Dans une décision peut-être un peu trop irréaliste, la « CNIL italienne » a reproché au responsable de traitement de ne pas avoir mis en œuvre les mesures de sécurité logiques adéquates sur les postes de travail de ses salariés.
Traditionnellement, les mesures phares dans le domaine sont l’installation, la configuration et le maintien à jour d’un antivirus (CNIL – Guide pratique RGPD – Sécurité des données personnelles) et d’un pare-feu (ANSSI – Guide d’hygiène informatique : Renforcer la sécurité de son système d’information en 42 mesures), la mise en place d’un mot de passe conforme aux recommandations en vigueur (https://www.cnil.fr/fr/byod-quelles-sont-les-bonnes-pratiques) et le verrouillage automatique en cas d’inutilisation (Référentiel relatif aux traitements de données à caractère personnel destinés à la gestion des officines de pharmacie).
Ici, la Garante n’a pas hésité à reprocher au responsable de traitement de ne pas avoir bloqué les captures d’écran ou opérations similaires (GPDP, 27 avril 2023, Benetton Group, n° 9902472). Sur le papier, pourquoi pas. En pratique, la mesure semble toutefois peu réaliste, surtout à une époque où le risque principal est la prise d’une photographie de l’écran au moyen d’un smartphone (AZOP, 8 mars 2022 ; AEPD, 12 juillet 2023, n° PS/00559/2022 ; ANSPDCP, 23 septembre 2023, Body Line, n° 23.08.2023).
Plutôt que de s’orienter vers une mesure générale – et radicale – d’interdiction des smartphones et autres appareils numériques personnels sur le lieu de travail, peut-être vaudrait-il alors mieux renforcer les actions de sensibilisation sur le sujet?
De votre côté, et pour paraphraser Alan demandant à Haddock s’il dort avec la barbe sur ou sous la couverture, où laisseriez-vous votre téléphone? Sur ou dans le coffre?
Avez-vous eu à gérer de telles situations? Quelles stratégies ont été adoptées pour équilibrer sécurité des données, principe de réalité et, accessoirement, droits du salarié?
Besoin d’accompagnement dans vos actions de sensibilisations? Ou d’une validation de votre charte informatique sur ces sujets délicats? N’hésitez pas à me contacter.