12-10-2021--Calque-SmartSlider2

Vos données ont-elles été compromises par d'anciens employés ?

28/03/2024

Par Solyne Charente, Community Manager

La gestion sécurisée du départ des salariés peut parfois être négligée au sein des entreprises, en contraste avec l’attention portée à l’intégration des nouveaux employés, également connue sous le nom d’onboarding. Alors que l’onboarding est souvent méticuleusement planifié pour assurer une transition fluide vers le nouvel environnement de travail, les processus de départ peuvent parfois être moins rigoureux, laissant ainsi des failles potentielles dans la sécurité des données.

Dans l’étude « Cyber résilience en cas de crise » menée par Kaspersky, 60 % des entreprises pensent que les ex-salariés peuvent encore utiliser leurs informations pour lancer leur propre activité. De même, 63 % redoutent que ces mêmes ex-salariés ne partagent les données clients ou d’autres données confidentielles avec leurs nouveaux employeurs. Face à ces défis, les entreprises doivent instaurer des processus efficaces pour prévenir des données compromises par d’anciens salariés. Au-delà de la simple restitution du matériel professionnel et de la désactivation des comptes, il est impératif d’établir un protocole de départ structuré pour les salariés. Ce processus vise à minimiser les risques associés à la sécurité des données, en particulier l’utilisation malveillante de ces dernières par d’anciens employés dans le cadre de nouvelles opportunités professionnelles ou dans un but lucratif. Cette réalité souligne un réel enjeu de sécurité pour les dirigeants d’entreprise de mettre en place des procédures de départ pour protéger leurs données.

La négligence de la gestion du départ des salariés

Départ à la retraite, démission, licenciement, rupture conventionnelle, etc. nombreuses sont les causes de départ des salariés. Quel que soit le motif de départ, les salariés doivent suivre une procédure de départ bien définie pour bien gérer la transition et éviter tout risque de données compromises.

Pour comprendre les répercussions d’une gestion inadéquate du départ des salariés, prenons l’exemple concret de Corine, un personnage fictif. Corine est cadre supérieur et dirige une équipe de cinq collaborateurs. Dans le cadre de ses missions, elle a accès à des données dites sensibles sur les clients ainsi qu’aux systèmes informatiques internes de l’entreprise. Imaginons maintenant que Corine décide de quitter l’entreprise pour poursuivre de nouvelles opportunités professionnelles. Sans un processus de départ sécurisé en place, plusieurs scénarios risquent de se produire. Premièrement, Corine pourrait emporter avec elle des informations confidentielles sur les clients, compromettant ainsi la confidentialité des données de l’entreprise. Deuxièmement, si les accès à ses comptes et aux systèmes informatiques ne sont pas correctement désactivés, Corine pourrait potentiellement accéder aux données de l’entreprise, même après son départ.

Quels sont les risques liés aux données compromises de votre entreprise ?

Dans l’exemple mentionné précédemment, il est clair que la mauvaise gestion du départ de Corine pourrait avoir des conséquences graves pour l’entreprise telles que : 

  • Divulguer des données sensibles : Corine peut partager des informations confidentielles sur vos clients avec sa nouvelle entreprise ou des tiers non autorisés, compromettant ainsi la position concurrentielle de votre entreprise et sa réputation.
  • Nuire à votre entreprise : en ayant accès aux systèmes informatiques internes, Corine pourrait altérer ou supprimer des données pour saboter les opérations de votre entreprise, causant ainsi des dommages significatifs.
  • Violer les règlements de protection des données : le vol de données peut entraîner une violation des réglementations en matière de protection des données, telles que le RGPD, exposant votre entreprise à des amendes sévères et à des poursuites judiciaires.

Comment éviter les données compromises par vos anciens salariés ?

Pour éviter ces scénarios désastreux, voici sept recommandations des experts d’ANEOL pour vous prémunir des données compromises par vos anciens salariés : 

1. Effectuez un inventaire des logiciels, applications et comptes auxquels les salariés ont accès dès leur arrivée dans l’entreprise.

Vous pourrez ainsi limiter l’accès aux données uniquement nécessaire pour accomplir leurs missions et contrôler régulièrement les droits d’accès. Cet inventaire sera également une opportunité pour votre DSI d’identifier les formes de shadow IT au sein de votre entreprise.

2. Maintenez à jour votre liste d’employés.

En tenant une liste d’employés à jour, les responsables des ressources humaines et les équipes informatiques peuvent s’assurer que seules les personnes autorisées ont accès aux données sensibles et aux systèmes internes. Cela permet de prévenir les risques de sécurité potentiels liés à des comptes d’employés actifs après leur départ de l’entreprise, tout en facilitant la gestion des accès pour les nouveaux salariés. Une liste d’employés précise et régulièrement mise à jour est donc essentielle pour maintenir l’intégrité et la sécurité des systèmes informatiques de l’entreprise.

3. Informez tous les départements concernés du départ.

Une bonne communication sur le départ des salariés aux départements concernés est primordiale. La Direction des Services Informatiques (DSI) doit être informée afin de mettre à jour les droits d’accès physiques et en ligne de l’employé sortant. Cela permet de garantir que les accès aux données et aux systèmes informatiques sont rapidement révisés et ajustés en fonction du changement de statut de l’employé. En informant la DSI et les autres départements, votre entreprise peut s’assurer que les mesures de sécurité appropriées sont prises pour protéger ses actifs informationnels, minimisant ainsi les risques de fuite ou de mauvaise utilisation des données sensibles.

