Gestion de la conformité au RGPD et à la CCPA en cas de télétravail

La conformité aux réglementations sur la confidentialité des données, comme le règlement général sur la protection des données (RGPD) de l'Union européenne et la loi californienne sur la protection de la vie privée des consommateurs (CCPA), nécessite d'adopter une approche différente à l'égard de la sécurité en cas de télétravail. Poursuivez votre lecture pour connaître les cinq meilleures pratiques de Splashtop pour garantir la conformité en cas de télétravail.

Le télétravail n'est pas près de disparaître. Selon une récente estimation de Gartner, 51 % des personnes exerçant un travail intellectuel le feront en télétravail au début de l'année 2022, et ce chiffre est encore plus élevé avec la progression fulgurante du variant omicron dans le monde.

Le télétravail complique la conformité, comme l'indiquent les conclusions de ce récent article de Security Magazine qui présente les résultats de l'enquête mondiale sur la sécurité informatique 2021 d'Apricorn menée auprès de plus de 400 spécialistes de la sécurité informatique d'Amérique du Nord et d'Europe. L'étude portait sur les pratiques et politiques de sécurité en matière de télétravail au cours des 12 derniers mois. Les résultats résument très bien les risques :

  • 60% des personnes interrogées ont déclaré que les conditions de télétravail induites par le COVID ont créé des problèmes de sécurité des données au sein de leur entreprise.
  • 38% ont déclaré que le contrôle des données a été très difficile à gérer.
  • Malgré les préoccupations liées au contrôle des données, près de 20% ont admis que leurs appareils de travail ont été utilisés par d'autres membres de leur foyer.

La conformité aux réglementations sur la confidentialité des données dans le cadre du télétravail ne fait pas encore partie des priorités des équipes informatiques. Un article de Healthcare IT News datant de 2021 indique que seulement 2 équipes informatiques sur 10 ont déclaré avoir fourni des outils et des ressources adéquats pour soutenir les employés en télétravail sur le long terme. Ce manque de préparation fait courir aux entreprises le risque d'enfreindre les lois sur la confidentialité des données des consommateurs, en particulier le RGPD et la CCPA.

L'impact de la non-conformité

Lorsqu'il s'avère qu'une entreprise a causé un préjudice potentiel à des consommateurs en ne protégeant pas correctement leurs données à caractère personnel (DCP), l'entreprise risque des amendes substantielles, la perte de clients et des dommages importants à sa marque. La plupart des gens se souviennent certainement d'affaires très médiatisées comme les amendes infligées par l'UE à Amazon et H&M pour non-conformité au RGPD, d'un montant respectif de 746 millions d'euros et 35 millions d'euros. Pourtant, en seulement 3 ans, l'UE a infligé plus de 800 amendes à travers l'Espace économique européen (EEE) et le Royaume-Uni (qui maintient les règles du RGPD, même après le Brexit).

Oui, les petites entreprises reçoivent des amendes. Prenez, par exemple, le fournisseur de soins de santé suédois Capio St. Göran. Sa marque a été atteinte et il a reçu une amende GDPR de 2,9 millions d'euros suite à un audit de l'un de ses hôpitaux. L'audit a montré que l'entreprise n'avait pas effectué d'évaluations des risques appropriées et n'avait pas mis en place de contrôles d'accès efficaces. En conséquence, trop d'employés avaient accès à des données personnelles sensibles.

Le même type de mesures s'applique aux entreprises de toutes tailles dans le cadre de la loi californienne CCPA. Un article de TechTarget paru en septembre 2021 indique que l'État de Californie a récemment infligé des amendes à un concessionnaire automobile, à une chaîne d'épiceries, à une plateforme de rencontres en ligne et à une agence d'adoption d'animaux de compagnie – qui sont loin d'être des grands noms de l'industrie moderne.

En résumé, si vous gérez des équipes à distance, vous devez prendre plusieurs mesures pour adapter votre politique et vos pratiques de sécurité afin de rester en conformité avec les lois sur la confidentialité des données personnelles.

Heureusement, Splashtop a permis à des milliers d'organisations de travailler à distance. Voici les 5 meilleures pratiques éprouvées de Splashtop pour assurer la conformité tout en ayant une main-d'œuvre à distance.

