Le Journal Officiel du 14 juin dernier a vu la publication du Décret législatif n° 82/2021 (le « Décret ») relatif aux « dispositions urgentes en matière de cybersécurité, définition de l’architecture nationale de la cybersécurité et la création de l’Agence pour la cybersécurité nationale ».

Le terme « Cybersécurité » désigne « l’ensemble des activités nécessaires pour protéger des menaces informatiques les réseaux, les systèmes informatiques, les services informatiques et les communications électroniques, en assurant leur disponibilité, leur confidentialité et leur intégrité et en garantissant également leur résilience » (art. 1, alinéa 1, lettre a).

Le Comité interministériel pour la cybersécurité

Le Décret, composé de 19 clauses, institutionnalise notamment le « Comité interministériel pour la cybersécurité » (le « CIC »). Le CIC assure des fonctions de conseil, de proposition et de surveillance en matière de politiques de cybersécurité, également aux fins de la protection de la sécurité nationale dans l’espace cybernétique. En outre, le CIC a les tâches suivantes :

  • proposer au Président du Conseil des ministres les orientations générales dans le cadre des politiques de cybersécurité nationale ;
  • exercer une surveillance précise sur l’application de la stratégie nationale de cybersécurité ;
  • promouvoir l’adoption des initiatives nécessaires pour (i) favoriser la collaboration efficace, au niveau national et international, entre les organismes institutionnels et les opérateurs privés concernés par la cybersécurité, ainsi que le partage des informations et (ii) l’adoption de meilleures pratiques et de mesures destinées à l’objectif de la cybersécurité et au développement industriel, technologique et scientifique en matière de cybersécurité ;
  • exprimer son avis sur le bilan préventif et sur le bilan de l’Agence pour la cybersécurité nationale.

L’Agence pour la cybersécurité nationale

Parmi les principales nouveautés du Décret, on note également la création de « l’Agence pour la cybersécurité nationale » (« ANC » ou « Agence »). Le Décret précise ses fonctions, en clarifiant sa composition et son organisation. Avec un règlement approprié, qui doit être approuvé sous 120 jours après l’entrée en vigueur du Décret, il faut définir le fonctionnement de l’Agence composée de huit bureaux du niveau de la direction générale et de trente services de niveau de la direction non générale dans le cadre des ressources disponibles (art. 12, alinéa 1).

L’Agence représente l’entité principale en matière de cybersécurité qui exerce des fonctions d’autorité nationale en la matière et englobe les nombreuses compétences dès à présent attribuées aux autres organes, notamment celles du Ministère du Développement Economique. Ses tâches couvrent notamment :

  • la protection des intérêts nationaux et des fonctions essentielles de l’État contre les menaces informatiques ;
  • le développement de capacités nationales de prévention, de suivi, de détection et d’atténuation, pour faire face aux incidents de sécurité informatique et aux attaques informatiques ;
  • l’élévation de la sécurité des systèmes de « Information and Communications Technology » (« ICT ») des sujets inclus dans le périmètre de sécurité nationale cybernétique, des administrations publiques, des opérateurs de services essentiels et des fournisseurs de services numériques ;
  • le soutien au développement de compétences industrielles, technologiques et scientifiques, en promouvant des projets pour l’innovation et le développement, en essayant de stimuler en même temps la croissance d’une force de travail nationale solide dans le domaine de la cybersécurité dans l’optique de l’autonomie stratégique nationale dans le secteur ;
  • l’acceptation de fonctions d’interlocuteur unique national pour les personnes publiques et privées en matière de mesures de sécurité et d’activités d’inspection dans le cadre du périmètre de la sécurité nationale cybernétique, de la sécurité des réseaux et des systèmes d’information, et de la sécurité des réseau de communication électronique.

Le Noyau pour la cybersécurité

L’Agence est accompagnée du « Noyau pour la cybersécurité » qui a pour tâche de supporter le Président du Conseil des Ministres, pour les aspects relatifs à la prévention et la préparation d’éventuelles situations de crise et pour l’activation des procédures d’alerte. Parmi les principales tâches confiées à cet organisme, no note :

  • la formulation de propositions d’initiatives en matière de cybersécurité du pays ;
  • la promotion, la programmation et la planification opérationnelle de la réponse à des situations de crise cybernétique par des administrations et des opérateurs privés ;
  • le déroulement d’exercices interministériels, c’est-à-dire la participation nationale à des exercices internationaux qui concernent la simulation d’événements de nature cybernétique afin d’élever la résilience du pays et être impliqué dans les crises qui concernent la cybersécurité.

◊◊◊◊

Avant le 30 avril chaque année, le Président du Conseil des Ministres a pour tâche de transmettre au Parlement un rapport sur l’activité réalisée par l’Agence au cours de l’année précédente et celle-ci, en qualité de Centre national de coordination italien, s’interfacera dans l’exécution de ses activités avec le « Centre européen de compétence pour la cybersécurité dans le cadre industriel, technologique et de la recherche », concourant à accroître l’autonomie stratégique européenne dans le secteur.

Contenus corrélés :

Par son ordonnance d’injonction du 15 avril 2021, l’Autorité Garante pour la protection des données personnelles (le « Garant ») a sanctionné une société travaillant dans le secteur manufacturier car elle n’avait pas informé correctement et de façon précise les travailleurs concernés sur les caractéristiques d’un système informatique utilisé dans cette entreprise. Ce faisant, la société a traité de façon illégale les données des travailleurs, allant au-delà des limites fixées par l’autorisation de l’Inspection du travail territorialement compétente et des finalités indiquées dans les notes d’information communiquées. 