4. Désactivez ou supprimez tous les accès aux comptes professionnels.

Lors du départ de votre salarié.e, il est impératif de désactiver ou de supprimer rapidement tous les accès aux comptes professionnels et aux outils informatiques qu’il/elle utilisait. Cette mesure garantit que l’employé sortant n’a plus la possibilité d’accéder aux données sensibles de l’entreprise, réduisant ainsi les risques de fuite ou d’utilisation abusive des informations. Il est essentiel de négliger aucun compte, même ceux qui pourraient sembler moins critiques, afin d’éviter toute lacune de sécurité potentielle.

5. Récupérez le matériel professionnel.

Lors de l’arrivée de vos salariés, vous avez certainement listé le matériel professionnel prêté pour l’exécution de leurs missions. Basez-vous sur cette liste pour récupérer intégralement le matériel professionnel attribué aux employés sortants. Ceci inclut non seulement les équipements électroniques tels que les ordinateurs portables, les tablettes et les smartphones, mais aussi les supports de stockage physiques tels que les clés USB et les disques durs externes. Cette mesure vise à prévenir tout risque de perte ou de vol de données sensibles qui pourraient être stockées sur ces dispositifs. De plus, il est important de changer les codes de vos alarmes et de récupérer les clés nécessaires pour accéder à vos locaux ou à certaines zones sécurisées de l’entreprise.

6. Définissez une politique de traitement des données.

Afin de garantir la conformité aux réglementations en matière de protection des données et de préserver la confidentialité des informations de l’entreprise, rédigez une politique claire concernant le traitement des données de vos anciens salariés. Cette politique devrait préciser les procédures à suivre pour l’archivage ou la suppression des données  des anciens salariés, en tenant compte des exigences légales et des besoins opérationnels de l’entreprise. Il sera nécessaire de définir des délais pour la conservation des données en considérant les obligations légales en matière de conservation des documents.

7. Sensibilisez vos salariés.

La sensibilisation régulière de vos salariés aux divers enjeux de la sécurité des données et aux conséquences légales du vol de données peut être une composante de votre stratégie de gestion des risques liés à la sécurité de l’information. Cette sensibilisation permet également de créer une culture de la sécurité au sein de l’entreprise, où chaque salarié comprend sa responsabilité individuelle dans la protection des informations confidentielles de l’entreprise. En fin de compte, des employés informés et engagés sont un pas de plus dans la lutte contre les menaces internes et externes à la sécurité de l’entreprise.

Découvrez notre fiche pour une gestion sécurisée du départ de votre salarié :

sept-conseils-pour-eviter-le-vol-de-donnees-ANEOL

Comment traiter les données de vos anciens salariés ?

Pour traiter les données personnelles et professionnelles de vos anciens salariés de manière responsable, vous pouvez vous appuyer sur les recommandations de la CNIL.  Conformément aux lois et réglementations telles que le Règlement Général sur la Protection des Données (RGPD), les employés ont le droit fondamental de contrôler leurs données. Cela signifie qu’ils ont le droit d’accéder à leurs informations personnelles détenues par votre entreprise, de les rectifier si elles sont inexactes, voire de demander leur suppression dans certaines circonstances.

Pour rappel, en tant qu’employeurs, il est impératif de respecter et de protéger ces droits. Cela implique de mettre en place des procédures rigoureuses pour assurer la confidentialité et la sécurité des données des employés, même après leur départ de l’entreprise. Ces procédures doivent être transparentes et accessibles, permettant à vos salariés de comprendre comment leurs données sont collectées, utilisées et protégées.

La conservation des données de vos anciens salariés

Lorsque des salariés quittent votre entreprise, vous ne pouvez pas conserver indéfiniment leurs données personnelles. En effet, selon la CNIL les bulletins de paie et les documents de contrôle du temps de travail peuvent être conservés jusqu’à 5 ans, tandis que les données des candidats non retenus peuvent être conservées pendant 2 ans maximum. Cependant, la durée de conservation pour d’autres données est déterminée par l’analyse de conformité du délégué à la protection des  données (DPO), en fonction de la finalité du traitement. Bien que les données doivent être effacées après leur utilisation courante, cela ne signifie pas nécessairement leur suppression immédiate, car chaque donnée suit un cycle de vie avec des utilisations successives nécessitant des durées de conservation différentes. En suivant ces directives et en effectuant une analyse de conformité appropriée, votre entreprise peut assurer une gestion responsable des données tout au long de leur cycle de vie.

Aneol, votre agence de transition numérique

En définitive, la sécurisation du départ de vos salariés est essentielle pour protéger les données sensibles de votre entreprise. Sans oublier, les obligations légales que doit respecter votre entreprise pour le cycle de vie des données de vos salariés, et ce même après leur départ. Chez ANEOL, nos équipes d’experts sont là pour vous accompagner dans votre stratégie de transformation numérique et garantir la sécurité de votre parc informatique. Contactez-nous dès aujourd’hui pour bénéficier de notre expertise et protéger vos données stratégiques.

Aller au contenu principal