Sécurité informatique : responsabilité de l'entreprise
L'employeur doit s'assurer de la sécurité informatique de chaque poste de travail. Et notamment de la sécurité des données dans le cadre du RGPD.
Charte sur la sécurité informatique en entreprise
Chaque entreprise doit se doter d’un guide visant à favoriser les bonnes pratiques informatiques et à éviter tout dérapage. Il s'agit d'une charte informatique. Généralement la charte se présente sous la forme d’un document à portée juridique, dans lequel les règles et instructions pour garantir une sécurité informatique optimale sont clairement définies.
En effet, ce document doit aborder des points essentiels :
- la protection des informations personnelles cadre du RGPD ;
- les conditions d’accès des salariés aux fichiers confidentiels comme les fichiers clients ou les fichiers du personnel pour éviter le détournement de fichiers informatiques ;
- le respect par les employés des clauses de confidentialité.
Le contenu de la charte doit permettre de protéger le salarié, mais aussi de l’informer sur :
- l’utilisation autorisée des moyens informatiques mis à disposition du personnel de l’entité. Par exemple, la charte peut interdire le téléchargement illégal au travail ou l'utilisation de logiciels piratés ;
- les principes de sécurité en vigueur ;
- les méthodes de contrôle utilisées par l’employeur ;
- les sanctions appliquées en cas d’usage frauduleux.
Sécurité informatique et protection de la vie privée
Il est important de faire la différence entre la sécurité informatique et la protection de la vie privée qui concerne surtout les informations personnelles et confidentielles des usagers de l’outil informatique. Cependant, la collecte des données personnelles impose une obligation de sécurité renforcée, car ces informations peuvent être extrêmement sensibles. En effet, l’usage, l’accès et la diffusion de ces données doivent être bien encadrés juridiquement, mais également de façon réglementaire dans le cadre de l’entreprise. La protection de la vie privée devient un droit pour tout usager.
Cela oblige l’entreprise à œuvrer pour la garantir en développant une stratégie de sécurité informatique autour de certains points clés :
- quelles informations l’employé est-il autorisé à collecter ?
- quelles sont les limites de l’utilisation de ces données par le salarié ?
- quelles sont les personnes susceptibles de partager ces informations avec l’employé ?
- combien de temps le salarié a-t-il le droit de sauvegarder ou stocker ces données ?
- quelle est la mesure de contrôle d’accès adéquate ?
Par ailleurs, la protection de la vie privée doit être garantie par les entités en sécurisant les données quand elles sont en mode "repos" et lorsqu’elles sont transmises. Une tâche complexe qui implique différents niveaux de management, afin d’éviter certaines fuites d’informations ou l'usage frauduleux des données. Une vigilance numérique doit également être appliquée à travers :
- la sécurisation du web et des serveurs ;
- l’authentification et le contrôle d’accès ;
- la sécurisation des e-mails et la signature de documents.