Données personnelles, cybersécurité et Coronavirus

Données personnelles, cybersécurité et Coronavirus

Publié le : 01/04/2020 01 avril avr. 04 2020

Suite à l’émergence de l’épidémie de Covid-19, au développement massif du télétravail et la volonté des entreprises de protéger leur personnel, les questions liées à la cybersécurité et aux données personnelles doivent rester une préoccupation majeure des entreprises. Ces préoccupations sont soumises à la vigilance de la Commission Nationale Informatique et Libertés (CNIL), du règlement général sur la protection des données personnelles (RGPD) et de l’Agence Nationale pour la Sécurité des Systèmes d’information (ANSSI).

Sur la collecte des données personnelles

Contrairement à la Corée du Nord qui exploite publiquement l’intégralité des données de santé et de géolocalisation des personnes infectées, la CNIL, autorité française de régulation de l’utilisation des données personnelles, est venue préciser les traitements autorisés et ceux interdits (pour l’instant).

Ainsi, l’entreprise peut :
  • Légitimement informer et sensibiliser son personnel pour qu’il lui transmette une éventuelle exposition au Covid-19 ou directement auprès des autorités sanitaires compétentes ;
  • Favoriser les modes de travail à distance et encourager le recours à la médecine du travail.
  • En cas de signalement, l’entreprise pourra consigner la date et l’identité de la personne suspectée d’avoir été exposée et les mesures organisationnelles prises (confinement, télétravail, contact avec le médecin du travail, etc.).
Toutes autres données de santé, dite sensibles selon le RGPD, et priorité des contrôles CNIL sur l’année 2020, sont soumises à une réglementation particulièrement rigoureuse (consentement, information précise, mesures sécuritaires fortes, base de collecte exceptionnelle…) et ne peuvent être collectées à la simple volonté par l’employeur. En effet, les entreprises ne peuvent porter atteinte au respect de la vie privée de leur personnel, et ne peuvent donc pas procéder à la collecte de données de santé, dont la finalité ne serait pas la seule gestion des suspicions d’exposition au Covid-19.

Par conséquent, les entreprises doivent s’abstenir de procéder à des traitements systématiques et généralisés portant notamment sur des données de santé ou relevant de la sphère privée, telles que des enquêtes et demandes individuelles relatives à la recherche d'éventuels symptômes présentés par un employé/agent et ses proches.

La CNIL interdit formellement, et conformément au RGPD, par exemple la mise en place de relevés obligatoires des températures corporelles de chaque salarié ou la collecte de questionnaires médicaux auprès de l’ensemble du personnel.

Seules les autorités sanitaires sont habilitées à collecter de telles données. Ces autorités sont toutefois, en qualité de personnes publiques, soumises également au RGPD. C’est pourquoi, pour permettre une information transparente, Santé Publique France a, par exemple, communiqué sur les traitements de données à caractère personnel ayant pour finalité le suivi des cas possibles et confirmés d’infection par le virus et le suivi des personnes dites contact d’un cas confirmé. Bien entendu, l’ensemble des droits des personnes concernées, à savoir le droit d’opposition, le droit d’accès, de rectification, d’effacement de leurs données et de limitation du traitement de leurs données, est maintenu et celles-ci peuvent contacter directement les autorités compétentes pour les exercer.

Toutefois, dans le cadre de l’état d’urgence sanitaire déclaré par la LOI n° 2020-290 du 23 mars 2020, les choses peuvent évoluer vite. En effet, le gouvernement a évoqué étudier de prêt les mesures de collecte massive de données personnelles, voire celle de santé, permettant de lutter contre l’épidémie. L’article 9 du RGPD permet le traitement de ces données lorsque celui-ci est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé.

Enfin, même le Comité européen de la protection des données (CEPD) a accepté un traçage des données de géolocalisation des européens en faisant appel aux opérateurs de télécommunication, ceux qu’Orange a officiellement accepté en France. Il reste toutefois que ce traçage est pour l’instant limité à des données anonymisées. A suivre donc !

Le respect de la protection des données personnelles reste donc une priorité absolue française dans un contexte épidémique, dont les modalités organisationnelles et juridiques doivent être appréhendées par les entreprises.

