Attention à la protection des données : d’importants flux de données s’échangent chaque jour dans le monde, un nombre croissant de secteurs d’activité ont effectué leur transition numérique. Rien qu’au niveau RH, le recours aux documents dématérialisés prend de l’ampleur : fiches de paye, attestations de formation, notes de frais… Les données en transit prennent des formes diverses et requièrent une grande confidentialité. Elles attisent des actes malveillants : piratage, phishing, virus, rançongiciels…
La cybersécurité est donc essentielle. Composantes importantes de la cybersécurité, des techniques de chiffrement des données peuvent être intégrées dans le développement des outils digitaux. À l’instar du coffre-fort numérique Digiposte.
Données à caractère personnel : les enjeux de la protection des données
La protection des données à caractère personnel relève de grands enjeux.
C’est que ces informations, disséminées volontairement ou non au fil de la navigation sur le net, à travers les e-mails, les formulaires en ligne, les cookies… en révèlent beaucoup sur la vie privée et/ou professionnelle : coordonnées, famille, santé, habitudes de consommation, opinions, géolocalisation, revenus, épargne… Autant de données confidentielles qui font régulièrement l’objet de cyberattaques.
Lorsque ces données qui rendent une personne physique identifiable tombent entre de mauvaises mains, cela peut entrainer pour la victime un lourd préjudice, financier, juridique et/ou moral. Usurpation d’identité, démarchage abusif, rançon, violation de la confidentialité… les risques sont multiples.
En tant que service RH, il est important de sécuriser les données personnelles des salariés. Agir en ce sens revient à préserver l’intégrité, l’identité numérique, la e-réputation, le patrimoine des collaborateurs, de leurs proches et même de l’entreprise.
Il existe de nombreuses solutions de protection pour se prémunir des vols de données et autres cyberattaques : choix de solutions d’archivage avec chiffrement des données, authentification à double facteur, historique des connexions, changements fréquents des mots de passe, sauvegardes régulières, logiciels antivirus, réflexion quant aux informations postées en ligne, vérification de la sécurité des sites consultés, sensibilisation et formation des collaborateurs…
Le service RH a tout intérêt à multiplier les réflexes de protection vis-à-vis des données personnelles, et à inciter l’ensemble des collaborateurs de l’entreprise à faire de même. Car les ruses déployées par les hackers et autres malfaiteurs du web sont nombreuses et parfois très sophistiquées.
Face à ce constat et compte tenu des enjeux de taille que représentent les données, le législateur s’est résolu à prendre des mesures fortes quant à la collecte, à l’utilisation et au stockage des données à caractère personnel. Des mesures de protection sont donc aussi déployées à travers un cadre légal.
Obligations légales et outils de protection
La protection des données s’inscrit dans un cadre juridique strict. Tous les acteurs du net sont concernés, des propriétaires de sites web aux internautes. Plusieurs protocoles et diverses obligations légales s’imposent aux uns et autres.
La loi Informatiques et Libertés du 6 janvier 1978 qui règlemente la protection de la vie privée et des libertés individuelles des citoyens face aux activités informatiques, a été promulguée en France, puis modifiée le 20 juin 2018 et enfin avec le décret n°2019-536 du 30 mai 2019 pour y intégrer le RGPD.
Le RGPD (Règlement Général sur la Protection des Données) est un règlement européen. Il vient renforcer la protection des données personnelles des personnes physiques dans toute l’Union Européenne. Il assure donc une harmonie à l’heure où les échanges digitaux se mondialisent.
La directive européenne dite Directive Police Justice a été introduite en 2016 et complète le RGPD. Elle prévoit des sanctions pénales en cas de non-respect du règlement sur la protection des données personnelles.
Ce cadre juridique est donc dense et précis. Il donne un droit d’accès et de modification aux informations personnelles collectées par un organisme. Cette collecte des données ne peut se faire qu’avec le consentement de la personne concernée. Une information et un accord préalable sont donc obligatoires. Il impose aussi la déclaration des données collectées et de leur finalité à la CNIL, et la mise en œuvre de moyens pour les sécuriser. La collecte de données sensibles est interdite. L’usager dispose aussi d’un droit à l’oubli.
L’adoption du RGPD, de ces lois, directives et décrets, rend la protection des données personnelles collectées, traitées et stockées obligatoire. Le chiffrement des données est une solution pour répondre à l’obligation de sécurité qui accompagne ce cadre juridique.
Le chiffrement des données
Le chiffrement des données est un outil de premier ordre pour sécuriser les informations personnelles. Il s’agit de rendre les données incompréhensibles par quiconque ne connaissant pas les clés de déchiffrement associées au contenu. Le contrôle d’accès différencié entre les données et les clés renforce la confidentialité envers des tiers non autorisés.
Cette innovation technologique passe par un procédé cryptographique, appliqué pour différentes solutions digitales comme le coffre-fort numérique par exemple.
Avoir des données chiffrées s’apparente à utiliser un cadenas virtuel hyper-sécurisé. Plusieurs clés de chiffrement se distinguent.
- Le chiffrement symétrique consiste en une clé secrète commune partagée entre un destinataire et un expéditeur.
- Le chiffrement asymétrique se présente comme un trousseau avec une clé publique partagée et une clé secrète privée. L’expéditeur qui chiffre le document ne possède pas la clé privée nécessaire pour y accéder ensuite et en déchiffrer le contenu, rendant les éventuelles attaques indirectes sur l’expéditeur infructueuses.
Fiches de paie, attestations RH, dossiers d’adhésion, relevés de notes… tous les documents placés dans un coffre-fort numérique font l’objet d’un chiffrement systématique. En plus d’un accès hautement sécurisé grâce à l’authentification double facteur, ce chiffrement constitue un moyen renforcé de mettre ses données personnelles en sécurité. Ce contrôle d’accès intégrant des mécanismes d’enregistrement de preuves de dépôt et de suivi de l’historique des accès au coffre-fort numérique, il est idéal pour maîtriser la confidentialité de ses données les plus sensibles.
La cryptographie s’étend désormais aussi aux applications mobiles. A l’instar de Digiposte, qui met à disposition des collaborateurs une appli mobile native et sécurisée pour accéder aux fichiers archivés dans le coffre-fort digital. Un nouveau degré de chiffrement est donc mis en œuvre pour s’adapter aux nouveaux modes de consommation de l’internet sur les appareils mobiles que sont les smartphones et les tablettes numériques.
Pour accéder à ses documents personnels numériques en toute confiance, les retrouver facilement et les archiver dans les meilleures conditions de sécurité, il est possible de se tourner vers des Tiers de Confiance Numérique. La Poste, qui déploie la solution du coffre-fort digital Digiposte, s’appuie sur les infrastructures de sa filiale numérique Docaposte, qui est une adhérente de la Fédération Nationale des Tiers de Confiance et un membre labellisé et certifié.
La dématérialisation offre des perspectives remarquables en termes d’échanges, de simplification des démarches RH… Mais comme toute chose, il y a le revers de la médaille, certains n’hésitant pas à détourner le système à des fins malveillantes et malhonnêtes. Aussi, la cyber-sécurité revêt-elle une importance capitale.
Le chiffrement des données est un procédé qui offre les meilleures garanties de sécurité aux informations à caractère personnel et digitalisées qui transitent depuis ou vers un service RH. Le chiffrement, qui plus est lorsqu’il est assuré par des tiers de confiance numérique, est la meilleure réponse apportée face aux enjeux et à l’attrait que représentent ce type de données.
Tribune de Remy Magnac pour Digiposte