RGPD et smartphones professionnels

Le RGPD et les smartphones professionnels de votre organisation

L’utilisation des smartphones professionnels supplante aujourd’hui celle des ordinateurs pour bien des usages. En entreprise notamment, les outils sur mobiles permettent aux employés d’accéder aux bases de données clients et prospects depuis leur téléphone. Les applications grand public également, collectent des données qu’il faut ensuite protéger. Le smartphone est un vecteur de flux d’informations importants, son utilisation doit donc être encadrée.

La spécificité des smartphones

Le RGPD renforce depuis mai 2018 le travail de sécurisation des données de chaque point d’accès au réseau de l’entreprise. Il s’agit de protéger les informations sensibles de l’entreprise et celles des clients (sociétés ou particuliers) qui auront confié des informations les concernant en toute confiance.

Les smartphones rendent le processus de sécurisation particulièrement complexe. Ils sont utilisés en tous points géographiques et sont susceptibles de se connecter à de multiples réseaux. Leur usage est tout à la fois privé et professionnel, sans les restrictions souvent imposées aux ordinateurs portables. Enfin, une multitude d’applications peuvent être installées, iles engendrent autant de flux de données et démultipliant les risques.

Les bonnes questions à se poser sur le RGPD et les smartphones professionnels

Les particularités du support amènent à réfléchir quelque peu différemment de la sécurisation d’un réseau informatique classique. Ainsi et de manière non exhaustive, le DSI devra se poser les questions suivantes :

  • Qui a accès aux smartphones, au sein de l’entreprise et en dehors ?
  • Comment sont gérées les applications ? Faut-il prévoir des restrictions à leur téléchargement et installation ?
  • Que vont devenir les données en cas de vol ou de perte du smartphone ? Faut-il prévoir un effacement à distance ? Une géolocalisation ?
  • Quid des mises à jour, et notamment celle de l’OS ? Engendrent-elles des risques complémentaires ?
  • Le lien entre le smartphone et le réseau d’entreprise est-il une faille dangereuse ?
  • Les communications présentent-elles un risque d’interception ?

La plupart des services d’une entreprise peuvent être concernés par la réponse à ces questions. Des règles d’usage communes et spécifiques à chaque service peuvent s’avérer nécessaires.

le RGPD et les smartphones professionnels : Les obligations légales

En cas de faille préjudiciable, l’entreprise fautive devra prouver que tout a été mis en œuvre afin de protéger les données personnelles de ses clients et prospects.

Cette règle est la plus importante à retenir et encourage la mise en place d’une vraie politique de sécurisation des données personnelles. Un manquement pourrait engendrer une perte financière importante par le paiement d’amendes voire de dommages et intérêts.

Sur mobile comme sur les autres supports informatiques, le principe d’application du RGPD reste le même. Seule la manière de procéder, liée aux spécificités évoquées, diffère. Ainsi, n’oubliez pas :

  • d’expliquer aux utilisateurs pourquoi vous prélevez leurs données (notamment si vous créez une application mobile) ;
  • de solliciter leur consentement et de donner la possibilité de choisir quelles données pourront être utilisées ;
  • selon le type de données, vous aurez peut-être l’obligation d’effectuer une analyse d’impact relative à la protection des données ;
  • d’avoir un accès donnant la possibilité de rectifier ou supprimer les données collectées – à défaut les anonymiser. Le droit à l’oubli est un essentiel du RGPD.

La Commission Nationale de l’Informatique et des Libertés (CNIL) veille à ce que ces règles fondamentales soient appliquées. Elle peut peut vous contrôler sans même vous en avertir, physiquement ou en pénétrant votre système.

Conseils utiles pour sécuriser l’utilisation du smartphone

Commencez par cartographier la collecte de données ou les points d’accès aux données de votre réseau. Cela constituera une base de laquelle partir pour sécuriser chaque donnée selon qu’elle entre dans votre champ d’action ou qu’elle risque d’en sortir de manière indésirable.

Dans le cadre d’une application permettant l’accès aux données de votre réseau, sécurisez l’entrée par un mot de passe unique pour chaque utilisateur. Prévoyez en outre une déconnexion rapide en cas d’inactivité de plus de quelques minutes.

Il s’agit d’éviter qu’un tiers n’appartenant pas à l’entreprise n’explore les données présentées et qui peuvent être les données personnelles de clients.

Afin que chacun s’approprie au mieux les outils que vous mettrez en place, ajoutez un tutoriel de la protection des données accessible directement depuis le mobile et complétant une possible formation. Il pourra servir à ce que vos salariés adoptent les bons réflexes de protection de leur smartphone,. Ils comprendront mieux les enjeux de votre politique au lieu de seulement la percevoir comme une suite de contraintes.

De la même façon et dans le cadre de la mise en place d’une application accessible aux clients et prospects, tâchez de rendre compréhensible la collecte de données et ses raisons. Plus ludique sera l’explication, plus nombreux le public y adhèrera.

Enfin et parce que le smartphone aura également vocation à être utilisé dans un cadre privé, prévoyez l’évident comme l’inattendu. La perte ou le vol évidemment, mais également la possibilité que d’autres applications ne fassent courir un risque à vos données. Les mises à jour, l’antivirus et les sauvegardes s’avèrent ici une base indispensable, que vous pouvez compléter de restrictions d’accès. La mise en place d’un store dédié ou d’une liste d’application autorisées – à l’exclusion de toute autre – est une mesure contraignante mais sécurisante.

Attention aux fonctionnalités des applications

Pour terminer, prenez garde aux applications de vos fournisseurs informatiques. Ils peuvent présenter des risques dérivés que vous n’aurez pas forcément prévus. Par exemple : une application développée en externe prévoit lors de son utilisation de demander l’autorisation de géolocaliser votre salarié ou votre client / prospect.

Si l’accord est donné, assurer-vous :

  • que l’accès aux données de localisation se borne au temps d’utilisation de l’application
  • qu’il ne se poursuit pas ensuite.

On pourrait vous soupçonner d’exercer un contrôle des déplacements privés de l’utilisateur, ou de collecter des données non consenties (lieux fréquentés, horaires habituels, etc.).

Même si cela ne résulte pas de votre volonté et que le défaut de conception n’émane pas de vos services, vous serez responsable en cas de plainte.

Le meilleur conseil que l’on puisse vous donner. Réagissez rapidement si toutefois votre sécurisation des données personnelles n’est pas optimale. La non-conformité peut coûter cher. 4% de votre chiffre d’affaires annuel ou 20 millions d’euros sont les amendes prévues par la loi ! En cas de doute, faites appel à un spécialiste RGPD ou DPO. Il pourra pointer vos failles et vous conseiller quant à leur sécurisation.

Share This