Ce qu'implique la conformité des données dans le cadre du RGPD et de la CCPA

Le RGPD et la CCPA exigent tous deux des entreprises qu'elles préservent la confidentialité et la sécurité des informations personnelles. Les processus de traitement de ces données personnelles dans l'entreprise doivent intégrer des mesures de protection des données (par exemple, la pseudonymisation ou l'anonymisation complète le cas échéant). Les entreprises qui contrôlent les données doivent concevoir leurs systèmes d'information en tenant compte de la vie privée.

De manière similaire au RGPD, le chapitre 55 de la loi californienne de 2018 sur la protection de la vie privée des consommateurs (CCPA) définit les informations personnelles comme des informations qui identifient, concernent, décrivent, sont raisonnablement susceptibles d'être associées à, ou pourraient raisonnablement être liées (directement ou indirectement) à un consommateur ou un foyer particulier telles qu'un nom réel, un pseudonyme, une adresse postale, un identifiant personnel unique, un identifiant en ligne, une adresse de protocole Internet, une adresse électronique, un nom de compte, un numéro de sécurité sociale, un numéro de permis de conduire, un numéro de plaque d'immatriculation, un numéro de passeport ou d'autres identifiants similaires.

Ces lois s'appliquent à tous les employés de toutes les entreprises, quel que soit leur lieu de travail, qu'ils soient en télétravail ou non. À noter que la région du monde dans laquelle les employés travaillent n'a pas d'importance. Ces lois s'appliquent lorsque les consommateurs protégés par le règlement vivent dans la zone UE, au Royaume-Uni et/ou en Californie. (Notez que de nombreux autres pays, tels que le Brésil, l'Afrique du Sud, la Corée du Sud, le Japon et bien d'autres ont également institué des réglementations similaires depuis 2019-2021).

Meilleure pratique n° 1 : mettez à jour votre politique de cybersécurité pour refléter la réalité du télétravail.

Comme le montrent les données ci-dessus, de nombreux employés ne sont pas familiers avec les questions de sécurité des données et de confidentialité des personnes concernées et n'ont tout simplement pas conscience que leurs actions pourraient conduire à une violation des données exposant les données personnelles que votre entreprise doit protéger.

La meilleure façon d'informer les employés est d'élaborer une politique de cybersécurité qui leur indique comment assurer la sécurité des données de votre entreprise. La bonne nouvelle est que votre politique de sécurité informatique peut être un document simple. Elle doit expliquer les raisons de son existence et présenter les protocoles de sécurité spécifiques (en termes non techniques) que tous les employés doivent suivre. Elle doit également indiquer un point de contact (e-mail ou numéro de téléphone) auquel peuvent s'adresser les employés qui ont besoin d'aide pour la comprendre.

Meilleure pratique n° 2 : formez vos employés et assurez-vous que le service informatique leur apporte un soutien.

Les employés sont souvent le maillon faible de la cybersécurité. Organisez régulièrement des formations à la sécurité pour tenir vos employés au courant de la manière dont protéger l'entreprise contre les attaques malveillantes.

  • Politiques relatives aux comptes et aux mots de passe : Attribuez à tous les utilisateurs leurs propres identifiants et accordez-leur l'accès via des mots de passe forts et une authentification à deux ou plusieurs facteurs.
  • Contrôle de la sécurité des données : les contrôles de la sécurité des données comprennent l'accès basé sur les rôles selon le principe du moindre privilège, la surveillance des accès, l'examen et l'inventaire des comptes et la journalisation. Cela signifie que tous les utilisateurs ont un niveau minimal d'accès aux données.
  • Contrôle d'accès : les contrôles d'accès gèrent l'accès électronique aux données et aux systèmes et reposent sur les niveaux d'autorité, les niveaux de « besoin de savoir » et une séparation claire des tâches pour les personnes qui accèdent au système.
  • Réponse aux incidents de sécurité : les procédures de « réponse aux incidents de sécurité » permettent à une entreprise d'enquêter sur les événements liés aux services et aux actifs informationnels de Splashtop, d'y répondre, de les atténuer et de les notifier.

Meilleure pratique n° 3 : cryptez les données, aussi bien quand elles sont en transit qu'au repos.

