Messages les plus consultés

lundi 18 novembre 2013

Pour ou contre la pratique du BYOD : quelques réponses juridiques


La pratique du BYOD (Bring Your Own Device) ou le fait d’apporter et d’utiliser ses propres appareils numériques (smartphone, ordinateur, tablette) au travail tend à se répandre. Certains prônent la flexibilité, la mobilité et la facilité d’utilisation d’appareils auxquels les collaborateurs sont déjà habitués. D’autres rappellent les inégalités entre les collaborateurs qui peuvent (ou doivent) utiliser leurs propres appareils et les autres. Au-delà de ces prises de position se posent de réelles questions, en termes de sécurité, mais également en termes juridiques.

Nous aborderons le sujet du BYOD selon trois axes : celui de la sécurité informatique, celui relatif à la nécessaire distinction entre les données professionnelles et les données privées, et enfin, l’axe “pédagogique” de la charte informatique.


1. BYOD et sécurité

La question de la sécurité concerne non seulement la sécurité des systèmes informatiques de l’entreprise, mais également, la sécurité de l’information.

La sécurité des systèmes informatiques de l’entreprise est, à juste titre, au coeur de la préoccupation des Directions informatiques.

L’entreprise qui tolère l’utilisation par ses collaborateurs de leurs propres équipements numériques à des fins professionnelles, sans mettre en place les procédures de sécurité appropriées pour assurer la fiabilité de ces supports (logiciels devant être utilisés, anti-virus à installer, etc.), se met en situation de précarité. Hormis les coûts engendrés en cas d’atteinte au système informatique, un système mal sécurisé et vulnérable aux intrusions peut engager la responsabilité de l’entreprise, ou au moins, si l’on se réfère aux dernières jurisprudences dans ce domaine, entraîner un allègement de la responsabilité de la personne coupable de l’atteinte au STAD. (1)

Les risques liés au BYOD concernent également les accès à distance aux serveurs et données, particulièrement si l’entreprise n’a pas déployé une politique de gestion des équipements BYOD, avec des pré-requis techniques avant d’autoriser l’accès à son système informatique, que ce système soit géré en interne, hébergé par un tiers ou exploité en mode Cloud.

En outre, en matière de traitements de données à caractère personnel, les entreprises sont responsables en cas d’atteinte à la sécurité des systèmes, en leur qualité de responsable de traitement. La loi Informatique et Libertés impose en effet au responsable de traitement de prendre toutes précautions utiles (mesures de sécurité technique et physique) pour empêcher que les données personnelles de leurs salariés et clients ne soient erronées, modifiées, effacées par erreur, ou que des tiers non autorisés y aient accès. (2)

Enfin, le BYOD requiert de mettre en place une politique spécifique relative au traitement des documents de l’entreprise et à leur confidentialité, afin d’éviter que d’autres personnes n’y aient accès, notamment si l’ordinateur personnel ou la tablette sont utilisés par ailleurs par d’autres membres de la famille.


2. BYOD et distinction entre données professionnelles et données privées

La frontière entre vie privée et vie professionnelle tend à se brouiller pour certaines catégories de salariés (télétravail, et mobilité notamment).

La jurisprudence relative aux droits de l’employeur à accéder aux documents et emails sur l’ordinateur du salarié est désormais relativement bien établie. Ainsi, l'employeur peut avoir accès aux fichiers informatiques créés, reçus et envoyés par les salariés, que ce soit dans le cadre de la réalisation normale de leur mission, ou dans une finalité de contrôle pour protéger les intérêts de l'entreprise ou sauvegarder les preuves en cas de faute disciplinaire du salarié.

Jusqu’à présent, la jurisprudence concernait les accès aux fichiers et emails sur les ordinateurs professionnels mis à la disposition des salariés par l’employeur. En résumé, l’employeur peut accéder aux fichiers numériques et emails du collaborateur, même en son absence, à l’exception des fichiers et emails identifiés comme “personnel” ou “privé”. La jurisprudence a récemment étendu cette faculté d’accès par l’employeur pour les documents se trouvant sur une clé USB appartenant au salarié, mais connectée à l’ordinateur professionnel. (3)

Alors qu’un appareil fourni par l’entreprise a pour finalité première d’être utilisé à des fins professionnelles et que l’utilisation à des fins privées est tolérée à la marge, un appareil personnel est censé être utilisé d’abord à des fins personnelles.

La jurisprudence relative à l’accès par l’employeur au contenu de l’ordinateur professionnel du salarié nous paraît difficilement transposable, telle quelle, au BYOD. En effet, le salarié a droit au respect de l'intimité de sa vie privée. Son employeur ne saurait librement accéder à ses équipements pour en contrôler le contenu. Afin de rétablir un équilibre entre données privées et données professionnelles, il est donc indispensable de définir les “règles du jeu” par la mise en oeuvre d’une charte technologique au sein de l’entreprise.


