Florilège des actions quotidiennes peu conseillées pour votre conformité RGPD
A l’aune du premier anniversaire de l’entrée en application du RGPD, vos fils de lecture vont se remplir d’articles vous faisant comprendre que vous êtes fichus, car les violations de données et plaintes des personnes ont explosées cette année. Comme c’est anxiogène mais qu’on aime bien ça, on va en ajouter une couche !
Néanmoins, ceux qui nous lisent régulièrement le savent, nous apprécions le concret. Nous allons donc laisser les chiffres de côté et vous faire un petit top des petites actions professionnelles très répandues qui font transpirer les DPO (et proposer des pistes d’amélioration, tant qu’à y être).
DISCLAIMER : l’objectif de cet article n’est ni de descendre en flamme les outils pointés du doigt dans le top, ni de faire l’éloge de ceux mentionnés dans les pistes de correction. Ce qui nous intéresse ici ce sont les conséquences RGPD de l’utilisation d’outils tels que ceux mentionnés, rien d’autre. Nous mentionnons des outils très connus pour que ce soit plus parlant, mais tous leurs homologues auraient pu être pris en exemple de la même façon. Avant d’utiliser un outil quel qu’il soit, étudiez toujours sa compatibilité avec vos besoins, sa sécurité et sa conformité RGPD.
Maintenant que les ceinture et bretelles sont mises, allons-y ! Sélection (car des petits rien qui changent tout niveau RGPD, il y en a des tonnes) classée d’après le nombre d’occurrences dans les audits que nous avons réalisés depuis le 25 mai 2018 (du plus au moins courant) :
Ah si, j’oubliais. DISCLAIMER 2 : les pistes d’amélioration ne sont pas du tout exhaustives. Il ne s’agit que de pistes données à titre d’exemple, partielles et partiales ! D’ailleurs il manque une piste évidente valable presque à chaque fois : ne rien changer à vos pratiques mais réaliser les formalités adéquates pour qu’elles soient encadrées tel que l’exige le RGPD.
1 - Les dossiers communs ou d’échanges temporaires sur le système de fichiers
Pourquoi ?
Parce qu’on y trouve des données aussi vieilles que Mathusalem ou accessibles à toute l’entreprise sans justification.
Pistes d’amélioration
Pour les répertoires communs nécessaires aux tâches partagées entre service : définir un responsable de chaque sous-dossier en charge du tri régulier (tous les trimestres par exemple) + limiter la capacité de stockage.
Pour les répertoires d’échanges temporaires : comme leur nom l’indique, ça doit rester temporaire. Paramétrez la purge automatique tous les vendredis à minuit.
2 - Les fichiers partagés en clair par email
Pourquoi ?
Parce qu’on a très vite fait de se tromper de destinataire, que c’est généralement peu sécurisé et que ça laisse trainer beaucoup de données dans la boite d’envoi.
Pistes d’amélioration
Idéalement, recourir à une solution sécurisée de partage de fichiers. Ça peut être du sFTP, un Owncloud, OneDrive si vous avez déjà Office 365, etc.
Si ça n’est pas envisageable, chiffrez les données avant de les envoyer. Il y a des méthodes très simples, par exemple utiliser 7-Zip (open source) pour créer une archive avec mot de passe et communiquer ce dernier au destinataire par un autre canal que l’email (SMS par exemple). Définissez le MDP en début de relation, puis changez le régulièrement.
Ça ne convient pas à votre client car ça lui complique la vie ? Faites-lui écrire sa décision et, en cas de casse, tout ne sera pas pour votre pomme.
3 - Les sites de conversion PDF vers Word & co ou inversement
Pourquoi ?
Parce que vous ne savez généralement pas où (souvent à l’étranger) vous envoyez votre fichier contenant des données clients ou salariés, tout ça parce que votre Word fait des siennes aujourd’hui et ne veut pas générer le PDF de votre rapport d’audit client.
Saviez-vous que certains de ces sites mettent à disposition du public les 10 dernières conversions faites ?
Pistes d’amélioration
N’interdisez pas la pratique, ce n’est pas constructif et certains continueront de toute façon.
