Connexion aux ressources internes d'une entreprise dans un contexte de télétravail - Obligation de déployer des mesures de sécurité spécifiques – Manquements à cette obligation – 1) VPN – Postes n'appartenant pas au parc informatique de l'entreprise – 2) Collecte des données de journalisation sans exploitation

Dans un contexte de nomadisme numérique, il revient au responsable de traitement de déployer des mesures permettant de garantir que, tant la personne qui se connecte et que la machine qu'elle utilise bénéficient des autorisations nécessaires pour se connecter aux ressources internes. Ces mesures s'ajoutent à celles qui doivent exister lorsqu'une personne est déjà authentifiée sur le réseau, telles que des mécanismes d'authentification robustes lors de l'accès à des outils. Dans ce contexte, sont susceptibles de constituer des manquements à l'article 32 du RGPD:

1) La connexion au VPN d'une entité par des postes qui n'appartiennent pas à son parc informatique dès lors que cette entité ne maîtrise pas les mesures de sécurité mises en œuvre sur ces équipements, qui peuvent donc ne pas correspondre au niveau de sécurité défini dans sa politique interne.

2) La simple collecte des données de journalisation. Le dispositif de journalisation n'est en effet efficace que si une entité est en capacité de traiter les informations enregistrées dans les journaux afin d'être en mesure, le cas échéant, de détecter rapidement un comportement suspect.