3. BYOD et charte technologique

Chaque entreprise devrait avoir déployé une charte informatique (également dénommée charte technologique ou charte utilisateur). (4) Cependant, même lorsqu’une charte est en vigueur dans l’entreprise, celle-ci doit être régulièrement revue et mise à jour pour tenir compte de l’évolution des usages et des technologies.

La charte informatique a une dimension pédagogique, à la fois pour les responsables informatique et sécurité qui doivent faire l’effort de poser les bonnes questions pour l’entreprise, la sécurité des systèmes et des données afin de rédiger une charte pertinente, et pour les collaborateurs qui auront à leur disposition les lignes de conduite à suivre dans ce domaine.

Ainsi, l’objet de la charte n’est pas nécessairement d’interdire mais de tracer les limites entre ce qui est autorisé et ce qui ne l’est pas : les collaborateurs sont-ils autorisés à utiliser la messagerie électronique pour échanger des emails privés, peuvent-ils consulter et utiliser les réseaux sociaux pendant leurs heures de travail, enfin sont-ils autorisés à utiliser leurs propres équipements pour l’exécution de leur travail, etc.

L’entreprise devra prendre une position claire sur le fait d’autoriser ou d’interdire l’utilisation par les collaborateurs de leurs propres équipements à des fins professionnelles. Si l’entreprise décide d’autoriser la pratique du BYOD, les règles d’utilisation devront alors être clairement définies afin de pallier les risques identifiés ci-dessus.

En cas d’autorisation du BYOD, la charte devra déterminer les types d’équipements autorisés, les logiciels et mesures de sécurité qui doivent être adoptés par les collaborateurs concernés, les règles de distinction ou de partition entre sphère privée numérique et sphère professionnelle numérique sur les équipements, et les règles d’accès aux données professionnelles par l’employeur.

Enfin, il conviendra de gérer rigoureusement le départ du collaborateur de l’entreprise. En principe, les équipements sont restitués à l’entreprise au moment du départ du collaborateur. Dans le cas du BYOD, il conviendra de prévoir une procédure d’effacement des données professionnelles, avec un engagement de confidentialité renforcé de la part du salarié sur le départ, sans oublier de fermer ses accès à distance au système informatique de l’entreprise (blocage des identifiants et mots de passe).


La question du BYOD ne laisse pas indifférent, à tel point que certains détournent cet acronyme en “buy your own device” (achetez votre propre appareil) ou “bring your own disaster” (apportez votre catastrophe) ! Il n’en demeure pas moins que le BYOD est source de risques en matière de sécurité informatique et juridique. Toute entreprise, quelle que soit sa taille, doit prendre position sur le fait d’interdire ou d’autoriser à ses collaborateurs l’utilisation de leurs équipements numériques. L’interdiction a le mérite d’écarter ces risques, a fortiori si l’entreprise intervient sur des domaines sensibles. Elle permet de conserver le contrôle et de rationaliser le parc informatique et les budgets y afférents ainsi que de gérer les risques de sécurité, compte tenu des composantes matérielles et logicielles. En revanche, l’autorisation du BYOD doit être accompagnée par le déploiement d’une politique de sécurité renforcée et d’une charte informatique adaptée, comprises par les collaborateurs et régulièrement contrôlées et mises à jour.

                                                     * * * * * * * * * *

(1) Voir notamment : CA Paris, 12é ch., 30 oct. 2002 Antoine C. / Ministère public et société Tati ; TGI Paris, 12é ch., 17 déc. 2010, Blogmusik / Anthony C, et TGI Créteil, 11e ch. correctionnelle, 23 avril 2013, Ministère public / Olivier L. (à noter que le Ministère public a interjeté appel de ce jugement).

(2) Art. 34 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée; et voir notre article “Protection des données personnelles : qui est responsable en cas de manquement à la loi ?” publié en mai 2013 sur notre blog à : http://dwavocat.blogspot.fr/2013/05/protection-des-donnees-personnelles-qui.html

(3) Voir les dernières jurisprudences de la Cour de cassation : C. cass., ch. soc., 16 mai 2013, N°12-11866 ; C. cass., ch. soc., 19 juin 2013, N°12-12138 ; C. cass., ch. soc.,12 février 2013, No 11-28.649 ; C. cass., ch. soc.,10 mai 2012, N°11-13.884 et notre article “Principes et limites à l’accès aux emails des salariés par l’employeur : les dernières décisions jurisprudentielles” publié en septembre 2013 sur notre blog à http://dwavocat.blogspot.fr/2013/09/principes-et-limites-lacces-aux-emails.html

