Alors que le télétravail fut longtemps considéré comme subsidiaire dans les méthodes de travail des entreprises, celui-ci s’est aujourd’hui largement développé au sein du droit du travail. L’ordonnance dite « Macron » entrée en vigueur le 24 septembre 2017 a contribué dans un premier temps à démocratiser cette nouvelle manière de travailler, et qui fut ensuite largement sollicitée lors du Grand Confinement. Tout comme un grand nombre de secteurs, la gestion du traitement des données personnelles a également été amenée à évoluer malgré elle. En ce sens, la CNIL abordera la problématique des mutations dans le monde du travail lors de son prochain colloque.
En dépit des nombreux points positifs que représente le télétravail pour beaucoup d’entreprises (permettant entre autres, d’éviter une perte d’activité dans plusieurs secteurs), certaines failles restent à déplorer, au regard notamment de certaines pratiques aussi bien de la part des salariés que des employeurs.
Failles de sécurité, violations de données, ou encore, utilisation des outils numériques pour accentuer la surveillance des salariés … le télétravail ouvre la porte à de nombreux écarts au regard de la Règlementation en matière de protection des données, pouvant avoir des conséquences parfois importantes au sein d’une entreprise.
Alors, quels sont les bons réflexes à avoir lorsque son entreprise a recours au télétravail ? Quelles sont les règles à observer, les bonnes pratiques à adopter ?
Un incident de sécurité d’après l’ANSSI, est un évènement potentiel ou avéré pouvant porter atteinte à la disponibilité, la confidentialité ou l’intégrité des biens. Un incident de sécurité peut parfois entrainer une violation de données. Il s’agit d’un incident entrainant cette fois, de manière accidentelle ou illicite la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées ou bien l’accès non autorisé à de telles données.
De manière générale, l’épidémie de Covid-19 a entrainé une forte hausse d’incidents de sécurité informatique, touchant ainsi un bon nombre de responsables de traitement. En effet, plusieurs mauvaises pratiques sont à déplorer dès lors que le salarié est amené à exercer son activité en dehors de son lieu de travail. Parmi celles-ci : le recours à une connexion non sécurisée, le téléchargement d’applications ou de logiciels non autorisés et non sécurisés, etc. Le domicile du travailleur ne peut être considéré comme étant un lieu maitrisé, contrairement au lieu de travail.
Comment prévenir les incidents de sécurité et les violations de données dans le cadre du télétravail ? Quelles sont les solutions ?
Afin de garantir un niveau optimal de sécurité au regard des traitements de données effectués au sein d’une entreprise, il est important d’observer un certain nombre de règles. Celle-ci doivent également être appliquées dans le cadre du télétravail.
En ce sens, la CNIL a mis en place un guide permettant aux employeurs de connaitre les règles à observer, aussi bien applicables aux ordinateurs et aux mobiles professionnels. Parmi elles :
– La nécessité de sécuriser son système d’information : Cette mesure est valable de manière générale, et doit être appliquée en toute circonstance. Pour cela, il est nécessaire d’installer les logiciels tels qu’un pare-feu et un antivirus.
– Mettre en place les habilitations et limiter les accès aux personnels concernés : Afin de vous assurer que les données personnelles stockées dans votre système d’information ne soient pas accessibles aux personnes qui n’y sont pas autorisées (et donc, accroitre le risque de violations de données), il est essentiel que celles-ci ne puissent être accessibles qu’aux personnes habilitées. Ainsi, en cas de vol ou de perte d’un ordinateur professionnel ou bien d’un téléphone portable professionnel par exemple, le nombre de données concernées par une potentielle violation sera limité. Il est également indispensable que tous les ordinateurs soient équipés de mots de passe.
– Recourir à un VPN, permettant de sécuriser les connexions à distance : La mise en place d’un réseau privé virtuel permet également de limiter les risques en matière de failles de sécurité puisque la navigation sur le web sera effectuée de manière confidentielle et sécurisée.
– Adopter une charte informatique au sein de votre entreprise : Formaliser les règles essentielles au sein d’un document pouvant être diffusé à l’ensemble des collaborateurs est également déterminant pour s’assurer de leur respect. Celui doit être suffisamment complet et explicite afin que toutes les notions soient assimilées. En cas de non-respect, le salarié peut voir sa responsabilité être engagée.
La mise en place de mesures de sécurité techniques est un moyen efficace de limiter les risques. Il est néanmoins nécessaire former les salariés.
En premier lieu, les salariés sont les premiers acteurs de leur sécurité. Et si le recours au télétravail est effectué de manière abrupte, il est essentiel de sensibiliser et former en amont les équipes aux enjeux liés au manque de sécurité.
