Données personnelles, cybersécurité et Coronavirus

Données personnelles, cybersécurité et Coronavirus

Published on : 01/04/2020 01 April Apr 04 2020

Suite à l’émergence de l’épidémie de Covid-19, au développement massif du télétravail et la volonté des entreprises de protéger leur personnel, les questions liées à la cybersécurité et aux données personnelles doivent rester une préoccupation majeure des entreprises. Ces préoccupations sont soumises à la vigilance de la Commission Nationale Informatique et Libertés (CNIL), du règlement général sur la protection des données personnelles (RGPD) et de l’Agence Nationale pour la Sécurité des Systèmes d’information (ANSSI).

Sur la collecte des données personnelles

Contrairement à la Corée du Nord qui exploite publiquement l’intégralité des données de santé et de géolocalisation des personnes infectées, la CNIL, autorité française de régulation de l’utilisation des données personnelles, est venue préciser les traitements autorisés et ceux interdits (pour l’instant).

Ainsi, l’entreprise peut :
  • Légitimement informer et sensibiliser son personnel pour qu’il lui transmette une éventuelle exposition au Covid-19 ou directement auprès des autorités sanitaires compétentes ;
  • Favoriser les modes de travail à distance et encourager le recours à la médecine du travail.
  • En cas de signalement, l’entreprise pourra consigner la date et l’identité de la personne suspectée d’avoir été exposée et les mesures organisationnelles prises (confinement, télétravail, contact avec le médecin du travail, etc.).
Toutes autres données de santé, dite sensibles selon le RGPD, et priorité des contrôles CNIL sur l’année 2020, sont soumises à une réglementation particulièrement rigoureuse (consentement, information précise, mesures sécuritaires fortes, base de collecte exceptionnelle…) et ne peuvent être collectées à la simple volonté par l’employeur. En effet, les entreprises ne peuvent porter atteinte au respect de la vie privée de leur personnel, et ne peuvent donc pas procéder à la collecte de données de santé, dont la finalité ne serait pas la seule gestion des suspicions d’exposition au Covid-19.

Par conséquent, les entreprises doivent s’abstenir de procéder à des traitements systématiques et généralisés portant notamment sur des données de santé ou relevant de la sphère privée, telles que des enquêtes et demandes individuelles relatives à la recherche d'éventuels symptômes présentés par un employé/agent et ses proches.

La CNIL interdit formellement, et conformément au RGPD, par exemple la mise en place de relevés obligatoires des températures corporelles de chaque salarié ou la collecte de questionnaires médicaux auprès de l’ensemble du personnel.

Seules les autorités sanitaires sont habilitées à collecter de telles données. Ces autorités sont toutefois, en qualité de personnes publiques, soumises également au RGPD. C’est pourquoi, pour permettre une information transparente, Santé Publique France a, par exemple, communiqué sur les traitements de données à caractère personnel ayant pour finalité le suivi des cas possibles et confirmés d’infection par le virus et le suivi des personnes dites contact d’un cas confirmé. Bien entendu, l’ensemble des droits des personnes concernées, à savoir le droit d’opposition, le droit d’accès, de rectification, d’effacement de leurs données et de limitation du traitement de leurs données, est maintenu et celles-ci peuvent contacter directement les autorités compétentes pour les exercer.

Toutefois, dans le cadre de l’état d’urgence sanitaire déclaré par la LOI n° 2020-290 du 23 mars 2020, les choses peuvent évoluer vite. En effet, le gouvernement a évoqué étudier de prêt les mesures de collecte massive de données personnelles, voire celle de santé, permettant de lutter contre l’épidémie. L’article 9 du RGPD permet le traitement de ces données lorsque celui-ci est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé.

Enfin, même le Comité européen de la protection des données (CEPD) a accepté un traçage des données de géolocalisation des européens en faisant appel aux opérateurs de télécommunication, ceux qu’Orange a officiellement accepté en France. Il reste toutefois que ce traçage est pour l’instant limité à des données anonymisées. A suivre donc !

Le respect de la protection des données personnelles reste donc une priorité absolue française dans un contexte épidémique, dont les modalités organisationnelles et juridiques doivent être appréhendées par les entreprises.

Sur la cybersécurité

Depuis l’avènement du confinement lié au COVID19, des cyberattaques massives ont eu lieu touchant tous secteurs d’activité, et même les hôpitaux. Ainsi le 22 mars 2020, une partie des serveurs de l'Assistance publique-Hôpitaux de Paris (AP-HP) ont été bloqués suite à une attaque par déni de services qui consiste à adresser des requêtes inutiles rendant inaccessibles les serveurs.

Pour contrer ces attaques, plusieurs initiatives ont été mises en place, dont la création d’un groupe de 360 experts mondiaux (40 pays) en cybersécurité sous le nom de Cyber Threat Intelligence (CTI Covid-19) visant à supporter le secteur médical pendant la pandémie de Coronavirus.