L'article 83 du RGPD exige que les données personnelles soient protégées, tant en transit qu'au repos. Les données sont considérées en transit chaque fois que quelqu'un y accède, par exemple lorsqu'elles passent du serveur d'un site web au dispositif d'un utilisateur. Les « données au repos » font référence aux données stockées, par exemple sur le disque dur d'un appareil ou sur une clé USB.

Les deux éléments clés pour assurer la protection des données lorsque vos employés sont en télétravail sont le cryptage et le contrôle d'accès.

  • Cryptage : Splashtop crypte toutes les données des utilisateurs en transit et au repos et toutes les sessions des utilisateurs sont établies de manière sécurisée en utilisant TLS. Le contenu auquel on accède au cours de chaque session est toujours crypté au moyen du protocole AES 256 bits.
  • Contrôle d'accès : Splashtop a mis en place des contrôles d'accès pour gérer l'accès électronique aux données et aux systèmes. Nos contrôles d'accès sont reposent sur les niveaux d'autorité, les niveaux de « besoin de savoir » ainsi qu'une séparation des tâches pour ceux qui accèdent au système.

Splashtop évite délibérément la collecte excessive de données – ce que trop d'entreprises font sans raison légitime de service commercial. Nous nous alignons plus facilement sur les réglementations en NE collectant PAS de données/informations sensibles. Nous ne collectons, stockons et traitons que des DCP limitées, telles que le nom d'utilisateur (email), le mot de passe et les journaux de session (pour que les clients puissent les consulter, pour le dépannage, etc.), et Splashtop ne vend pas les informations des clients conformément aux directives du RGPD et de la CCPA.

Meilleure pratique n° 4 : traitez les données spécifiques à la géographie dans leur propre pile.

Si votre entreprise dessert des utilisateurs dans une zone réglementée, le plus sûr est de créer une pile de données/technologies spécifique à chaque zone réglementée. Splashtop s'appuie sur une pile européenne basée en Allemagne. Cela garantit que les transferts de données liés aux résidents de l'UE restent dans la souveraineté de l'UE (une règle stricte du RGPD).

Meilleure pratique n° 5 : utilisez un accès à distance sécurisé

Les personnes qui travaillent à distance utilisent généralement des VPN et le protocole de bureau à distance (RDP) pour accéder aux applications et aux données dont elles ont besoin pour effectuer leur travail. Cela a conduit les cybercriminels à exploiter les faiblesses de la sécurité des mots de passe et les vulnérabilités des VPN pour accéder au réseau des entreprises et voler des informations et des données.

La solution d'accès à distance de Splashtop ne repose pas sur un VPN. De plus, elle suit une approche de confiance zéro. Lorsque les employés accèdent à distance à leur ordinateur ou à leur poste de travail au bureau, ils le font par une connexion Splashtop spéciale. Une connexion qui ne fait pas partie du réseau de l'entreprise. Cela signifie qu'ils peuvent uniquement visualiser et travailler avec les données (par exemple, des documents Word) se trouvant sur leur bureau à distance et que les données ne sortent jamais du réseau de l'entreprise. Les responsables de la sécurité informatique ont également le choix, avec Splashtop, d'activer ou de désactiver les fonctions de transfert de fichiers et d'impression. Ces choix sont fortement recommandés pour la conformité, mais n'existent pas avec une stratégie RDP/VPN.

L'accès à distance Splashtop introduit encore plus de fonctionnalités de sécurité, telles que l'authentification des appareils, l'authentification à deux facteurs (2FA), l'authentification unique (SSO) et bien plus encore. Ces mesures de sécurité modernes n'existent pas dans l'architecture VPN.

Il est plus facile de prévenir que de guérir

Comme le montrent ces meilleures pratiques, vous pouvez prendre cinq mesures de bon sens pour vous aligner sur les réglementations en matière de confidentialité des données sans déployer des efforts considérables. Le télétravail étant appelé à perdurer, les avantages de la protection des données des consommateurs dans votre environnement de travail à distance l'emportent largement sur les effets négatifs d'un manque de conformité.

Pour savoir comment votre entreprise peut rapidement mettre en place un accès à distance sûr et sécurisé – en conformité avec la CCPA, le RGPD et d'autres réglementations sur la confidentialité des données des consommateurs – consultez notre page Conformité.


Contenu connexe

Bannière d'essai gratuit sur le fond du blog