Le DPO à l’épreuve du télétravail : les bonnes pratiques à en retirer

Un an et demi a passé depuis que les actifs ont été, pour la plupart, sommés de rester travailler chez eux, sans date précise de retour au bureau, puis avec une date pour un retour « hybride ». Un an et demi, autant dire une éternité.

Avec le télétravail, et alors que l’usage des outils numériques se banalise, les délégués à la protection des données ou DPO (data protection officers) sont confrontés à des questions épineuses liées à la conformité et à la sécurité.

Par exemple, comment maîtriser l’utilisation des données et assurer leur sécurité alors que les collaborateurs ont des réseaux et du matériel différents et qu’ils utilisent un large éventail d’outils allant de la visioconférence au partage de fichiers ? Plus difficile encore, comment continuer de motiver ses collaborateurs à être garants de la protection des données alors que vous n’êtes pas sur le même lieu de travail ?

Dans le récent rapport d’IBM sur le coût des fuites de données, 70 % des personnes interrogées estiment que le télétravail est susceptible de faire grimper ce coût. Selon eux, le fait de ne pas être sur site allonge les délais d’identification et de résolution des incidents de sécurité.

Dans la même veine, une enquête de Malwarebytes menée en 2020 auprès de 200 professionnels de l’informatique et de la cybersécurité révèle que 20 % des organisations ont été victimes d’une faille de sécurité occasionnée par un collaborateur en télétravail. Pourtant, 18 % des personnes interrogées reconnaissaient que la cybersécurité n’était pas une priorité, et 5 % allaient encore plus loin en admettant que leurs collaborateurs ignoraient les procédures de sécurité de l’entreprise.

Il est donc temps de tirer les enseignements d’un an et demi de télétravail.

En pratique, les DPO qui tirent leur épingle du jeu sont ceux qui, en étroite collaboration avec les équipes informatiques, ont assuré des règles de protection des données en vigueur adaptées. En voici un échantillon.

• Un accès total tu refuseras : on peut être tenté de laisser libre accès à tout. Il faut pourtant trouver le juste milieu entre les accès indispensables au télétravail et la sécurité des données.
• Le stockage local des données tu banniras : il est impératif d’utiliser les systèmes de stockage en ligne approuvés et d’expliquer aux collaborateurs l’intérêt d’un accès centralisé.
• Les normes de sécurité tu martèleras : les périphériques distants doivent respecter un minimum de normes de sécurité telles que le chiffrement des disques, l’utilisation de mots de passe forts et de VPN pour les connexions internet, et la pose d’écrans de confidentialité.

Cela étant dit, l’un des enseignements forts de cette période est que les DPO ont dû innover pour que leurs collaborateurs en télétravail restent motivés sur les questions liées à la conformité.

Les DPO savent bien que, pandémie ou non, la protection des données n’est pas toujours une priorité. La technologie a donc joué, et joue encore, un rôle extrêmement positif et important pour la sécurité des données comme pour la motivation des employés.

Dans ces conditions, comment les DPO peuvent-ils s’emparer du télétravail ?

• Des principes immuables : il ne faut pas oublier que les principes de gestion de la protection des données tels que ceux cités précédemment restent applicables en tout temps. Il est important de les appliquer au quotidien.
• Passer à un système de stockage numérique pérenne : la progression des solutions numériques a modifié les habitudes et a permis de se déshabituer du « tout papier ». Ce tournant de la copie papier à la plateforme de stockage sécurisée est décisif pour améliorer l’efficacité et la sécurité des organisations.
• Faire bon usage du temps : le temps habituellement consacré aux trajets et aux voyages peut désormais être dédié à des activités liées à la conformité. Réservez des créneaux dans l’emploi du temps de vos collaborateurs pour qu’ils effectuent des contrôles de conformité de la protection des données.
• Faire preuve de flexibilité : les outils numériques offrent une grande souplesse et permettent de mieux connaître les cas individuels. Les DPO peuvent donc organiser des formations ou des sessions virtuelles d’information faciles à suivre.
• Fédérer : le partage sur et via une plateforme commune facilite l’implication sur des activités de conformité.

Par-dessus tout, le DPO doit rester visible. Même si ce n’est que virtuellement, il doit être la personne de référence en cas de question et de besoin. Et il doit assurer une communication régulière.