La réclamation et l’instruction

Le Garant est intervenu suite à la réclamation présentée par le syndicat FIOM CGIL, sur mandat de certains travailleurs, par laquelle il demandait de prendre une mesure de contrôle et prescriptive à l’encontre de la société employeur. En particulier, on signalait que le système utilisé dans l’entreprise prévoyait l’insertion d’un mot de passe individuel sur  l’ordinateur avant de commencer à travailler, ce qui permettait d’archiver les données de chaque travailleur relatives aux arrêts et à la production pendant toute la journée de travail. Par conséquent, selon le syndicat, les données collectées se référant à l’activité de chaque salarié suite à son authentification au moyen du mot de passe, la société, par ce système, collectait également des données désagrégées et pour d’autres finalités, en plus de celles indiquées aux notes d’information communiquées.

À l’issue de l’instruction menée par le Garant, il est apparu, notamment, que le système informatique coexistait avec la précédente modalité d’organisation du travail, consistant à remplir des formulaires papier sur lesquels le nom des salariés était clairement indiqué. Ces formulaires étaient conservés et enregistrés sur un logiciel, mais sans aucune forme de séparation, en violation de ce qui était indiqué dans les notes d’information sur le fonctionnement du système et dans l’autorisation délivrée par l’Inspection du travail, qui avaient expressément interdit l’utilisation des données collectées à des fins disciplinaires. Il était en effet apparu que les données collectées au travers de cet instrument avaient été utilisées pour vérifier la véracité des affirmations d’un salarié au cours d’une procédure disciplinaire ouverte à son encontre.

De plus, des irrégularités sont apparues dans les délais de conservation des données ainsi collectées et traitées, lesquels, selon ce que la société avait déclaré, auraient dû être proportionnés avec ce qui était nécessaire pour  « le contrôle/l’évaluation des cycles de production ».

La décision du Garant

À la lumière des informations obtenues, le Garant a ordonné la limitation définitive des traitements effectués au moyen des données collectées au travers du système utilisé, en sommant la société (i) d’aligner son organisation et ses traitements sur le Règlement (UE) 2016/679, également en mettant à jour la note d’information communiquée aux salariés concernés, (ii) de prendre des mesures appropriées de ségrégation des données collectées, aussi bien au travers des formulaires papier qu’au moyen du logiciel, et (iii) de payer la somme de 40 000,00 euros à titre de sanction pécuniaire pour les violations constatées.

Autres insights connexes :

Avec la Loi n° 81 du 22 mai 2017 portant « Mesures pour la protection du travail indépendant non issu de l’entreprise et mesures visant à favoriser l’organisation flexible concernant les délais et les lieux d’exercice du travail subordonné », le travail agile (appelé communément « smart working ») a été réglementé pour la première fois dans notre ordonnancement. Il s’agit d’une modalité flexible d’exécution de la prestation de travail, dans le cadre de la relation de travail subordonné, caractérisée par l’absence d’obligations liées à l’horaire et au lieu de travail et par des formes d’organisation par phases, cycles et objectifs.

Lorsqu’il applique le travail agile dans son entreprise, l’employeur doit tenir compte de la réglementation en matière de protection des données personnelles.

Le Règlement (UE) 2016/679 en matière de protection des données personnelles (« RGPD ») a introduit le principe dit «de responsabilisation», c’est-à-dire l’adoption, par le Titulaire du traitement (dans notre cas l’employeur), de comportements proactifs et de nature à démontrer l’adoption concrète de mesures finalisées à garantir l’application du RGPD. En substance, l’employeur est tenu de déterminer et de gérer les risques relatifs aux traitements effectués, dans le respect du principe de protection des données, dès la conception de chaque traitement (« by design ») et de protection des données  par défaut (« by default »).

Cela signifie que, dans le travail agile, l’employeur doit effectuer une analyse des risques appropriée et, si nécessaire, une évaluation d’impact, de façon à analyser tous les risques existants et potentiels et de façon à déterminer les mesures de sécurité, techniques et d’organisation, propres à garantir la sécurité et la protection des données. Dans cette optique, l’employeur doit adopter des Règlements, des Politiques ou des Lignes Directrices indiquant les comportements que les travailleurs agiles doivent suivre afin de garantir la confidentialité, l’intégrité et la disponibilité des données traitées dans l’exercice de leurs fonctions.

L’employeur doit aussi vérifier que le contrôle à distance ne soit pas intrusif, en violation de l’art. n° 4 de la loi n° 300/1970. Cela comporte un examen détaillé des systèmes permettant un contrôle continu de l’utilisation des instruments de travail et du réseau de l’entreprise de la part des salariés.

C’est justement pour cela que le travailleur agile doit être informé de façon détaillée sur les modalités selon lesquelles l’employeur exerce son pouvoir de contrôle et sur les comportements passibles d’une éventuelle sanction disciplinaire.

Mais pas seulement. L’employeur doit former les travailleurs agiles afin que ceux-ci soient pleinement conscients et à connaissance des instruments mis à leur disposition, des risques et des mesures à adopter pendant le travail agile.

Martina De Angeli, du Service Compliance de notre Cabinet, est intervenue en qualité de professeur lors des sessions de formation qui se sont tenues les 10 et 11 octobre derniers dans le cadre du Module « Compliance Management. Les processus de Compliance dans l’entreprise » faisant partie du « Executive Master in Data Protection Management (GDPR) & Cyber Security for Digital Transformation » organisé par Sida Group S.r.l..

Cette intervention a eu pour objet les principes, les dispositions et les procédures nécessaires pour une construction correcte du Modèle d’Organisation tel qu’il est réglementé par le décret législatif n° 231/2001. On a également approfondi le thème du rapport entre la réglementation sur la responsabilité administrative des établissements et le Règlement (UE) en matière de protection des données personnelles n° 2016/679 (appelé GDPR). Des cas pratiques spécifiques ont fait l’objet d’analyse et de débats.