Fermer X
Se connecter
Mot de passe oublié
Vous êtes avocats ?
Inscrivez-vous gratuitement
10 mises en relation offertes
Créer mon compte avocat
Fiche pratique rédigée par Maître Ludovic DE LA MONNERAYE
Maître DE LA MONNERAYE

Données personnelles, cybersécurité et Coronavirus

Nouvelles technologies / Données personnelles / Par Maître DE LA MONNERAYE, Avocat, Publié le 10/04/2020 à 10h45
86
partages

Suite à la pandémie liée au Covid-19 et au développement du télétravail, les problématiques liées à la cybersécurité et aux données personnelles doivent être une priorité majeure des entreprises. Ces interrogations sont soumises au contrôle de la Commission Nationale Informatique et Libertés (CNIL), du règlement général sur la protection des données personnelles (RGPD) et de l'Agence Nationale pour la Sécurité des Systèmes d'information (ANSSI).

Trouvez votre avocat droit des nouvelles technologies
Premier rendez-vous gratuit

Sur les données personnelles

La Corée du Sud exploite les données de santé et de géolocalisation des personnes porteuses du virus de manière publique. Contrairement à cette position, la CNIL, autorité française de régulation de l'utilisation des données personnelles, est venue définir et rappeler les traitements autorisés et ceux interdits, à ce stade.

Par conséquent, une entreprise peut informer et sensibiliser ses employés pour que ceux-ci lui transmette une possible exposition au Covid-19 ou leur proposer de le faire directement auprès des autorités compétentes. L'entreprise peut également favoriser le travail à distance et encourager le recours à la médecine du travail. En cas de signalement, l'entreprise peut même consigner la date et l'identité de la personne suspectée d'avoir été exposée et les mesures organisationnelles prises (confinement, télétravail, contact avec le médecin du travail, etc.).

Toutes les autres données de santé, définies comme sensibles par le RGPD, objet des contrôles réalisés par la CNIL sur l'année 2020, sont soumises à une réglementation stricte (consentement, information, dispositions sécuritaires fortes, base légale de collecte) et ne peuvent pas être collectées à la seule volonté de l'employeur. Les entreprises ne doivent pas porter atteinte à la vie privée de leurs salariés, et ne peuvent donc pas procéder au traitement de données de santé, dont la finalité n'est pas la seule gestion des suspicions d'exposition au coronavirus.

Les entreprises doivent éviter de réaliser des traitements systématiques et généralisés portant notamment sur des données de santé ou relevant de la sphère privée, telles que des enquêtes et demandes individuelles relatives à la recherche d'éventuels symptômes présentés par un employé/agent et ses proches.

La CNIL interdit au regard du RGPD la mise en place de relevés obligatoires des températures corporelles de chaque salarié ou la collecte de questionnaires médicaux auprès de l'ensemble du personnel.

Une collecte nécessairement autorisée

Les autorités sanitaires sont les seuls et uniques organes habilitées à collecter des données de santé dans ce contexte. Ces autorités, personnes publiques, sont soumises au respect des dispositions du RGPD. Pour permettre une information claire et précise obligatoire, Santé Publique France a délivrée une information sur la réalisation des traitements de données à caractère personnel réalisé, sur l'unique finalité de suivi des cas envisagés et confirmés d'infection par le Covid-19 et le suivi des personnes en contact avec un cas confirmé. L'ensemble des droits des personnes concernées (droit d'opposition, d'accès, de rectification, d'effacement, et de limitation du traitement des données) est conservé et celles-ci peuvent contacter directement les autorités compétentes pour les exercer.

Dans le cadre de l'état d'urgence sanitaire encadré par la Loi n° 2020-290 du 23 mars 2020, les pratiques peuvent évoluer rapidement. Le gouvernement a en effet évoqué étudier de prêt les mesures de collecte importante de données personnelles, même celles de santé, permettant de contrer la pandémie. L'article 9 du RGPD permet le traitement de ces données lorsque celui-ci est nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé.

Le Comité européen de la protection des données (CEPD) a également accepté un traçage des données de géolocalisation des citoyens européens en réquisitionnant les opérateurs de télécommunication (Orange en France). Ce traçage est pour l'instant limité à des données anonymisées. A suivre donc !

Le respect de la protection des données personnelles est par conséquent une priorité majeure française dans un contexte de pandémie, dont les modalités organisationnelles et juridiques doivent être appréhendées par les entreprises.

Sur la cybersécurité

Depuis l'avènement du confinement lié au coronavirus, des cyberattaques importantes ont été réalisées touchant tous les secteurs d'activité, et même les hôpitaux. Par exemple le 22 mars 2020, une partie des serveurs de l'Assistance publique-Hôpitaux de Paris (AP-HP) ont été bloqués suite à une attaque par déni de services qui consiste à adresser des requêtes inutiles rendant inaccessibles les serveurs.

Pour lutter contre ces attaques, plusieurs initiatives ont été lancées, dont la création d?un groupe de 360 experts mondiaux (40 pays) en cybersécurité sous le nom de Cyber Threat Intelligence (CTI Covid-19) visant à accompagner notament le secteur médical pendant l'épidemie de Covid-19.

Le site https://www.cybermalveillance.gouv.fr/ liste les bonnes pratiques à adopter pour limiter la propagation de ces cyberattaques, et demandent à chacun des individus de veiller à sa propre cybersécurité par une identification sur le poste de travail par identifiant et mots de passe forts. Cela passe également par la vérification de l'origine des messages reçus pour lutter contre le phishing visant à voler des données personnelles, professionnelles ou bancaires sur un prétendu site officiel.