Pour commencer, il est nécessaire d’informer les collaborateurs sur les bons réflexes à avoir. Par exemple, verrouiller son ordinateur, changer régulièrement de mots de passe, s’assurer que la connexion internet soit suffisamment sécurisée (et en ce sens, éviter les connexions internet via un Wifi public), ou encore, ne pas ouvrir de courriel suspect au risque d’être victime d’une attaque par hameçonnage. Concernant les pratiques à adopter dans le cadre du télétravail, le salarié doit éviter dans la mesure possible d’utiliser son ordinateur professionnel à titre personnel. En ce sens, brancher une clé USB non sécurisée ou télécharger des logiciels pour une utilisation non professionnelle (et qui ne serait donc pas approuvés par l’employeur notamment en termes de sécurité et de protection des données) sont considérés comme des pratiques à risque.
Le recours au télétravail a permis d’asseoir la place des nouvelles technologies au sein des nouvelles méthodes de travail. Mais des difficultés se posent pour l’employeur, concernant notamment la surveillance de leurs salariés à distance. De nombreuses dérives ont été constatées à plusieurs reprises, aussi bien au regard du droit du travail, que celui de la protection des données.
L’employeur se doit d’être vigilant au regard des droits de ses salariés, et notamment concernant la collecte de leurs données.
Dans le cas où l’employeur souhaiterait mettre en place des outils de surveillance pour ses salariés, plusieurs règles doivent être respectées.
Dans un premier temps, il est essentiel de déterminer quelles seront les finalités poursuivies lors de la mise en place de ce type d’outil de manière explicite et légitime, mais également de déterminer quelles seront les données traitées, comme l’exige l’article 5 du Règlement Général sur la Protection des Données. De même, afin de respecter au mieux le principe de minimisation des données, seules les données nécessaires à la finalité poursuivie doivent faire l’objet d’une collecte.
Pour que le traitement soit considéré comme étant licite, il est nécessaire que celui-ci repose sur une base légale, comme le précise l’article 6 du Règlement Général sur la Protection des Données. Le consentement ne peut être retenu puisque celui-ci ne peut être considéré comme étant valable en la présence d’un lien de subordination. Ce type de traitement peut alors être justifié sur la base de l’exécution du contrat de travail, ou bien dans le cadre de l’intérêt légitime de l’employeur. Si cette dernière base légale est choisie, il sera alors nécessaire de justifier son recours (par exemple, pour des raisons de sécurité).
Quel que soit la base légale choisie, le salarié devra être informé de l’identité du responsable de traitement (en l’occurrence, son employeur), des données qui seront collectées, la durée de conservation établie pour celles-ci ainsi que les destinataires (aussi bien internes, qu’externes puisqu’il peut également s’agit de prestataires). Il est également nécessaire qu’il puisse avoir connaissance des droits dont il dispose ainsi que la manière dont il pourra les exercer.
Un autre point de vigilance doit être observé : Le recours à ce type d’outils est susceptible de mener à la réalisation d’une analyse d’impact relative à la protection des données. En effet, dès lors qu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, il est alors nécessaire de réaliser une analyse d’impact (AIPD). Pour savoir si le traitement est concerné, celui-ci doit appartenir à la liste des cas pour lesquels une AIPD est obligatoire (à noter qu’aujourd’hui, certains traitements en sont exemptés) Si ce n’est pas le cas, il sera nécessaire d’étudier différents critères (par exemple, est-ce que le traitement est basé sur une surveillance systématique des personnes concernées, est-ce que le traitement est à destination de personnes vulnérables, etc.). Si deux critères au moins sont remplis (ou qu’un seul l’est, mais que le traitement présente un risque élevé), alors une analyse d’impact devra être réalisée.
Enfin, toute personne concernée par un traitement de données dispose d’un certain nombre de droits, comme précisé ci-dessus. Il peut à tout moment exprimer sa volonté d’exercer son droit d’accès et de rectification, son droit de suppression ou encore, son droit d’opposition. Il peut également exercer un recours auprès de la CNIL. Pour cela, il est également essentiel de communiquer au salarié au moins deux moyens de contact (par exemple, par mail ou par courriel).
En dépit du fait que le télétravail ait connu un développement important au cours de ces dernières années, et plus encore ces derniers mois, l’employeur se doit de rester toujours vigilant concernant les grands principes entourant la protection des données. Aujourd’hui, les nouvelles technologies représentent un terrain propice aux dérives qu’il est nécessaire d’apprivoiser pour mieux les maitriser.
Le thème du RGPD vous intéresse ? Consultez notre article sur la minimisation des données pour en savoir plus !
Visionnez notre webinaire « RGPD et télétravail » en vous créant un compte sur Webikeo et accéder au replay.
Vous pouvez aussi télécharger le support de ce webinaire « RGPD et télétravail » pour vous aider à y voir plus clair et avoir les bonnes méthodes pour agir.