Mar 16, 2020

Télétravail et RGPD : Quelles solutions pour protéger les données?

Dans le contexte de crise sanitaire auquel la France est confrontée, beaucoup de professionnels vont être amenés à mettre en œuvre du télétravail pour concilier limitation de la propagation du virus et continuité d’activité

Si plusieurs entreprises avaient déjà initié une démarche de travail à distance pour leurs collaborateurs, la semaine du 16 mars 2020 verra plusieurs millions de Français apprivoiser le télétravail et rejoindre les 15 à 25% de professionnels déjà concernés.

Pourquoi la mise en place d’un télétravail RGPD compatible est importante.

Pour les organismes pour lesquels cette pratique était mise en œuvre uniquement pour un nombre restreint de personnes, la situation actuelle amène à réfléchir sur la manière de sécuriser les accès distants au système d’information de l’organisme. La cyberattaque de l’hôpital tchèque confirme que, même avec le Coronavirus, les besoins de confidentialité et d’intégrité des données ainsi que l’authentification des utilisateurs sont nécessaires.

L’équipe Adequacy a été sollicitée la semaine dernière par plusieurs délégués à la protection des données confrontés à de nouvelles situations auxquelles ils devaient répondre dans l’urgence. Nous avons donc mis à disposition de nos clients, un mail dédié pour accompagner les DPO gratuitement dans cette période difficile.

Afin de répondre au plus grand nombre sur ce sujet, nous vous présentons les différentes solutions de connexions à distance avec leurs avantages et leurs inconvénients

Les différentes solutions de connexions pour un télétravail RGPD compatible.

 

Les réseaux privés virtuels (VPN)

Les VPN (Virtual Private Network) permettent de connecter un ordinateur distant sur le réseau de votre organisme via une simple connexion Internet. Cette méthode ne vous connecte pas à un ordinateur spécifique de votre bureau, mais plutôt au réseau local.

Le VPN est souvent retenu par les organismes dont les employés possèdent un PC portables dont l’entreprise assure la stratégie de sécurité.

Néanmoins, si vos collaborateurs utilisent leur PC personnel, cette solution n’est pas adaptée. En effet, il est techniquement possible qu’un virus ou encore des malwares présents sur un ordinateur personnel dont vous n’assurez pas la stratégie de sécurité puissent s’insérer de l’environnement de l’entreprise via le tunnel VPN.

Les protocoles de Bureau à Distance (RDP)

Les RDP (Remote Desktop Protocol) sont utilisés pour éliminer la possibilité d’une infection par inadvertance. En effet, les RDP n’autorisent pas le transfert de fichiers entre la machine distante (PC utilisé par le salarié en télétravail) et l’environnement de l’entreprise.

L’intérêt des RDP réside dans le fait qu’il permet aux salariés de pouvoir se connecter directement à leur PC d’entreprise directement depuis le PC de leur maison.

Les services de Bureau à Distance (RDS)

Le RDS (Remote Desktop Services) et fonctionne comme le RDP, mais au lieu de se connecter à un PC, l’utilisateur distant se connecte directement au serveur.

L’inconvénient avec RDP c’est qu’il faut avoir un PC de libre pour chaque utilisateur distant, alors qu’avec RDS, tant que vous avez le nombre approprié de licences, plusieurs utilisateurs peuvent être connectés simultanément.

La sensibilisation des salariés, clé de voûte de votre protection des données avec le télétravail.

Quelque soit la solution qui sera mise en place vous devrez vous assurer que l’ensemble des mises à jour aient été effectués et que vos salariés aient été sensibilisés à cette solution.

Participez à notre webinar du 9 avril 2020

Afin de répondre à toute vos questions sur le sujet du Télétravail et de sa conciliation avec le RGPD, l’équipe Adequacy a décidé d’organiser un webinar spécial le 9 avril à 11h.

Comment rédiger un contrat de sous-traitance RGPD ?

Comment rédiger un contrat de sous-traitance RGPD ?

Le RGPD impose l’encadrement et la formalisation des relations entre un Responsable de Traitement et un Sous-traitant. Traduction : pour chaque sous-traitant identifié, un contrat de sous-traitance (ou un acte juridique écrit) doit être rédigé. DPO,...

RGPD : Comment réaliser un PIA ?

RGPD : Comment réaliser un PIA ?

L’article 35 du RGPD impose aux responsables de traitement de réaliser un PIA. Dans cette vidéo, nous vous expliquons comment réaliser cet exercice.