Il convient aussi d'éviter les téléchargements des applications non officielles ou des pièces jointes suspectes, pour limiter les risques liés aux ransomwares, logiciel qui bloque l'accès à l'ensemble des données contre la remise d'une rançon d'argent la plupart du temps.

La vigilance concerne également les sites d'achat de masques, de gel hydroalcoolique, de téléconsultation médicale, créés seulement pour collecter frauduleusement des données personnelles ou réclamer le paiement d'un produit inexistant ou non conforme aux réglementations.

L'utilisation du site du ministère de l'intérieur (https://www.interieur.gouv.fr/Actualites/L-actu-du-Ministere/Attestation-de-deplacement-derogatoire-et-justificatif-de-deplacement-professionnel) doit être privilégié pour télécharger gratuitement les attestations obligatoires de déplacement, et non les sites frauduleux permettant la captation non autorisée ou payante de données personnelles.

Enfin, le site internet www.solidarite-numerique.fr et le numéro de téléphone complémentaire ont été lancés le 29 mars 2020 pour permettre aux personnes ayant des difficultés à appréhender les outils numériques de les aider notamment dans leurs démarches administratives à distance.

Et concernant le télétravail ?

Il convient d'être prudent sur les garanties en matière de sécurité informatique des postes de travail professionnels et/ou personnels qui peuvent être utilisés à titre professionnel par les salariés. Une charte informatique est primordiale au sein de l'entreprise pour encadrer les modalités du BYOD (Bring Your Own Device). Dans le cas contraire, cette période est propice pour mettre en place une information claire et spécifique pour utiliser ces outils, dont la teneur juridique est primordiale en matière de responsabilité des utilisateurs.

Fiche pratique rédigée par Maître Ludovic DE LA MONNERAYE
Maître DE LA MONNERAYE
Une question en droit des nouvelles technologies ?
Nos avocats vous répondent gratuitement
83%de réponse
Aller plus loin
Les données personnelles font l'objet d'une protection particulière, au nom de la vie privée et des libertés individuelles. cette protection s'applique à tout...
Ayant eu des problèmes avec edf, j'ai résilié tous mes contrats chez eux, cependant je n'arrive pas à supprimer mon compte en ligne , lequel contient des...
Qu'il s'agisse d'entreprises privées, d'établissements publics ou de collectivités territoriales, les organismes utilisant des fichiers de données ou traitant...
Une question en droit des nouvelles technologies ?
Des avocats vous répondent gratuitement sur Alexia.fr
Posez votre question

Questions résolues

Je crée une application qui référencera un ensemble d'établissements sportifs. ai-je le droit de faire apparaître des établissements dans les…
Résolue par Maître DAHAN
Concernant un commentaire mis sur le site d'amazon concernant un ebook, m'a fille s'est fait " enguilandé " copieusement par…
Résolue par Maître MARLOW

Avocats les plus actifs

1
Maître YVAN BELIGHA
Maître YVAN BELIGHA
4 problèmes résolus*
2
Maître Maturin PETSOKO
Maître Maturin PETSOKO
1 problème résolu*
3
Maître GEOFFROY BALONGA
Maître GEOFFROY BALONGA
1 problème résolu*
4
Maître Rosalie DIARRA
Maître Rosalie DIARRA
1 problème résolu*
5
Maître Aurore KAYEMBE
Maître Aurore KAYEMBE
1 problème résolu*

* Durant les 60 dernièrs jours

Continuer sans accepter
Votre choix concernant les cookies
Nous utilisons des cookies pour optimiser les fonctionnalités du site et vous offrir la meilleure expérience possible.
Réglage personnalisé
Accepter
Nécessaire
Les cookies nécessaires contribuent à rendre un site web utilisable en activant des fonctions de base comme la navigation de page et l'accès aux zones sécurisées du site web. Le site web ne peut pas fonctionner correctement sans ces cookies.
Marketing
Les cookies marketing sont utilisés pour effectuer le suivi des visiteurs au travers des sites web. Le but est d'afficher des publicités qui sont pertinentes et intéressantes pour l'utilisateur individuel et donc plus précieuses pour les éditeurs et annonceurs tiers.
Liste des cookies marketing utilisés :
En savoir plusGoogle Analytics
_gat* | __utm* | _ga* | _gid
Avec Google Analytics, nous mesurons comment vous utilisez nos sites, comment vous avez trouvé notre site et si vous rencontrez des erreurs. Nous utilisons ces données pour améliorer notre site.
Maximum 12 mois
En savoir plusGoogle Tag Manager
_dc_gtm_UA* | _gcl*_sc*
Avec Google Tag Manager, nous pouvons placer et gérer d'autres cookies sur le site web.
Maximum 12 mois
En savoir plusGoogle Ads
_dc_gtm_UA* | _gcl*_sc*
Ces cookies gardent la trace des pages que vous consultez. Cela nous permet de vous montrer des annonces pertinentes sur Google et ses partenaires et de mesurer l'efficacité de nos campagnes.
Maximum 3 mois
MSCC | MUID | MUIDB | SRCHD | SRCHHPGUSR | SRCHUID | SRCHUSR | _uetsid
Ces cookies gardent la trace des pages que vous consultez. Cela nous permet de vous montrer des annonces pertinentes sur Bing et ses partenaires et de mesurer l'efficacité de nos campagnes.
Maximum 3 mois
_fbp* | _fbc*
Ces cookies permettent d’afficher des annonces publicitaires personnalisées (ciblage et reciblage publicitaire), mesurer l’efficacité de nos campagnes Facebook et analyser le fonctionnement du site.
Maximum 3 mois
Paramétrer les cookies
Enregistrer