Sur la cybersécurité

Depuis l’avènement du confinement lié au COVID19, des cyberattaques massives ont eu lieu touchant tous secteurs d’activité, et même les hôpitaux. Ainsi le 22 mars 2020, une partie des serveurs de l'Assistance publique-Hôpitaux de Paris (AP-HP) ont été bloqués suite à une attaque par déni de services qui consiste à adresser des requêtes inutiles rendant inaccessibles les serveurs.

Pour contrer ces attaques, plusieurs initiatives ont été mises en place, dont la création d’un groupe de 360 experts mondiaux (40 pays) en cybersécurité sous le nom de Cyber Threat Intelligence (CTI Covid-19) visant à supporter le secteur médical pendant la pandémie de Coronavirus.

En parallèle, l’ANSSI et le site internet https://www.cybermalveillance.gouv.fr/ recensent les bonnes pratiques à adopter pour limiter la propagation de ces cyber-attaques, et incite chacun des individus à veiller à sa propre cybersécurité par :
  • Une identification de la session informatique par identifiant et mots de passe robustes ;
  • La vérification de l’origine des messages (mail, SMS, chat…) reçus pour lutter contre l’hameçonnage (ou phishing) qui visant à subtilise des données personnelles, professionnelles ou bancaires sur un prétendu site officiel ;
  • L’absence de téléchargements des applications hors de sites officiels ou des pièces jointes douteuses, pour endiguer les risques liés aux ransomwares, logiciel visant à bloquer l’accès à l’ensemble de vos données contre la remise d’une rançon la plupart du temps financière ;
  • La vigilance concernant les sites de ventes de masques, de gel hydroalcoolique, de téléconsultation médiale, qui sont le plus souvent créés uniquement pour soutirer des données personnelles ou réclamer un paiement pour un produit inexistant ou non conforme aux réglementations en vigueur ;
  • L’utilisation du seul site du ministère de l’intérieur (https://www.interieur.gouv.fr/Actualites/L-actu-du-Ministere/Attestation-de-deplacement-derogatoire-et-justificatif-de-deplacement-professionnel) pour télécharger gratuitement les attestations obligatoires de déplacement, contrairement aux sites internet frauduleux permettant la captation non autorisée ou payante de données personnelles.
A titre de complément, le site internet www.solidarite-numerique.fr et le numéro de téléphone associé ont été lancés le 29 mars 2020 pour accompagner les personnes ayant des difficultés à appréhender les outils numériques, notamment dans leurs démarches administratives à distance.

Concernant spécifiquement le télétravail, il convient d’être vigilant sur les mesures liées à la sécurité informatique des postes de travail professionnels et/ou personnels utilisés à titre professionnel par les salariés. Une charte informatique est peut-être présente au sein de l’entreprise, encadrant notamment les modalités du BYOD (Bring Your Own Device). Si tel n’est pas le cas, cette période est certainement propice à la mise en place d’une information et sensibilisation claire et précise pour l’usage de ces outils, dont la teneur juridique est primordiale en matière de responsabilité des utilisateurs.

Par Ludovic de la MONNERAYE, Avocat Directeur au sein du département IP/IT.

Toute l’équipe VAUGHAN AVOCATS est mobilisée et à votre disposition pour vous aider dans cette période de crise.

Si vous avez des questions particulières, n’hésitez pas à nous écrire à contact@vaughan-avocats.fr, nous ferons notre possible pour vous répondre dans les 24 h.