(4) A ce sujet, nous renvoyons à nos articles relatifs à la mise en place d’une charte informatique  : http://dwavocat.blogspot.fr/2011/12/la-charte-informatique-face-levolution.html et http://dwavocat.blogspot.fr/2013/10/la-protection-du-patrimoine.html



Bénédicte DELEPORTE

Deleporte Wentz Avocat
www.dwavocat.com
Novembre 2013

jeudi 14 novembre 2013

Données de santé : des obligations de sécurité spécifiques pour les professionnels de la santé

Les données de santé sont considérées comme des informations sensibles, et à ce titre, sont soumises à un haut niveau de sécurité, physique et technique. Toutefois, les médias rapportent régulièrement l'existence de fuites de données de patients, par des centres hospitaliers ou des laboratoires d'analyses médicales, retrouvées sur la Toile. (1)

Les professionnels et établissements de santé sont ainsi légalement tenus de préserver la sécurité et la confidentialité des données de leurs patients, le recours à la sous-traitance pour certains traitements de données ou leur hébergement, ne déchargeant pas les professionnels des obligations, comme vient de le rappeler la CNIL.


1. Les obligations de sécurité et de confidentialité des données des patients pesant sur les professionnels de santé

Les informations relatives à l'état de santé physique et psychique d'un patient sont considérées par la loi comme des données sensibles. Le traitement de ces données, notamment leur collecte, utilisation, communication, stockage, destruction, est soumis à des conditions particulières définies dans la loi Informatique et Libertés (art. 8, 34 et 35) et le Code de la santé publique.

Les professionnels et établissements de santé sont tenus de respecter les obligations relatives aux traitements de données à caractère personnel, en leur qualité de responsable du traitement. Parmi ces obligations, la sécurité des données constitue un impératif.

Le Code de la santé publique dispose, en outre, que toute personne prise en charge par un professionnel ou un établissement de santé a droit au respect de sa vie privée et au secret des informations la concernant. Les professionnels de santé, ainsi que ceux intervenant dans le système de santé, sont soumis au secret médical (art. L.1110-4).

Le Code de la santé publique impose aux professionnels de santé le respect de référentiels de sécurité. En pratique, ces professionnels doivent prendre toutes précautions utiles pour empêcher que les données ne soient modifiées, effacées par erreur, ou que des tiers non autorisés aient accès au traitement. Ils sont donc tenus de mettre en oeuvre :

    - des mesures de sécurité physique par un accès contrôlé aux locaux hébergeant les serveurs et par la mise en oeuvre d'une procédure d’habilitation permettant de restreindre l’accès aux seules personnes habilitées, et

    - des mesures techniques par la protection des serveurs par des firewalls, filtres anti-spam et anti-virus, l'accès aux postes de travail par des mots de passe individuels et régulièrement renouvelés, l'utilisation de la carte de professionnel de santé pour accéder aux données, le chiffrement des données, etc.

Afin de garantir la sécurité et la confidentialité des données, il est recommandé aux directeurs d'établissements de santé, publics comme privés, de sensibiliser leur personnel aux bonnes pratiques à adopter. Cette sensibilisation passera par exemple, par des plans internes de formation à la sécurité informatique et l’adoption d’une charte informatique adaptée aux outils et autres moyens informatiques mis à la disposition du personnel.

L’absence de déploiement de mesures de sécurité technique ou la négligence dans le déploiement de mesures adaptées sont considérées comme des atteintes graves à la protection de la vie privée des personnes et sont sanctionnées pénalement (jusqu'à 5 ans d’emprisonnement et 300.000€ d’amende - article 226-17 du code pénal). La violation du secret médical est punie d'un an d'emprisonnement et 15.000€ d'amende.


2. Les obligations de sécurité et de confidentialité des données de santé en cas d'externalisation

L’externalisation est entendue comme la sous-traitance à un prestataire tiers de certains types de traitements sur les données ou l’hébergement des données. Ces prestations restent soumises aux mêmes obligations de sécurité et de confidentialité. L’établissement de santé, considéré comme le responsable du traitement, doit donc s’assurer que son sous-traitant agit en conformité avec les obligations légales.

La sous-traitance  -  Le professionnel ou l'établissement de santé peut décider d'externaliser une partie du traitement des données des patients. Dans ce cas, le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en oeuvre des mesures de sécurité et de confidentialité telles que prévues par la loi.

A ce titre, le contrat conclu entre le sous-traitant et le professionnel de santé doit détailler les obligations du sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoir que le sous-traitant ne peut agir que sur instruction du responsable du traitement.

