Note d’information juridique
25 février 2020
Cher réseau, le déploiement d’une solution de DLP nécessite sans conteste une maitrise des logiciels installés et des connaissances approfondies en sécurité informatique.Mais dans le cadre d’un projet de déploiement, il ne faut pas négliger et sous-estimer l’aspect juridique et réglementaire environnant.
D’une manière générale, toute entreprise ou organisation quelle qu’elle soit, est soumise à des normes. Certains domaines doivent satisfaire à des obligations et des normes spécifiques, c’est le cas notamment des domaines tels que l’aéronautique, la défense, le secteur juridique, la santé et le médico-social… Ces réglementations et obligations réglementaires doivent être, si ce n’est maitrisées, au moins connues.
S’attaquer aux données sensibles et aux données personnelles n’est pas sans risque.
Notre expérience nous a appris notamment qu’il était quasi systématiquement nécessaire de dépoussiérer la charte informatique, lorsqu’elle existe, de générer des avenants aux contrats de travail, de mettre à jour le règlement intérieur. Un accompagnement sur le sujet s’avère souvent nécessaire afin de satisfaire aux exigences et recommandations et ne pas prendre le risque de se mettre dans l’illégalité. Dans les organisations de taille conséquente, il sera facile de s’appuyer sur le DPO, le service RH et le service juridique interne. Pour les structures plus modestes, il est fortement recommandé de s’attacher les services de DPO et/ou juristes indépendants.
Enfin, il faut tenir compte des recommandations et prescriptions de la CNIL.
Aussi, il est impératif de prendre en compte le fait que certains types d’opérations de traitement nécessitent une analyse d’impact relative à la protection des données (AIPD) imposant des démarches auprès de la CNIL. C’est le cas notamment lors de la mise en place d’un dispositif de traitement de données ayant pour finalité de surveiller de manière constante l’activité d’employés. Le caractère ‘constant’ a toute son importance. La CNIL cite notamment l’exemple suivant : mise en place de dispositifs de cyber surveillance tels que ceux procédant à une analyse des flux de courriels sortants afin de détecter d’éventuelles fuites d’information (dispositifs dits de Data Loss Prevention).
Qu’est-ce que L’AIPD ?
La CNIL la définit comme tel : C’est un outil qui permet de construire un traitement conforme au RGPD et respectueux de la vie privée, lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.
La non-réalisation de cette démarche pourrait constituer un manquement aux conséquences préjudiciables. En effet, un dispositif de DLP jugé non conforme pourrait par exemple être opposable et compromettre une action en justice en cas de litige envers un salarié indélicat auteur d’une fuite de données.
C’est pourquoi, WaSaCa distributeur référent en France de la solution Invintia Endpoint Protector by CoSoSys, s’attache à former et sensibiliser ses revendeurs agréés et certifiés sur ces aspects juridiques afin qu’ils puissent offrir un accompagnement global aux entreprises dans leur projet de déploiement de DLP.
L’équipe WaSaCa,
William GUEDJ.