En matière de sécurité informatique, « l’interface chaise/clavier » – comprendre l’utilisateur – constitue fréquemment le point d’entrée de l’incident. Pour réduire cette source de risque, différentes mesures peuvent être prises.
Certaines sont d’ordre logique. Des dispositifs de contrôle et de surveillance de l’utilisation des outils informatiques, et notamment d’Internet et de la messagerie électronique, sont ainsi fréquemment mis en place. D’autres sont organisationnelles. Faut-il encore évoquer la charte informatique – évidemment rendue opposable – et la clause de confidentialité RGPD (distincte de celle afférente aux données commerciales de l’entreprise) dans les contrats de travail?
Rares sont les responsables de traitement à omettre l’une ou l’autre de ces mesures.
En revanche, plus nombreux sont ceux omettant de respecter le droit à l’information des salariés et agents concernés. Or, dans une telle hypothèse, non seulement les preuves rassemblées sont écartées, mais surtout la personne concernée peut-elle évoquée un manquement au RGPD. Une récente de la décision de la CNIL italienne a ainsi abouti à une amende de 15 000,00 euros à l’encontre de l’employeur ayant surveillé l’activité des salariés sans les en avoir avisés (GPDP, 13 avril 2023, n° 9891673).
Que dire du risque de vol de données par les salariés en fin de contrat, sujet du Flash DGSI #94 de mai 2023, sinon qu’il s’agit effectivement du parent pauvre, à propos de cet aspect de la sécurité des ressources humaines? Responsable de traitement comme sous-traitant, pensez donc bien à établir une procédure encadrant la sortie d’un salarié ou d’un agent. Notamment pour lui rappeler ses obligations en matière de confidentialité des données personnelles et bien penser à révoquer ses accès à tout ou partie du système d’information.
Dans les deux cas, l’information est aussi bien une règle de conformité qu’une mesure de sécurité.