L'hébergement de données de santé par un tiers  -  En cas d’hébergement par un tiers, le professionnel ou l'établissement de santé devra s'assurer que le prestataire met en oeuvre des mesures de sécurité suffisantes. A ce titre, le professionnel de santé doit faire héberger les données de ses patients chez un prestataire agréé par le ministre chargé de la santé, conformément aux articles L.1111-8 et R.1111-9 du Code de la santé publique.

L'obtention de l’agrément est soumise à la mise en oeuvre (i) de solutions techniques, d'une organisation et de procédures de contrôle assurant la sécurité, la protection, la conservation et la restitution des données hébergées, et (ii) d'une politique de confidentialité et de sécurité. L'hébergeur doit ainsi démontrer sa capacité à assurer la confidentialité, la sécurité, l'intégrité et la disponibilité des données de santé qui lui seront confiées par les professionnels de santé.

La prestation d'hébergement fait l'objet d'un contrat avec le professionnel ou l'établissement de santé, détaillant notamment les prestations fournies et les modalités d'accès aux données.


3. Le rappel des conditions de la protection des données de santé par la CNIL


Malgré ces obligations fortes, de nombreux professionnels et établissements de santé peinent à se mettre en conformité avec la réglementation. Les professionnels des milieux hospitaliers (médecins, infirmiers, etc.), par exemple, ne sont pas toujours informés ni sensibilisés aux règles particulières devant être respectées en matière de sécurité des données. Des données de santé de patients identifiés sont régulièrement accessibles par des sous-traitants intervenant en milieu hospitalier ou dans des laboratoires d’analyses, ou ont même été rendues accessibles en ligne, par simple négligence.

A titre d’illustration, la CNIL, par une délibération du 25 septembre 2013, a mis en demeure publiquement le centre hospitalier de Saint-Malo pour non-respect de la confidentialité des données.

En l'espèce, suite à un contrôle réalisé au sein du centre hospitalier, la CNIL a constaté qu’un des prestataires avait accédé, avec l’accord de l’établissement, aux dossiers médicaux de plusieurs centaines de patients, en méconnaissance totale des dispositions du Code de la santé publique et de la loi Informatique et Libertés relatives au respect de la vie privée des patients et à la sécurité de leurs données.

Le sous-traitant avait été mandaté par le centre hospitalier pour une mission de codage des actes médicaux et paramédicaux. En effet, lors de la prise en charge d'un patient par un centre hospitalier, les actes pratiqués sont codés selon une nomenclature particulière, correspondant au code de remboursement par l'assurance maladie.

Le Code de la santé publique prévoit que les établissements doivent procéder à une analyse de leur activité pour détecter d'éventuelles erreurs de codage. Ces analyses sont généralement sous-traitées par les établissements de santé à des sociétés privées.

Or, la loi soumet le traitement de données à caractère personnel à des fins d'évaluation ou d'analyse des activités de soins et de prévention, à l'obtention d'une autorisation. La CNIL veille ainsi, par le biais de contrôles sur place, dans les établissements de santé, à ce que ces traitements ne portent pas sur les données nominatives des malades.

La mise en demeure prononcée par la CNIL a imposé au centre hospitalier de prendre des mesures garantissant la sécurité et la confidentialité des dossiers médicaux des patients pris en charge et de veiller à ce que ces dossiers ne puissent pas être accessibles aux tiers. En outre, l'établissement de santé devait justifier du respect de cette injonction auprès de la CNIL sous 10 jours.

Dans un communiqué du 17 octobre 2013, la CNIL a annoncé que le centre hospitalier s’était mis en conformité suite à la mise en demeure en mettant en oeuvre plusieurs mesures telles que la suppression de l’accès, par le sous-traitant, aux dossiers médicaux des patients, qui demeurent  désormais sous la seule autorité du médecin responsable de l'information médicale de l'établissement, et la formalisation d’une politique stricte de sécurité des systèmes d’information. (2)

Compte tenu de cette mise en conformité, la CNIL a décidé de clôturer la procédure à l’encontre du centre hospitalier de Saint-Malo.

                                                       * * * * * * * * * *

(1) Voir notamment les articles intitulés "Des centaines de résultats d'analyses médicales accessibles sur internet", publié sur www.rue89.com, le 10 janvier 2012 et "Fuite de données concernant une quarantaine de centres hospitaliers français", publié sur http://www.datasecuritybreach.fr/, le 31 octobre 2013.

(2) Délibération CNIL n°2013-037 du 25 septembre 2013 mettant en demeure le centre hospitalier de Saint-Malo, et Communiqué CNIL intitulé "Clôture de la mise en demeure adoptée à l’encontre du centre hospitalier de Saint-Malo" du 17 octobre 2013.



Bénédicte Deleporte - Avocat
Betty Sfez - Avocat

Deleporte Wentz Avocat
www.dwavocat.com
Novembre 2013