Historique

  • Données personnelles et invalidation du Privacy Shield : Quelles conséquences pour les entreprises ?
    Publié le : 20/07/2020 20 juillet juil. 07 2020
    Domaine d'expertise / Propriété intellectuelle & Numérique (IP / IT)
    Dans un arrêt rendu jeudi 16 juillet 2020 (Arrêt Schrems II), la Cour de Justice de l’Union Européenne (CJUE) a invalidé la décision 2016/1250 de la Commission Européenne relative à l’adéquation de la protection assurée par le bouclier de protection des données UE - Etats-Unis, plus couramment ap...
  • Application StopCovid et données personnelles
    Publié le : 04/06/2020 04 juin juin 06 2020
    Domaine d'expertise / Propriété intellectuelle & Numérique (IP / IT)
    Décryptage actualités
    Face à la crise sanitaire actuelle, la technologie est utilisée comme outil supplémentaire pour tenter de maîtriser l’épidémie de Covid-19, dans le cadre de la stratégie dite de « déconfinement ». Bien que l’épidémie continue de ralentir, l’application StopCovid, destinée à enrayer la propagation...
  • La signature électronique : mode d’emploi et benchmark de 4 solutions !
    Publié le : 26/05/2020 26 mai mai 05 2020
    Domaine d'expertise / Propriété intellectuelle & Numérique (IP / IT)
    Décryptage actualités
    La signature électronique, beaucoup en ont entendu parler, certains l'ont pratiquée lors de la réception de colis, à la banque, de la signature d'un contrat, chez le notaire / l'avocat, d'autres enfin retardaient son adoption compte tenu de sa complexité (juridique, technique, financière…). La pa...
  • Conférence 16/ 04/ 2020 : Mieux comprendre le RGPD et la protection des données
    Publié le : 15/04/2020 15 avril avr. 04 2020
    We are vaughan
    Domaine d'expertise / Propriété intellectuelle & Numérique (IP / IT)
    Participez à la conférence en live sur Youtube Google Ateliers Numériques jeudi 16 avril. Vous pourrez appréhender la notion de donnée personnelle et découvrir les droits et obligations liés aux données personnelles pour les TPE/PME. Nous pourrons identifier les pièges à éviter et vous donner...
  • Données personnelles, cybersécurité et Coronavirus
    Publié le : 01/04/2020 01 avril avr. 04 2020
    Domaine d'expertise / Propriété intellectuelle & Numérique (IP / IT)
    Décryptage actualités
    Suite à l’émergence de l’épidémie de Covid-19, au développement massif du télétravail et la volonté des entreprises de protéger leur personnel, les questions liées à la cybersécurité et aux données personnelles doivent rester une préoccupation majeure des entreprises. Ces préoccupations sont soum...
  • Ce que vous devez savoir pour (ne pas) déposer la marque « CORONAVIRUS » ou « COVID 19 »
    Publié le : 27/03/2020 27 mars mars 03 2020
    Domaine d'expertise / Propriété intellectuelle & Numérique (IP / IT)
    Décryptage actualités
    A l’heure où nous traversons des jours difficiles, où nombreux sont ceux qui craignent pour la survie de leur activité, certains visionnaires ne se laissent pas abattre et décident de surfer sur la vague coronavirus qui traverse actuellement la planète. Depuis le début de l’épidémie, de nombre...
<< < 1 > >>
Information sur les cookies
Nous avons recours à des cookies techniques pour assurer le bon fonctionnement du site, nous utilisons également des cookies soumis à votre consentement pour collecter des statistiques de visite.
Cliquez ci-dessous sur « ACCEPTER » pour accepter le dépôt de l'ensemble des cookies ou sur « CONFIGURER » pour choisir quels cookies nécessitant votre consentement seront déposés (cookies statistiques), avant de continuer votre visite du site. Plus d'informations
 
ACCEPTER CONFIGURER REFUSER
Gestion des cookies

Les cookies sont des fichiers textes stockés par votre navigateur et utilisés à des fins statistiques ou pour le fonctionnement de certains modules d'identification par exemple.
Ces fichiers ne sont pas dangereux pour votre périphérique et ne sont pas utilisés pour collecter des données personnelles.
Le présent site utilise des cookies d'identification, d'authentification ou de load-balancing ne nécessitant pas de consentement préalable, et des cookies d'analyse de mesure d'audience nécessitant votre consentement en application des textes régissant la protection des données personnelles.
Vous pouvez configurer la mise en place de ces cookies en utilisant les paramètres ci-dessous.
Nous vous informons qu'en cas de blocage de ces cookies certaines fonctionnalités du site peuvent devenir indisponibles.
Google Analytics est un outil de mesure d'audience.
Les cookies déposés par ce service sont utilisés pour recueillir des statistiques de visites anonymes à fin de mesurer, par exemple, le nombre de visistes et de pages vues.
Ces données permettent notamment de suivre la popularité du site, de détecter d'éventuels problèmes de navigation, d'améliorer son ergonomie et donc l'expérience des utilisateurs.