Depuis que nous avons commencé notre quarantaine en raison de la COVID-19, j’ai beaucoup d’inquiétudes quant à la protection des données et de la confidentialité lorsque les personnes travaillent à domicile. Comme vous pouvez l’imaginer, la décision soudaine de faire travailler vos employés à distance soulève une panoplie d’inquiétudes en matière de confidentialité. En voici quelques-unes :

  • Quelles précautions avez-vous prises pour protéger les données lorsque les employés travaillent à domicile?
  • Comment peut-on assurer la protection des données si l’on abaisse les normes de sécurité pour permettre aux employés d’accéder aux fichiers à distance?
  • Comment pouvez-vous être sûr que les autres occupants du domicile de l’employé ne consultent les informations confidentielles, privilégiées ou sensibles?
  • Quelle est votre part de responsabilité si vous tenez les fournisseurs de services tiers responsables de la protection des données, sachant que les employés de ces derniers travaillent probablement à domicile?

Les réponses à ces questions sont à la fois d’ordre juridique et d’ordre technique. J’aimerais vous transmettre mes connaissances en matière de conseils juridiques, ainsi que certains conseils de sécurité techniques fournis par des agences telles que la Federal Trade Commission (Commission fédérale du commerce, FTC).

Les règles de confidentialité s’appliquent toujours dans le cadre du travail à domicile.

Jusqu’à maintenant, peu de directives ont été publiées aux États-Unis concernant le travail à domicile depuis l’éclosion de la COVID-19. Toutefois, les documents publiés indiquent que les lois et les règlements en vigueur en matière de confidentialité des données continuent de s’appliquer.

En ce qui a trait à la conformité à la HIPAA (The Health Insurance Portability and Accountability Act [Loi sur la portabilité et la responsabilité de l’assurance maladie]), par exemple, le ministère de la Santé et des Services sociaux (Department of Health and Human Services, HHS) et le Bureau des droits civils (Office of Civil Rights) ont publié conjointement des directives affirmant que les données protégées par la HIPAA doivent rester protégées comme d’habitude. Cette loi ne peut pas être mise de côté pour la simple raison que l’état d’urgence a été décrété. Si des informations confidentielles sur la santé doivent être transmises, il ne faut divulguer que les informations nécessaires. Pour alléger ce fardeau, le ministère de la Santé et des Services sociaux a renoncé à l’application des sanctions et des pénalités de la HIPAA pour les hôpitaux. De plus, il prévoit alléger les restrictions sur la transmission de données électroniques.

Dans une situation plutôt similaire, avant la transition vers l’an 2000, le département du Travail (Department of Labor, DOL) a rappelé aux employeurs qu’ils avaient « l’obligation fiduciaire » de veiller à ce que leurs systèmes soient prêts à gérer toute perte de données potentielle concernant les avantages sociaux des employés. Les employeurs à leur tour tenaient leurs fournisseurs tiers responsables des services rendus aux employés, comme l’administration du régime 401(k). Le DOL a affirmé clairement que l’employeur et ses fournisseurs de services tiers seraient responsables de la gestion et de la prévention de la perte de données financières, plutôt que d’imposer cette responsabilité aux employés.

Il en va de même concernant notre crise actuelle de la COVID-19. Les entreprises et leurs fournisseurs de services tiers, et non le consommateur, sont les mieux placés pour protéger les données.

Ainsi, le consensus juridique général consiste à continuer d’appliquer les exigences relatives à la protection, que l’on travaille au bureau ou à domicile. Ce consensus s’appuie tant sur les directives actuelles des organismes fédéraux que sur les processus de préparation aux catastrophes anciennement mis en place, comme ceux de l’an 2000. Pour vous protéger, vous devez prendre des mesures raisonnables en vue de respecter les exigences en matière de confidentialité, que vous soyez aux États-Unis ou à l’étranger. Vous devez aussi rappeler à vos fournisseurs de services de prendre des mesures raisonnables pour protéger les données des consommateurs pendant que leurs employés travaillent à domicile.

Consignes pratiques pour le maintien de la confidentialité

En ce qui a trait aux mesures de sécurité, la FTC a publié des conseils en ligne sur la sécurité s’appliquant au travail à domicile, y compris les suivants :

  • Utiliser des mots de passe et tenir à jour son logiciel de sécurité
  • Renforcer la sécurité des réseaux à domicile
  • Stocker de façon sécurisée les fichiers contenant des informations sensibles
  • Détruire les données sensibles de façon sécurisée
  • Respecter toutes les pratiques de sécurité organisationnelles

Même le FBI s’est récemment joint à tous ceux qui expriment leurs inquiétudes et a également offert des conseils.

À l’échelle internationale, le Contrôleur européen de la protection des données (European Data Protection Board) a aussi publié ses directives concernant la COVID-19. Le Règlement général sur la protection des données (General Data Protection Regulation, RGPD) applique des règlements qui régissent le traitement des données personnelles en contexte d’épidémie, conformément aux lois nationales.

Assurer la conformité juridique

D’un point de vue de la responsabilité juridique, vous ne pourrez probablement pas faire prévaloir que les normes de protection de la confidentialité ont été relâchées à cause de la pandémie de coronavirus. Préparez-vous donc à bien défendre vos processus liés à la protection de la confidentialité pendant que vos employés travaillent à distance. Vous devez aussi rappeler à vos fournisseurs de services tiers de faire de même. Informez vos employés qui travaillent à domicile que les mesures de protection de la confidentialité qui s’appliquent à l’échelle de la société tiennent toujours. Donnez-leur aussi les outils dont ils ont besoin, comme les directives de la FTC, afin de protéger les données et la confidentialité.

Pour en savoir plus sur les moyens de protéger la confidentialité dans le cadre des services en nuage, regardez notre webinaire récemment enregistré :
Études de cas concernant la gouvernance des informations dans Microsoft 365