COVID-19 : Recommandations de l’Agence espagnole de protection des données dans les situations de mobilité et de télétravail
- 21 avril 2020
- Conseil
En raison de la situation d'urgence provoquée par le COVID-19, de nombreuses entreprises ont dû mettre en œuvre des mesures de télétravail de toute urgence et de manière extraordinaire pour s'adapter à ces circonstances et poursuivre leur activité commerciale. Cependant, si ces mesures ne sont pas correctement mises en œuvre, elles peuvent entraîner de graves dangers pour la sécurité et la confidentialité des données, dont l'entreprise reste toujours responsable de leur traitement.
L'Agence espagnole de protection des données (AEPD) a publié sur son site Web une compilation de recommandations destinées à la fois aux entreprises et aux travailleurs que nous résumons ci-dessous et que vous pouvez trouver ici.
Recommandations aux responsables du traitement
L'AEPD regroupe ces lignes directrices sous la nécessité de collecter ces situations expressément dans les politiques de confidentialité des entreprises et dans la préparation des protocoles de sécurité correspondants.
De même, il est recommandé de faire appel à des fournisseurs de services informatiques de confiance et d'offrir des garanties, évitant ainsi l'exposition inappropriée de données personnelles.
L'accès à l'information ne doit pas être illimité, mais doit s'articuler à différents niveaux d'entrée en fonction des profils d'utilisateurs.
Les entreprises doivent périodiquement revoir l'équipement et les appareils au niveau des antivirus, des logiciels et des applications installées, et il est fortement recommandé d'installer des programmes de codage d'informations, entre autres.
Les entreprises peuvent surveiller l'activité du personnel employé afin d'identifier des comportements anormaux dans l'utilisation du réseau dans le cadre d'un accès à distance. Si ces activités de surveillance sont également utilisées pour vérifier le respect des obligations de travail du personnel, le personnel du personnel ou ses représentants légaux doivent en être préalablement informés, en respectant toujours les droits numériques établis dans la LOPDGD, notamment le droit à la vie privée.
Enfin, rappelez aux entreprises que la mise en place de mesures tendant à protéger les données personnelles en cours de traitement et les risques potentiels auxquels elles peuvent être soumises en raison des accès à distance, doit se faire de manière proportionnelle aux avantages que ces intrants leur confèrent précisément.
Recommandations adressées au personnel participant aux opérations de traitement
Les recommandations au personnel doivent être incluses dans la politique de confidentialité de l'entreprise ou dans un document express qui réglemente le télétravail. Ils se réfèrent essentiellement à la nécessité de maintenir un niveau de sécurité optimal comparable à celui qui existerait si le traitement était effectué dans les locaux de l'entreprise.
Le personnel employé doit respecter les Directives que l'entreprise a établies dans ces domaines, qui visent à garantir la protection des appareils utilisés par l'utilisateur contre des tiers extérieurs à l'activité. Il y a également un impact sur l'utilisation des réseaux de connexion sécurisés et la conservation des informations dans des environnements sécurisés.
En cas de suspicion de faillite de la sécurité de l'information que pourrait avoir l'utilisateur, il est très important d'en informer immédiatement le responsable.
Pour toute question, vous pouvez contacter notre service de protection des données (rgpd@cinc.es).