Le télétravail, opéré à distance, génère des risques importants pour l’entreprise en matière de protection des données. C’est un contexte qui peut facilement favoriser l’apparition de cyberattaques. L’entreprise qui instaure la possibilité de télétravailler doit donc faire face à un nouveau défi contemporain en matière de sécurisation des données personnelles.

Le télétravail impose de fournir un travail à distance via notamment des plateformes liées à des domaines Internet. Malgré les nombreuses qualités de la méthode du télétravail (facilité d’accès, éviter la perte d’activité, mise en place d’outils collaboratifs), des risques existent provenant aussi bien des salariés que des employeurs.

Parmi les pratiques facilitant le risque d’incidents de sécurité informatique, il est à noter notamment :

• Le recours à une connexion Internet non sécurisée, qui expose l’entreprise à des fuites de données qui risqueraient de compromettre les données sensibles de l’entreprise (ex. données protégées par le secret professionnel)
• Le téléchargement d’applications ou de logiciels non autorisés et non sécurisés
• La divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées
• L’accès non autorisé à de telles données

La CNIL a publié un article rappelant les précautions élémentaires devant être mises en œuvre de façon systématique, permettant aux employeurs d’avoir les connaissances nécessaires aussi bien applicables aux ordinateurs et aux mobiles personnels pour limiter l’insécurité au regard des traitements de données effectués au sein d’une entreprise.

Parmi les pratiques recommandées par la CNIL pour lutter contre l’insécurité informatique :

• L’obligation de sécuriser son système d’information, en installent des logiciels tels qu’un pare-feu et un antivirus
• Faire réaliser des audits de sécurité périodiques
• Identifier les sources de risque, en prenant en compte des sources humaines internes et externes, et des sources non humaines internes ou externes
• Recenser les traitements de données à caractère personnel, les données traitées (ex : fichiers client, contrat) et les supports sur lesquels elles reposent (matériels, logiciels, canaux de communication, supports papier)
• Identifier les menaces réalisables : le plus souvent les menaces se réalisent via les supports des données, qui peuvent être utilisés de manière inadaptée, modifiés, perdus, observés, détériorés, surchargés
• Apprécier les risques engendrés par chaque traitement en déterminant les mesures existantes ou prévues qui permettent de traiter chaque risque (ex : contrôle d’accès, sauvegarde, traçabilité, sécurité des locaux, chiffrement, anonymisation)

Les obligations se renforcent également notamment avec le Règlement Général sur la Protection des Données (RGPD), qui rappelle les précautions élémentaires à mettre en œuvre. Le règlement vient préciser que la protection des données personnelles nécessite de prendre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » (article 32).

L’employeur, doit, en application du RGPD, assurer la sécurité et préserver la confidentialité des données personnelles qu’il traite qu’il s’agisse de données personnelles des clients, des salariés en télétravail ou dans les locaux de la société.
A cette fin, la CNIL recommande d’élaborer des règles de sécurité propres au télétravail. Ces règles peuvent faire l’objet d’une charte dédiée au télétravail ou être jointes à la charte informatique. A défaut, il est conseillé à l’employeur de diffuser a minima une liste de bonnes pratiques que les salariés en télétravail doivent appliquer.

De manière pratique, avant de remettre des équipements informatiques aux télétravailleurs, l’employeur peut les équiper d’ores et déjà au minimum d’un pare-feu, d’un antivirus et d’un outil de blocage de l’accès aux sites malveillants. Afin de sécuriser la connexion Internet, la mise en place d’un VPN et l’utilisation de protocoles permettant l’identification du salarié avant d’accéder aux serveurs de l’entreprise permettent également de renforcer la sécurité des données.

L’employeur possède en effet un pouvoir de contrôle légitime de l’activité de ses salariés, y compris en télétravail. Mais, ce pouvoir de contrôle n’est pas illimité.

L’instauration de dispositifs de contrôle de l’activité des salariés doit répondre notamment à un principe de proportionnalité, visant à demander à l’employeur d’être à même de justifier que les dispositifs mis en œuvre sont strictement proportionnés à l’objectif recherché et ne portent pas une atteinte importante aux droits et libertés des salariés, en particulier au droit au respect de leur vie privée.

Ainsi, les employeurs ne peuvent pas placer leurs salariés sous une surveillance permanente, sauf en cas de circonstances exceptionnelles qui seraient justifiées par la nature de la tâche à accomplir.

Alors, les moyens de surveillances tels que des dispositifs vidéo (la webcam) ou audio, le partage permanent d’écran (team Viewer) ou encore l’enregistrement des frappes du clavier (« keyloggers ») sont des dispositifs particulièrement excessifs et attentatoires à la vie privée dont l’utilisation doit être proscrite.

Pour pouvoir utiliser son pouvoir de contrôle sur l’activité de ses salariés, l’employeur est amené à trouver par lui-même des moyens alternatifs moins intrusifs qui devront respecter le droit au respect de la vie privée de ses salariés, comme un appel journalier ou une demande de compte-rendu hebdomadaire.

Il est tout à fait possible de prévoir que le télétravailleur utilise son propre équipement personnel, tel que son téléphone portable, son ordinateur ou sa tablette.

Mais, dans ce cas, l’employeur doit être particulièrement vigilant. En effet, la CNIL rappelle que la réglementation en matière de protection des données personnelles impose que le niveau de sécurité et de confidentialité des données personnelles traitées soit identiques que l’équipement soit professionnel ou personnel.

L’employeur reste responsable de la sécurité des données de sa société, et ce même lorsqu’elles sont stockées sur des serveurs externes, dès lors qu’il a autorisé leur utilisation pour accéder aux ressources informatiques de l’entreprise.

Rappelons que si l’équipement professionnel confié au salarié est présumé avoir un caractère professionnel et donne donc droit à l’employeur d’accéder aux fichiers/dossiers y figurant, ce n’est pas le cas lorsque le salarié utilise son équipement personnel. Pour les dossiers et fichiers présents sur l’ordinateur professionnel des salariés, l’employeur a légitimement accès à ces fichiers, sans qu’il soit nécessaire que le salarié concerné soit présent, sauf lorsqu’ils sont indiqués expressément comme personnels.

Il est à noter que l’employeur se doit d’œuvrer avec transparence avant toute mise en place quelconque de méthode et/ou de dispositif de surveillance de ses salariés.

Les juridictions ont eu maintes et maintes fois l’occasion de rappeler que le recours à des stratagèmes visant à piéger les salariés pour les surveiller professionnellement de manière vicieuse était strictement interdit.

Il convient avant toute mise en place de dispositifs de surveillance des salariés de consulter le Comité Social et Économique (CSE), s’il existe, et d’en informer les salariés.

Cet article vous a plus ? Pour plus d’informations sur le télétravail ou le statut du télétravailleur