Formez les personnes aux solutions locales, par exemple l’impression en PDF via Windows. Si vous ne trouvez pas toutes les solutions en local, choisissez un site de conversion en ligne, étudiez-le bien et réalisez les formalités pour, puis indiquez au personnel que c’est ce site-là qui doit être utilisé.
4 - Les services de partage de fichiers en ligne tels que Wetransfer
Pourquoi ?
Comme pour le #3, ces services génèrent des transferts hors UE (souvent vers les Etats-Unis) sans qu’on y prête attention.
Pistes d’amélioration
Vous avez déjà les cartes en main : cloud entreprise, sFTP, solutions intégrées aux packages que vous avez déjà (Google Drive par exemple).
D’ailleurs, prenez garde que le #2 ne redirige pas le personnel vers des Wetransfer & co non maîtrisés.
Pour régler tous ces sujets d’un coup, il peut être intéressant de proposer au personnel un référentiel d’outils autorisés (si votre activité le nécessite et le permet, vous pouvez d’ailleurs bloquer tous les services sauf ceux autorisés). Ne pas interdire purement et simplement + proposer des alternatives + expliquer le pourquoi du comment = meilleures chances de réussite.
5 - Les services de gestion de projets tels que Trello
Pourquoi ?
Comme précédemment, il y a un sujet au niveau de la localisation des données (Etats-Unis pour Trello). Je rappelle que ça n’est pas tellement un problème, il s’agit de le savoir et d’encadrer le traitement.
Mais il y a aussi une augmentation de la difficulté du respect de tous les préceptes du RGPD. Gérez vous bien la durée de conservation dans ces outils ? Et la minimisation des données ? Et la pertinence des destinataires ?
Savez-vous seulement si l’outil est utilisé correctement ? J’ai croisé chez un client un service qui gérait des dossiers patients avec données médicales sous Trello. Pas prévu pour, et dangereux au sens du RGPD.
Pistes d’amélioration
Si vous souhaitez garder la main sur vos données, adoptez un clone avec hébergement local. J’ai par exemple entendu parler de Wekan. Il doit bien exister des concurrents européens également.
Si la localisation des données n’est pas un problème, formez le personnel et mettez en place les procédures qui vont bien pour que votre Trello ne devienne pas l’équivalent des dossiers « Commun » des systèmes de fichiers.
Définissez des responsables, affinez les droits, prévoyez des vérifications régulières que tout tourne rond.
6 - Les sauvegardes / transferts personnels de fichiers professionnels
Pourquoi ?
Vous avez des employés modèles qui sauvegardent leurs données pro sur un disque dur à la maison « au cas où », qui s’envoient du travail sur leur email perso pour terminer un dossier à la maison, ou qui gardent des données sur une clé USB car « ils n’ont pas accès au réseau en déplacement ».
Chouette. Si le disque dur ou la clé USB sont perdus, si tout le foyer a accès à la boite mail, bref si quelque chose se passe mal, vous aurez une forte responsabilité.
Sans parler encore une fois de la durée de conservation des données, difficultés à trier et supprimer, etc.
Pistes d’amélioration
Une première étape consistera à mettre en place des solutions professionnelles pour faire ce que les employés cherchent à faire eux-mêmes, car c’est légitime : des sauvegardes automatiques, y compris des postes de travail (ou limiter très fortement le stockage local de données), un accès internet à distance (abonnement téléphonique pro ou clé 4G) + VPN pour accéder au réseau de l’entreprise, des USB chiffrées ou au moins une procédure pour expliquer comment chiffrer un périphérique, pouvoir accéder à la boite mail pro depuis la maison, etc.
La seconde étape consistera à créer ou mettre à jour la charte informatique et/ou de protection des données pour indiquer les usages autorisés et interdits.
La troisième étape : sensibiliser le personnel, leur dire que tout cela existe et expliquer comment cela fonctionne. Puis rappeler qu’il est obligatoire et de leur responsabilité d’utiliser ces dispositifs et aucun autre (cf. la charte).
Si la fin justifie les moyens, vous pouvez aussi vous tourner vers une solution de DLP.
Vous êtes forcément concernés par au moins l’un de ces cas. Non ? Vous devriez retourner regarder de plus près ! Oui ? Comment avez-vous fait/feriez-vous ?
