Dès lors que l’on gère des données personnelles (sensibles ou non), il est essentiel d’être en conformité avec des règles strictes : normes, RGPD, CNIL, respect de la vie privée… Les coffres-forts numériques n’y échappent pas. Comment vous assurer que votre coffre-fort électronique respecte bien la vie privée du salarié ?
Cet article prend la forme d’une courte checklist permettant de valider que votre coffre-fort numérique est bien en conformité avec le respect de la vie privée du salarié.
1. Rappel : à qui appartiennent les données contenues dans un coffre-fort numérique ?
Par sa nature, un coffre-fort électronique implique de gérer des données personnelles. Mais à qui appartiennent vraiment ces dernières ?
L’article 26 de la loi Lemaire (7 octobre 2016) apporte une réponse claire à cette question. Si des données vous concernent (en mentionnant votre nom ou en vous identifiant indirectement), elles vous appartiennent de fait. Vous disposez alors d’un droit de propriété sur ces données.
Or, par définition, lorsque votre entreprise dépose des documents RH (bulletin de paie, contrat de travail, avenant, attestation professionnelle…) dans le coffre-fort numérique de votre collaborateur, elle les dépose dans son espace personnel. Les données personnelles présentes sur ces documents sont la propriété exclusive du salarié en question.
Tout coffre-fort électronique abritant les données personnelles d’un salarié est tenu de respecter la vie privée de celui-ci. En tant que responsable RH ou employeur, il est de votre responsabilité de vous assurer que le coffre-fort choisi respecte les critères en la matière.
Ces critères portent autant sur la durée de vie des documents en question, que sur des règles strictes en matière de protection de données.
Pour vous aider, nous vous recommandons de valider les 3 points suivants avant de choisir un coffre-fort numérique pour les salariés de votre entreprise.
2. Point 1 – Le coffre-fort numérique propose-t-il le chiffrement des données personnelles ?
Le chiffrement des données est un dispositif numérique qui sert à protéger les informations contenues dans un coffre-fort digital. En résumé, les données sont encodées/cryptées afin que seules les personnes habilitées à les consulter puissent y accéder et les lire. Elles ne seront donc accessibles que pour ceux qui possèdent la clé secrète ou le mot de passe les rendant lisibles.
Le chiffrement des données personnelles permet de protéger la confidentialité de ces données et le respect de la vie privée du salarié.
Il ne faut, en effet, pas oublier le but principal d’un coffre-fort numérique : protéger des données confidentielles. D’autant plus que les données relatives à la vie privée du salarié attirent régulièrement l’attention des hackers et autres pirates informatiques.
Validez donc avec le prestataire proposant le coffre-fort que les données personnelles sont bien chiffrées.
3. Point 2 – Les données du coffre-fort sont-elles protégées par l’authentification à double facteur ?
Compte tenu du caractère privé des informations qu’il contient, le coffre-fort électronique est individualisé et à usage strictement personnel. En vue de garantir la préservation de la vie privée du collaborateur, ce dernier doit être le seul à connaître l’identifiant et le mot de passe permettant d’accéder au contenu du coffre-fort.
La réutilisation des mêmes mots de passe pour accéder à plusieurs plateformes ou applications web et mobiles pouvant être courante, il est aussi important que votre coffre-fort propose un niveau de sécurisation supplémentaire du processus d’authentification.
Vérifiez si le coffre-fort numérique choisi propose aussi l’authentification à double facteur (également appelée 2FA). Avec la 2FA, en plus de renseigner un identifiant, un mail et un mot de passe, le salarié doit aussi répondre à un moyen d’authentification personnalisé. Les mécanismes sont nombreux (code à durée de vie limitée transmis par SMS, code tournant généré par une application…) mais l’objectif reste le même : sécuriser davantage l’authentification en générant un mot de passe additionnel, cette fois-ci non statique.
En plus du chiffrement des données, les coffres-forts numériques soucieux de préserver les données relatives à la vie du salarié ont opté pour la 2FA. Ces deux procédés combinés sont le meilleur moyen de se prémunir contre le piratage à distance et le vol d’identifiants numériques.
4. Point 3 – Le coffre-fort est-il en conformité totale avec les règles de protection de la vie privée du salarié ?
Le RGPD (Règlement Général sur la Protection des Données) est entré en vigueur le 25 mai 2018 afin de renforcer le droit de propriété détenu par le salarié européen sur ses données personnelles. Il s’agit d’un ensemble de mesures légales de protection des données numériques à l’échelle européenne qui vise les entreprises et leurs sous-traitants. Son implémentation en France est très stricte et supervisée par la CNIL (Commission Nationale de l’Informatique et des Libertés).
Ainsi, tout coffre-fort virtuel gérant des données personnelles en Europe se doit d’être conforme aux exigences du RGPD. Si ce n’est pas le cas, c’est un manquement grave au respect de la vie privée de vos salariés. Il est aussi important pour vous de vérifier si l’hébergement et le traitement des données stockées dans le coffre-fort numérique de prestataire se fait en France pour que ceux-ci soient couverts par le droit européen.
En plus de veiller à la conformité au RGPD, soyez aussi attentif à ce que le coffre-fort choisi respecte la norme Afnor NF Z42-020. Cette norme sert à prouver l’intégrité des données contenues dans le coffre numérique.
Si vous souhaitez aller plus loin sur le sujet de la sécurité des données contenues dans un coffre-fort numérique, nous y avons consacré un article entier. Retrouvez-le en cliquant ici.
Vous recherchez une solution clé en main respectant à 100 % la vie privée du salarié ? C’est ce que vous propose notre coffre-fort numérique. Chez Digiposte, nous considérons que vous n’avez pas à tout gérer de front : chiffrement des données, authentification à double facteur, conformité avec le RGPD, etc. C’est pourquoi nous gérons tout cela pour vous. Pour plus d’informations, contactez-nous.
