Mauvaise sécurisation des données paie : quels risques pour l’entreprise ?

Sécurisation des données : vers des informations ni modifiées, ni détruites, ni altérées

CEGID : Lorsqu’on parle de sécurité des données, de quoi s’agit-il concrètement ?

Eric Pérès, Vice-président de la CNIL : La sécurité des données renvoie à une des règles clés de la protection des données : s’assurer que les données que le responsable de traitement (l’employeur par exemple) a collecté et qu’il traite sont conservées dans des conditions de sécurité de sorte à ce qu’un tiers non autorisé (malveillant ou non d’ailleurs) ne puisse y accéder, mais également que ces données ne puissent pas être modifiées, détruites ou altérées. Ces mesures sont d’ordre :

• organisationnelles (A qui vais-je donner une habilitation pour accéder à telles ou telles données ? Comment vais-je sensibiliser mes collaborateurs ? etc.)
• et matérielles (Quel antivirus installer ? Comment est sécurisée ma salle des serveurs ? etc.)

Qu’est-ce qu’une mauvaise sécurisation des données ? Une fuite des données à grande échelle ?

1. P. : La sécurité des données doit être adaptée aux risques pouvant peser sur les données : plus celles-ci sont sensibles, plus les risques qu’un tiers souhaite y accéder sont grands. Le risque zéro n’existant pas, une mauvaise sécurité serait celle qui a pris des mesures insuffisantes pour garantir la confidentialité et la sécurité des données. Le fait qu’un tiers y accède ou que des données soient altérées est déjà une violation de données. Mais il ne faut pas oublier qu’une fuite massive à grande échelle peut provenir d’une petite défaillance de sécurité.

« Le RGPD n’interdit pas la digitalisation : il l’encadre »

A l’heure où l’on parle de la nécessité de mettre en place une base de données unique où chaque collaborateur RH pourrait piocher les informations dont il a besoin pour réaliser ses missions, la question des accès aux divers documents se révèle centrale. Comment concilier RGPD et cette nécessité absolue pour l’entreprise de digitaliser pour développer ses activités ? Comment faire du RGPD un point fort pour l’entreprise ?

1. P. : Le RGPD n’interdit pas la digitalisation : il l’encadre de sorte à ce que cette digitalisation puisse se faire au mieux pour les intérêts de l’entreprise, mais aussi pour les droits et libertés des personnes concernées. On pourrait prendre l’image d’un tuteur pour une plante : la croissance effrénée d’une plante comme l’est la croissance de la digitalisation dans les organismes privés et publics nécessite un tuteur, ce qu’est le RGPD pour le numérique. Il pose des principes faciles à comprendre, mais essentiels pour une société démocratique :

– la transparence à l’égard des personnes ;

– la pertinence des données que l’on traite ;

– la possibilité de savoir quelles sont les données traitées par une entreprise sur soit, etc.

Le respect des principes du RGPD comme la finalité (explicite et légitime), la proportionnalité (ne collecter que les données strictement nécessaire à la finalité poursuivie), la loyauté (informer les personnes concernées par le traitement) et la sécurité (protéger l’accès physique et logique des données) est l’un des éléments de la confiance que l’entreprise a besoin de consolider à l’ère du numérique.

Les données paie sont-elles des données particulièrement sensibles pour l’entreprise ? Davantage que d’autres données ? Pourquoi ? Faut-il porter une attention particulière aux données paie et à leur sécurisation ?

1. P. : Les données de paie se composent d’un ensemble de données que l’on qualifie de « hautement sensibles » et qui peuvent révéler la vie familiale des personnes. On peut par exemple savoir si elles ont des enfants en fonction des suppléments de salaires qu’elles perçoivent comme le SFT (supplément familial de traitement, ndlr) dans la fonction publique. Les données paie peuvent aussi révéler leurs informations financières qui sont plus ou moins sensibles selon les cultures telles que la rémunération et leurS coordonnées bancaires, mais également dans une certaine mesure le numéro de sécurité sociale qui est utilisé dans les déclarations sociales obligatoires.

Ces données doivent donc faire l’objet d’une attention particulière quant à leur sécurisation. Un bon exercice est de se mettre à la place de la personne concernée : comment vivriez-vous une fuite dans la nature de toutes les données figurant sur votre fiche de paie ?

Les risques d’une fuite des données paie

Quels sont les risques pour l’entreprise dans le cas d’une mauvaise sécurisation des données paie ? Un déficit d’image en interne ? Une détérioration de la relation employeur-salarié ? Une dégradation de la marque employeur ? Un coût financier ?

1. P. : Je dirais tout cela à la fois ! Il convient de rappeler le montant maximum des sanctions de l’ordre de 4% et 20 millions € du CA mondial. Il ne faut pas négliger au-delà des sanctions administratives et judiciaires, les enjeux en terme d’image pour une société qui laisserait fuiter toutes les données relatives à sa paie. Ce serait assez désastreux.

Comment l’entreprise peut-elle s’y prendre pour sécuriser ses données paie ? 

1. P. : L’ensemble des points traités ci-dessus y répondent en très grande partie. On peut toutefois souligner que l’une des principales mesures est d’initier la démarche : de se rendre compte de ce besoin et de lancer une réflexion en interne avec son délégué à la protection des données, le responsable informatique mais également avec les sous-traitants qui sont à même de proposer des solutions.

Eric Pérès est le Vice-président de la CNIL, la Commission nationale de l’informatique et des libertés et occupe également le poste de secrétaire général de FO-Cadres. A ce titre, il est administrateur de l’APEC (Association pour l’emploi des cadres).