifs (tels que des enquêtes).

Ainsi, si des mesures sanitaires sont prises pour se protéger contre le coronavirus et que des données sanitaires sont traitées dans le cadre de ce processus, les règles de protection des données (y compris les exceptions ou autorisations légales, les consentements) doivent être respectées.

Bureau à domicile et sécurité des données

Si les employés sont encouragés à travailler à domicile, il est plus que logique de réfléchir à la manière dont les processus de travail peuvent être mis à disposition afin qu’il soit possible et sûr de continuer à travailler.

Les dispositions relatives au travail à domicile peuvent être prises dans le cadre d’accords individuels ou d’accords-cadres. Il convient d’examiner à l’avance quels sont les documents nécessaires à la maison pour pouvoir travailler. En outre, il faut savoir comment les documents ou les bases de données (applications CRM) sont donnés s’ils sont sauvegardés. Il faut également préciser s’il est possible de travailler avec du matériel privé ou appartenant à l’entreprise. Les appareils privés répondent-ils aux mêmes normes techniques minimales ? Le transfert de données peut-il être crypté et sécurisé ?

Mesures visant à garantir la sécurité des données

Voici des mesures possibles qui peuvent contribuer à la sécurité des données :

• Verrouiller l’étude (si disponible) et enfermer les documents confidentiels dans des classeurs
• Sécuriser la connexion Internet
• Communication de données sensibles via un lecteur de carte ou un identifiant d’utilisateur, utilisation d’une authentification à deux facteurs
  Se connecter au réseau de l’entreprise via VPN
• Crypter la transmission des données
• Connecter l’imprimante localement (LAN)
• Si des appareils appartenant à une entreprise peuvent être utilisés, ils ne doivent pas être utilisés à titre privé
• Les impressions papier doivent être jetées dans les ordures ménagères à l’aide d’un broyeur
• Veiller à ce que d’autres personnes n’aient pas accès ou ne puissent pas accéder aux données de l’entreprise (par exemple, les membres de la famille, les partenaires du GT, les visiteurs)
• Utilisation d’outils de collaboration sécurisés (chats, vidéoconférences, etc.)
• Supprimer les assistants linguistiques privés (Alexa & Co) de l’espace de travail

Aidez vos employés à installer les appareils et informez-les des mesures de sécurité à respecter. Sensibilisez vos employés au danger du phishing des courriers et de l’ingénierie sociale. Il doit également être clair que les violations de données doivent continuer à être signalées au superviseur, même au bureau à domicile. Il existe actuellement un certain nombre de pierres d’achoppement sur Internet au sujet de la corona – virus (Article from Wired on current hacking wave).

La prise en compte des risques liés à la protection des données lors de la création de bureaux à domicile est un élément important. Si vous avez des questions ou des cas individuels spécifiques, veuillez contacter un expert ou la communauté MoreThanDigital.

Karin Dietl

Mag. Karin Dietl ist selbständige Unternehmensberaterin und Spezialistin für Datenschutz-Compliance. Sie startete ihre Ausbildung als Textilchemikerin, absolvierte neben der Anwaltsprüfung mehrere Jahre in internationalen Wirtschaftskanzleien und beschäftigt sich seit 2010 mit der Digitalwirtschaft. Derzeit berät sie Unternehmen zu den Themen Informationssicherheit, Datenschutz, Risikomanagement sowie Digitaler Ethik und Corporate Digital Responsibility. Sie führt zudem Datenschutz-Audits durch und wird für Unternehmen als Datenschutzbeauftragte tätig. Darüber hinaus ist sie Fachvortragende bei Veranstaltungen und Autorin zahlreicher Fachpublikationen.