Depuis que nous avons commencé notre quarantaine en raison de la COVID-19, j’ai beaucoup d’inquiétudes quant à la protection des données et de la confidentialité lorsque les personnes travaillent à domicile. Comme vous pouvez l’imaginer, la décision soudaine de faire travailler vos employés à distance soulève une panoplie d’inquiétudes en matière de confidentialité. En voici quelques-unes :
Les réponses à ces questions sont à la fois d’ordre juridique et d’ordre technique. J’aimerais vous transmettre mes connaissances en matière de conseils juridiques, ainsi que certains conseils de sécurité techniques fournis par des agences telles que la Federal Trade Commission (Commission fédérale du commerce, FTC).
Jusqu’à maintenant, peu de directives ont été publiées aux États-Unis concernant le travail à domicile depuis l’éclosion de la COVID-19. Toutefois, les documents publiés indiquent que les lois et les règlements en vigueur en matière de confidentialité des données continuent de s’appliquer.
En ce qui a trait à la conformité à la HIPAA (The Health Insurance Portability and Accountability Act [Loi sur la portabilité et la responsabilité de l’assurance maladie]), par exemple, le ministère de la Santé et des Services sociaux (Department of Health and Human Services, HHS) et le Bureau des droits civils (Office of Civil Rights) ont publié conjointement des directives affirmant que les données protégées par la HIPAA doivent rester protégées comme d’habitude. Cette loi ne peut pas être mise de côté pour la simple raison que l’état d’urgence a été décrété. Si des informations confidentielles sur la santé doivent être transmises, il ne faut divulguer que les informations nécessaires. Pour alléger ce fardeau, le ministère de la Santé et des Services sociaux a renoncé à l’application des sanctions et des pénalités de la HIPAA pour les hôpitaux. De plus, il prévoit alléger les restrictions sur la transmission de données électroniques.
Dans une situation plutôt similaire, avant la transition vers l’an 2000, le département du Travail (Department of Labor, DOL) a rappelé aux employeurs qu’ils avaient « l’obligation fiduciaire » de veiller à ce que leurs systèmes soient prêts à gérer toute perte de données potentielle concernant les avantages sociaux des employés. Les employeurs à leur tour tenaient leurs fournisseurs tiers responsables des services rendus aux employés, comme l’administration du régime 401(k). Le DOL a affirmé clairement que l’employeur et ses fournisseurs de services tiers seraient responsables de la gestion et de la prévention de la perte de données financières, plutôt que d’imposer cette responsabilité aux employés.
Il en va de même concernant notre crise actuelle de la COVID-19. Les entreprises et leurs fournisseurs de services tiers, et non le consommateur, sont les mieux placés pour protéger les données.
Ainsi, le consensus juridique général consiste à continuer d’appliquer les exigences relatives à la protection, que l’on travaille au bureau ou à domicile. Ce consensus s’appuie tant sur les directives actuelles des organismes fédéraux que sur les processus de préparation aux catastrophes anciennement mis en place, comme ceux de l’an 2000. Pour vous protéger, vous devez prendre des mesures raisonnables en vue de respecter les exigences en matière de confidentialité, que vous soyez aux États-Unis ou à l’étranger. Vous devez aussi rappeler à vos fournisseurs de services de prendre des mesures raisonnables pour protéger les données des consommateurs pendant que leurs employés travaillent à domicile.
En ce qui a trait aux mesures de sécurité, la FTC a publié des conseils en ligne sur la sécurité s’appliquant au travail à domicile, y compris les suivants :
Même le FBI s’est récemment joint à tous ceux qui expriment leurs inquiétudes et a également offert des conseils.
À l’échelle internationale, le Contrôleur européen de la protection des données (European Data Protection Board) a aussi publié ses directives concernant la COVID-19. Le Règlement général sur la protection des données (General Data Protection Regulation, RGPD) applique des règlements qui régissent le traitement des données personnelles en contexte d’épidémie, conformément aux lois nationales.
D’un point de vue de la responsabilité juridique, vous ne pourrez probablement pas faire prévaloir que les normes de protection de la confidentialité ont été relâchées à cause de la pandémie de coronavirus. Préparez-vous donc à bien défendre vos processus liés à la protection de la confidentialité pendant que vos employés travaillent à distance. Vous devez aussi rappeler à vos fournisseurs de services tiers de faire de même. Informez vos employés qui travaillent à domicile que les mesures de protection de la confidentialité qui s’appliquent à l’échelle de la société tiennent toujours. Donnez-leur aussi les outils dont ils ont besoin, comme les directives de la FTC, afin de protéger les données et la confidentialité.
Pour en savoir plus sur les moyens de protéger la confidentialité dans le cadre des services en nuage, regardez notre webinaire récemment enregistré :
Études de cas concernant la gouvernance des informations dans Microsoft 365
Share