9. Comment assurer la stricte conformité du traitement aux exigences réglementaires
A cette étape, l’entreprise doit recenser les mesures juridiques à mettre en œuvre afin d’assurer la conformité du traitement de données envisagé au RGPD ainsi qu’à d’éventuelles règlementations sectorielles complémentaires (données bancaires, données de santé, OIV, etc.).
A ce titre, vous devez vous assurer du respect :
- De l’identification d’une base légale couvrant le traitement en cause : s’agit-il de l’intérêt légitime de l’entreprise ? S’agit-il de l’exécution d’un contrat de travail ? Doit-il s’agir du consentement préalable des personnes concernées ? En l’espèce, la finalité de protection des actifs incorporels de l’entreprise, voire le contrôle d’activité des salariés, relève le plus souvent de l’intérêt légitime de l’entreprise. Il doit être indiqué comme tel dans le cadre de l’AIPD ;
- De l’information préalable et complète des salariés concernés, conforme aux exigences des articles 12 et 13 du RGPD. Puisque la base légale du traitement de contrôle des emails ne nécessité pas le consentement préalable des salariés, car relevant de l’intérêt légitime, alors l’employeur doit procéder à une information précise auprès des salariés, avant la mise en place de ce traitement. Il se trouve que s’agissant de l’introduction d’une technologie de contrôle dans l’entreprise, cette obligation d’information préalable circonstanciée rejoint les obligations issues du Code du travail en matière d’information préalable des instances représentatives du personnel ;
- De la conformité de la durée de conservation envisagée : on doit vérifier si des durées de conservation des données des salariés (ici les métadonnées d’envoi et réception des emails, les adresses de correspondances, voire le contenu des messages et des pièces jointes) sont déterminées par la loi ou la jurisprudence, et à défaut, définir une ou plusieurs durées de conservation en fonction des finalités (durée du contrat de travail, prescriptions légales pour administrer en justice la preuve d’un acte délictueux ou d’un manquement aux engagements de confidentialité ou de loyauté du salarié, etc.) ;
- Des transferts de données vers leurs destinataires (quels destinataires ? Ici on parlera de catégories, telles que les clients de la PME, les fournisseurs de la PME, la hiérarchie et les autres membres du personnel, la DSI, éventuellement le prestataire en charge du système de contrôle des emails bien entendu, etc.) ;
- Des garanties déployées en cas de recours à la sous-traitance (donc en particulier, s’il s’agit d’une plateforme de contrôle des emails en cloud, quels engagements ont été contractés par l’éditeur cloud, quelles sont les mesures techniques et organisationnelles déployées par celui-ci, quels sont ses dispositifs de sécurité, quels sont ses éventuels sous-traitants ultérieurs, quelles procédures d’alerte en cas de violation des données sont en vigueur chez lui, etc. On mesure tout l’importance de la collaboration due par le sous-traitant (ici le fournisseur cloud) au responsable de traitement (ici la PME) ;
- Des garanties relatives aux éventuels transferts en dehors de l’Union Européenne, et de l’information associée, le cas échéant ;
- Des procédures permettant aux salariés d’exercer leurs droits (dont leurs droits d’accès, de rectification, d’effacement, d’opposition, et de limitation du traitement) sous réserve des exceptions que le responsable de traitement peut opposer à certains de ses droits, en vertu ici de son intérêt légitime (à quoi bon déployer un dispositif de contrôle des messageries, s’il est loisible à un salarié indélicat de demander et d’obtenir l’effacement des traces de sa forfaiture ?)
- Du dispositif de notification en cas de violation des données présentant un risque élevé.
L’ensemble de ces éléments doit apparaître dans l’AIPD, en particulier les modalités d’accès au DPO, et la procédure simple et accessible proposée aux salariés pour faire valoir leurs droits sur leurs données. Les exemples donnés par la CNIL sont très détaillés s’agissant des procédures applicables à chacun des droits (accès, rectification, effacement, portabilité…).
En outre, l’AIPD doit indiquer, de l’avis du DPO, si ces éléments sont suffisants tels qu’ils existent, ou s’ils doivent justement être améliorés et renforcés afin d’assurer une conformité optimale au RGPD : les mesures d’information sont-elles efficaces, et suffisamment précises ? Les finalités poursuivies doivent-elles être décrites plus en détail ? Doit-on distinguer des sous-finalités afin d’éviter tout amalgame ? La visibilité du DPO est-elle suffisante ? Les formations dispensées au sein de l’entreprise permettent-elles réellement de déployer la culture de la protection des données personnelles auprès des salariés en charge du traitement en cause ?
On constate ici que l’AIPD passe en revue l’ensemble des exigences juridiques essentielles formulées par le RGPD. On doit donc voir l’AIPD comme un « banc d’essai » complet de la conformité du traitement considéré aux exigences réglementaires… et sécuritaires. Car la conformité au RGPD implique à la fois les vérifications et choix juridiques précédents, et le déploiement des dispositifs et arbitrages techniques suivants.
