La protection des données commerciales et stratégiques, du savoir-faire et de tout capital immatériel est devenue un souci primordial pour les entreprises. Tous ces actifs doivent être protégés d’une manière efficace. Mais qu’en est-il lorsqu’ils sortent de l’enceinte de l’entreprise ?

Avec les voyages d’affaires, le télétravail et plus globalement la mobilité, il est devenu monnaie courante de travailler en dehors des locaux mêmes de l’entreprise ou d’accéder à distance au réseau de l’entreprise. A cet effet, les salariés et collaborateurs peuvent être amenés à se connecter à distance au système informatique de l’entreprise par le biais d’un équipement appartenant à l’entreprise ou par le biais de leurs propres équipements (notamment dans le cadre du BYOD ou Bring Your Own Device). Dans les deux cas, la pratique soulève des interrogations qui se trouvent souvent à la croisée du droit à la protection des données personnelles, de la cybersécurité, de la réglementation relative au droit du travail ou encore de la fiscalité. A titre d’illustration, des problématiques comme les heures supplémentaires ou l’éventualité d’être considéré comme assujetti dans le pays de travail effectif peuvent se poser en cas de télétravail. Nous nous concentrerons ici essentiellement sur les questions relatives à la sécurité des données et les solutions pratiques à mettre en place.

Pourquoi protéger les données de l’entreprise ?

Parce que c’est le capital de l’entreprise, mais aussi parce qu’il peut s’agir d’une obligation légale.

Certaines professions ou certains secteurs, tels que les médecins, les avocats, les experts comptables, les professionnels du secteur financier ou des assurances sont soumis au secret professionnel. L’accès non autorisé à leurs données constituerait donc une violation de ce secret professionnel pouvant mener à des sanctions pénales et, le cas échéant, administratives pour les entreprises et leurs représentants.

En outre, si les informations permettent l’identification directe ou indirecte d’individus (c’est-à-dire si l’information qualifie de « donnée personnelle »), les dispositions de la loi du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel (la loi de 2002) doivent être respectées par le responsable du traitement (soit la personne physique ou morale qui détermine les finalités et les moyens du traitement des données personnelles concernées).

En pratique, l’entreprise établie à Luxembourg qui traite les données de ses clients qui sont des personnes physiques ou des personnes de contact et représentants des clients qui sont des personnes morales, ainsi que les données de son propre personnel, qualifiera de « responsable du traitement » et devra respecter la loi de 2002.

L’entreprise doit ainsi mettre en oeuvre toutes les mesures techniques et organisationnelles appropriées pour assurer la protection des données contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisé. L’entreprise est en effet responsable de la sécurité des données personnelles qu’elle traite, y compris lorsqu’elles sont stockées sur des équipements dont elle n’a pas la maîtrise physique ou juridique, mais dont elle a autorisé l’utilisation (par exemple pour accéder à l’infrastructure informatique de l’entreprise) ou lorsque ces équipements permettent l’accès aux données.

L’importance de la sécurité des informations et des réseaux informatiques se fait également ressentir au niveau européen avec l’adoption récente (le 6 juillet 2016) par le Parlement européen de la directive NIS (Network and Information Security) qui devra être transposée dans les législations nationales. L’objectif de cette directive est d’établir des mesures harmonisées visant à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union européenne.

Par ailleurs, le nouveau règlement européen général sur la protection des données qui entrera en vigueur le 25 mai 2018 (et qui remplacera au moins partiellement la loi de 2002) prévoit non seulement que les données personnelles doivent être protégées de façon adéquate par le responsable du traitement et son sous-traitant, mais également des amendes administratives pouvant s'élever jusqu'à 10.000.000 EUR ou 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent (le montant le plus élevé étant retenu). L’entreprise devra également, dans certains cas, notifier les violations de données à son autorité de surveillance compétente et, le cas échéant, aux personnes concernées.

Finalement, d’un point de vue pratique, il est important d’être conscient des risques et des menaces liés à l’accès à distance aux données de l’entreprise. C’est pourquoi il est primordial pour l’entreprise de mettre en place une politique de sécurité à laquelle chaque employé devrait adhérer.

Comment sécuriser les données de l’entreprise ?

Afin de respecter les exigences légales en matière de sécurité et de se prémunir contre les risques d’atteinte à la disponibilité, à l’intégrité et à la confidentialité des données ou à la compromission générale du système d’information de l’entreprise (intrusion non souhaitée, virus, etc.), des mesures de sécurité adéquates devraient être mises en place.

Dans un premier temps, il est nécessaire pour l’entreprise d’identifier les risques en tenant compte des spécificités du contexte et en déterminant les équipements concernés, les applications utilisées et les données accessibles.

Dans un second temps, l’entreprise devrait mettre en place des mesures techniques concrètes de sécurité, comme par exemple :

  • contrôler l’accès à distance par un dispositif d’authentification (si possible à l’aide d’un certificat électronique) ;
  • prévoir une procédure en cas de perte ou de vol du terminal et notamment l’effacement à distance des données stockées sur le terminal ou sa réinitialisation à distance (sans pour autant effacer les données privées de l’employé) ;
  • mettre en place un processus de clôture permettant de s’assurer du verrouillage des accès aux ressources de l’entreprise et, le cas échéant, de la désinstallation correcte des outils mis à la disposition de l’employé ;
  • dans l’hypothèse de l’usage d’un équipement personnel de l’employé, distinguer les parties personnelles et les parties professionnelles de l’outil de travail (en utilisant par exemple des solutions « container ») ;
  • prévoir un processus de signalement en cas de perte ou de vol ;  assurer une procédure de sauvegarde (back-up) et de restauration des données ;
  • prévoir un processus de veille interne intégrant le suivi des évolutions technologiques des terminaux mobiles ; et 
  • prévoir des mesures de chiffrement des flux d’informations (VPN, etc.).

Finalement, il est nécessaire de sensibiliser les utilisateurs aux risques auxquels ils s’exposent et auxquels ils exposent l’entreprise s’ils ne traitent pas les données avec la diligence requise. Cette sensibilisation devrait mettre l’accent sur la nécessité pour les utilisateurs de prendre les précautions nécessaires pour éviter une divulgation des données. Par exemple, l’utilisateur se trouvant dans un lieu public (train, avion, etc.) devrait s’assurer que les personnes dans son entourage ne puissent déceler des données confidentielles. De plus, il est essentiel que les utilisateurs mettent en place des mesures de sécurité élémentaires comme le verrouillage du terminal avec un mot de passe suffisamment complexe et renouvelé régulièrement, l’utilisation d’un antivirus ou tout simplement le fait de ne jamais laisser les laptops, tablettes, téléphones portables ou autres appareils sans surveillance.

Conclusion

Le travail à distance est un excellent moyen de permettre une flexibilité aux collaborateurs tout en assurant les activités de l’entreprise. Cette possibilité doit par contre être bien encadrée (de façon technique et organisationnelle) afin de permettre à l’entreprise de protéger ses informations confidentielles et de respecter ses obligations légales.

Dr. Catherine Di Lorenzo - Avocat à la Cour - Allen & Overy SCS
Dr. Catherine Di Lorenzo - Avocat à la Cour - Allen & Overy SCS
Me Izabela Dutkiewicz - Avocat - Allen & Overy SCS
Me Izabela Dutkiewicz - Avocat - Allen & Overy SCS