SHARE

La sécurité des données

On voit mal comment une entreprise peut aujourd’hui travailler sans faire appel à l’informatique. Or dans l’univers informatique les données peuvent être endommagées, détruites, perdues.

C’est pourquoi tout professionnel doit procéder a minima à des mesures de sauvegarde et de sécurité de ses données.

Il s’agit de mesures de gestion saine et d’anticipation des risques auxquelles tout dirigeant se doit de se conformer. C’est pourquoi la sauvegarde et la sécurité des données est un acte de gestion essentiel dans la vie d’une entreprise.

Cette obligation est d’autant plus vraie que c’est l’entreprise qui met à la disposition de ses employés des moyens d’accès à des données à caractère personnel qui sont ensuite, via des outils informatiques, partagés en réseaux internes ou parfois via internet.

C’est les cas par exemple des données sur les téléphones mobiles, les plateformes intranet, les bases de données clients partagées en réseaux entre les services / filiales.

Cette problématique de sécurité des données est davantage mise en avant pour les données consultées à partir de terminaux mobiles ou pour les solutions de Cloud Computing.

Or, une étude a révélé qu’en 2012, 15% des employés français ont déjà perdu un appareil mobile sur lequel étaient stockés des documents professionnels ! (Source : Imation Corp., étude intitulée « Travail mobile et sécurité informatique », réalisée en 2012 auprès d’employés travaillant en France, en Allemagne et au Royaume-Uni)

Il s’agit là d’une faille importante dans la sécurité des données de l’entreprise, d’autant que près de 64% des employés ont déjà utilisé leur ordinateur fixe/mobile personnel pour accéder au réseau ou aux documents d’entreprise. (Source : Imation Corp., étude citée ci-dessus).

La responsabilité de l’entreprise

De part son double rôle d’employeur et de responsable de traitements, l’entreprise doit mettre en place des mesures proportionnées et appropriées de protection de leurs données à caractère personnel.

A ce titre, il apparait plus qu’essentiel de mettre à jour votre charte informatique en y intégrant la gestion de terminaux mobiles et l’accès à distance aux documents professionnels.

Ainsi près de 55% des entreprises ont déjà mis en place des règles strictes pour encadrer l’accès aux documents professionnels sensibles depuis des appareils personnels, et près de 42% des sondés assurent connaître ces règles et toujours les respecter (Source : Imation Corp., étude citée ci-dessus).

Pour rappel, l’article 34 de la loi Informatique et libertés impose à tout chef d’entreprise collectant et traitant des données à caractère personnel de mettre en place des mesures de sécurité pour empêcher que ces données ne soient déformées, endommagées ou que des tiers non autorisés y aient accès.

A défaut, cela constitue une infraction pénale sanctionnée de cinq ans de prison et de 300 000 € d’amende (Article 226-17 du Code pénal). Pour les personnes morales la peine d’amende encourue est quintuplée, soit 1 500 000 euros.

Cette obligation de sécurité est d’ordre général et il n’existe pas de liste exhaustive de mesures à mettre en place.

Cependant, l’employeur, en tant que responsable de traitement, peut voir sa responsabilité engagée du seul fait de la mauvaise identification des précautions à mettre en œuvre.

A ce titre il est recommandé de :

  •   auditer la sécurité et la gestion des données à caractère personnel, y incluant les données sensibles et confidentielles
  •  mettre en place un Guide Sécurité et une charte informatique à laquelle les salariés doivent adhérer
  • assurer la traçabilité des actions sur le réseau
  • avoir une politique de mot de passe rigoureuse, avec des mots de passe régulièrement changés et suffisamment complexes.

Par Yaël Cohen-Hadria, Avocate chez HAAS-Cabinet d’Avocats labellisé par la CNIL