En parallèle, l’ANSSI et le site internet https://www.cybermalveillance.gouv.fr/ recensent les bonnes pratiques à adopter pour limiter la propagation de ces cyber-attaques, et incite chacun des individus à veiller à sa propre cybersécurité par :
  • Une identification de la session informatique par identifiant et mots de passe robustes ;
  • La vérification de l’origine des messages (mail, SMS, chat…) reçus pour lutter contre l’hameçonnage (ou phishing) qui visant à subtilise des données personnelles, professionnelles ou bancaires sur un prétendu site officiel ;
  • L’absence de téléchargements des applications hors de sites officiels ou des pièces jointes douteuses, pour endiguer les risques liés aux ransomwares, logiciel visant à bloquer l’accès à l’ensemble de vos données contre la remise d’une rançon la plupart du temps financière ;
  • La vigilance concernant les sites de ventes de masques, de gel hydroalcoolique, de téléconsultation médiale, qui sont le plus souvent créés uniquement pour soutirer des données personnelles ou réclamer un paiement pour un produit inexistant ou non conforme aux réglementations en vigueur ;
  • L’utilisation du seul site du ministère de l’intérieur (https://www.interieur.gouv.fr/Actualites/L-actu-du-Ministere/Attestation-de-deplacement-derogatoire-et-justificatif-de-deplacement-professionnel) pour télécharger gratuitement les attestations obligatoires de déplacement, contrairement aux sites internet frauduleux permettant la captation non autorisée ou payante de données personnelles.
A titre de complément, le site internet www.solidarite-numerique.fr et le numéro de téléphone associé ont été lancés le 29 mars 2020 pour accompagner les personnes ayant des difficultés à appréhender les outils numériques, notamment dans leurs démarches administratives à distance.

Concernant spécifiquement le télétravail, il convient d’être vigilant sur les mesures liées à la sécurité informatique des postes de travail professionnels et/ou personnels utilisés à titre professionnel par les salariés. Une charte informatique est peut-être présente au sein de l’entreprise, encadrant notamment les modalités du BYOD (Bring Your Own Device). Si tel n’est pas le cas, cette période est certainement propice à la mise en place d’une information et sensibilisation claire et précise pour l’usage de ces outils, dont la teneur juridique est primordiale en matière de responsabilité des utilisateurs.

Par Ludovic de la MONNERAYE, Avocat Directeur au sein du département IP/IT.

Toute l’équipe VAUGHAN AVOCATS est mobilisée et à votre disposition pour vous aider dans cette période de crise.

Si vous avez des questions particulières, n’hésitez pas à nous écrire à contact@vaughan-avocats.fr, nous ferons notre possible pour vous répondre dans les 24 h.

History

  • Données personnelles, cybersécurité et Coronavirus
    Published on : 01/04/2020 01 April Apr 04 2020
    Domaine d'expertise / Propriété intellectuelle & Droit du numérique
    Décryptage actualités
    Suite à l’émergence de l’épidémie de Covid-19, au développement massif du télétravail et la volonté des entreprises de protéger leur personnel, les questions liées à la cybersécurité et aux données personnelles doivent rester une préoccupation majeure des entreprises. Ces préoccupations sont soum...
  • Les mesures résultant des ordonnances du 26 mars 2020 / Fiche de synthèse (2/2)
    Published on : 01/04/2020 01 April Apr 04 2020
    Domaine d'expertise / Droit social
    Décryptage actualités
    1. Mesures d’urgence en matière de congés payés, de durée du travail et de jours de repos   ► Congés payés : Sous réserve de la conclusion d’un accord d’entreprise ou, à défaut, d’un accord de branche, les entreprises pourront exceptionnellement : fixer unilatéralement une prise des jours...
  • Décryptage de l’Ordonnance du 25 mars 2020 relative au paiement des loyers, des factures d'eau, de gaz et d'électricité afférents aux locaux professionnels
    Published on : 31/03/2020 31 March Mar 03 2020
    Domaine d'expertise / Droit des affaires et corporate
    Décryptage actualités
    LES BENEFICIAIRES: Peuvent bénéficier des dispositions d’aménagement du paiement des loyers, factures d’eau, de gaz et d’électricité : Les personnes physiques et morales de droit privé exerçant une activité économique qui sont susceptibles de bénéficier du fonds de solidarité mis en place...
  • Activité partielle / fiche de synthèse #covid19 (1/2)
    Published on : 30/03/2020 30 March Mar 03 2020
    Domaine d'expertise / Droit social
    Décryptage actualités
    ► Dispositif exceptionnel d’activité partielle : L’allocation d’activité partielle versée par l’État à l’entreprise, cofinancée par l’État et l’Unedic, n’est plus forfaitaire mais proportionnelle à la rémunération des salariés placés en activité partielle. Le reste à charge pour l’employeur est...
  • Ordonnance du 25 mars 2020 relative à l’Adaptation des procédures et prorogation des délais échus pendant la période d’urgence sanitaire (Hors délais administratifs)
    Published on : 30/03/2020 30 March Mar 03 2020
    Domaine d'expertise / Droit des affaires et corporate
    Décryptage actualités
    Champs d’application AVERTISSEMENT MISE A JOUR : Celle note a été mise à jour le 22 avril. rendez-vous ICI.  Sont concernés : Les délais et mesures expirant entre le 12 mars 2020 et l’expiration d’un délai d’un mois à compter de la date de cessation de l’état d’urgence sanitaire déclaré...
  • Questions / réponses sur la mobilité dans le contexte du Covid-19
    Published on : 30/03/2020 30 March Mar 03 2020
    Domaine d'expertise / Mobilité internationale
    Décryptage actualités
    L’équipe Mobilité internationale répond aux questions des adhérents du Cercle Magellan sur les impacts de l’épidémie sur les salariés en situation de mobilité internationale. Téléchargez le document ICI Par Sandra Thiry, associée et Marylisse Dequeker, collaboratrice,  du département Mobilité in...
<< < ... 34 35 36 37 38 39 40 ... > >>
Browser not supported

The Internet Explorer browser you are currently using does not display this website correctly.

We recommend that you download and use a more recent and secure browser such as Google Chrome , Microsoft Edge , Mozilla Firefox , or Safari (for Mac) for example.
OK