10. Comment identifier / imaginer les risques et les mesures d’atténuation corrélatives
A compter de cette étape, on quitte la sphère purement juridique de détermination des contours et objet du traitement, pour s’intéresser plus en détail aux modalités techniques de son exécution, et de sécurisation des données pendant toute cette exécution.
Il est donc question d’identifier les risques techniques, puis les risques en termes juridiques à nouveau puisque l’AIPD se pense et s’exécute du point de vue des personnes concernées (ici, les salariés, anciens salariés, stagiaires, intérimaires ou contractuels dont les données emails sont collectées et scannées).
La typologie des risques et les méthodes d’identification devront ensuite être intégrées dans les procédures de gestion de risques existantes au sein de l’entreprise.
a) L’entreprise doit répertorier les mesures de sécurité existantes
En premier lieu, le responsable informatique doit renseigner dans l’AIPD les mesures retenues pour sécuriser le traitement considéré, qu’il s’agisse de mesures déjà en place ou de mesures qu’il prévoit de déployer au plus tard au démarrage du traitement.
Conformément là encore aux thématiques du RGPD, les mesures de sécurité à renseigner dans l’AIPD peuvent être de trois types :
- Les mesures organisationnelles : organisation de l’entreprise, rôles respectifs du service Ressources Humaines et de la DSI ou du responsable informatique, politique de sécurité du système d’information, affichage d’une notice d’utilisation à l’ouverture de la messagerie professionnelle, politique de gestion des risques si elle existe, gestion des risques et des incidents, supervision, existence d’une clause spécifique au sein du contrat de travail, explicitant le traitement et sa finalité, explications circonstanciée des mesures de contrôle d’activité ou de scan des messageries électroniques expliqué dans la charte informatique de la PME, bonnes pratiques de mise en veille des écrans en cas d’absence momentanée, politique et fréquence d’archivage des boîtes email, existence d’une procédure de notification à la CNIL et aux personnes concernées en cas de violation de données personnelles, etc. ;
- Les mesures de sécurité logique : anonymisation (véritable, par opposition à la simple pseudonymisation, donc en réalité assez rare), chiffrement, sauvegardes, partitions virtuelles des données, contrôle d’accès logique, supervision ou hypervision, traçabilité et journalisation, contrôles d’intégrité, RTO, RPO, SLA, sauvegardes et redondance, renouvellement des mots de passe, antivirus, firewall, gestion de l’antispam, etc. ;
- Les mesures de sécurité physique : contrôle d’accès physique, sécurité des matériels, protection contre les sources de risques non humaines, localisation et sécurisation des armoires et bureaux pour les documents papiers, etc.
Il est évident que la nature de certains traitements ou la finalité qu’ils poursuivent, s’oppose à certaines de ces mesures. A titre d’exemple, l’entreprise doit choisir si elle veut simplement contrôler et empêcher la fuite d’actifs incorporels, ou si elle veut aussi pouvoir, naturellement, identifier et sanctionner le préposé qui serait surpris en train De tenter de faire fuiter ces actifs incorporels depuis son poste ou sa messagerie. Dans cette optique par exemple, il serait vain et contre-productif de prétendre anonymiser les données…
En revanche, certains contrôles d’emails sont dits « de surface » ou « de volume », ne permettant pas d’identifier le poste émetteur ou le préposé responsable, mais uniquement d’évaluer le volume des pièces jointes. Les choix techniques sont donc dépendant des finalités poursuivies, et le dialogue entre le responsable informatique, le métier (RH) et le DPO doit être permanent tout au long de l’AIPD, y compris lorsque le responsable technique prend la main pour décrire les mesures de sécurité déployées sur le système d’information.
Il ne s’agit pas tant de reproduire au sein de l’AIPD l’ensemble des descriptions des mesures de sécurité logique et physique ou réseau, que d’indiquer qu’elles existent, qu’elles sont été prévues, qu’elles sont identifiées (par exemple au sein de la politique de sécurité des systèmes d’information, ainsi le cas échéant qu’en annexe du contrat avec le fournisseur cloud de la plateforme de contrôle des messageries électroniques).
En outre, l’AIPD doit indiquer, de l’avis du responsable technique, si ces éléments sont suffisants tels qu’ils existent, ou s’ils doivent justement être améliorés et renforcés afin d’assurer une conformité optimale au RGPD : les mesures de sécurité logicielle sont-elles efficaces ? Les mots de passe sont-ils suffisamment robustes ? Les sauvegardes sont-elles protégées ? La procédure de pseudonymisation est-elle suffisamment rigoureuse ? Certains transferts sont-ils insuffisamment sécurités ? Utilise-t-on des liaisons https ou un VPN ? Comment sont sécurisés les terminaux mobiles professionnels ? Comment sont sécurisés les terminaux mobiles personnels que certains salariés utilisent pour envoyer ou recevoir leurs emails ? Etc.
Il s’agit d’identifier les vulnérabilités du système d’information qui soutient le traitement considéré, sur toutes ses composantes : serveurs, liens réseaux, accès et identifiants, postes de travail, périphériques, supports externes tels que clés USB, serveurs FTP de transmission de données, smartphones et tablettes, active directory, etc.