Télétravail et conformité : aberration ou une simple question d’organisation ?

RGPD-Experts vous souhaite une belle rentrée !

 

Vous êtes employé et souhaitez prendre connaissance des nombreux mails reçus pendant vos congés depuis votre salon, pour fuir l’humour parfois douteux de vos collègues ou simplement mieux vous concentrer sur vos projets ? Vous êtes employeurs et souhaitez offrir un confort personnel à vos salariés en les laissant libres de planifier leurs journées de travail comme ils l’entendent ?

Quelles que soient vos motivations, vous êtes probablement nombreux à recourir au télétravail en ce retour de vacances.

Cette pratique, peu développée en France avant la crise sanitaire, s’est depuis généralisée et banalisée.

Cette forme d’organisation du travail induit, par définition, une manipulation à distance du patrimoine informationnel de l’entreprise. Le télétravail pose ainsi de nombreuses questions en termes de protection des données personnelles, c’est pourquoi il est essentiel que ses modalités de mise en œuvre soient rigoureusement encadrées, dans l’intérêt de tous.

ATTENTION – Tant qu’il détermine les finalités et moyens des traitements de données mis en œuvre par la société, l’employeur demeure « responsable de traitement » aux yeux de la loi. Le fait que les données soient exploitées voire stockées sur des équipements situés chez ses collaborateurs ne le décharge en aucun cas de sa responsabilité en cas non-conformité !

Conformité lors de l’instauration du télétravail

 

Le recours au télétravail doit, dans les entreprises privées, faire l’objet d’un accord formalisé avec l’employeur.

Au-delà d’un accord sur le principe même de ce travail en distanciel, nous vous conseillons de formaliser aussi les conditions précises de sa mise en œuvre, en concertation si possible avec les représentants du personnel.

Deux options s’ouvrent alors au responsable de traitement pour permettre aux membres de l’organisme de continuer à poursuivre leurs missions de chez eux :

Soit il décide que le personnel ne pourra travailler que sur des outils fournis à cet effet, dédiés à leur activité professionnelle et paramétrés par la société (ordinateurs, tablettes, téléphones voire box Internet) ;

Soit il les autorise à utiliser leurs terminaux personnels à des fins professionnelles, ce que l’on appelle plus communément le « BYOD » (pour l’anglais « Bring Your Own Device » ou, selon l’acronyme français « AVEC », « Apportez Votre Équipement personnel de Communication »).

Si cette solution apparaît souvent plus facile et moins coûteuse à mettre en œuvre pour les employeurs, elle présente un risque plus élevé en termes de protection des données personnelles.

Dans tous les cas, il est essentiel que l’organisme adopte une CHARTE INFORMATIQUE spécifique au télétravail, et accomplisse les démarches nécessaires pour que ce document acquiert une valeur contraignante.

À la fois outil d’information et de prévention, la charte informatique recense les bonnes pratiques devant être adoptées par les utilisateurs du réseau et du parc informatique de l’organisme, afin de se prémunir de toute difficulté. Ce document fait ainsi des collaborateurs des acteurs essentiels de la « culture de sécurité » de l’entreprise.

Nous vous incitons aussi, et surtout, à mener des ACTIONS DE SENSIBILISATION auprès de vos collaborateurs, pour leur expliquer l’intérêt de ces consignes de sécurité (sessions de formations, documentation disponible sur l’Intranet de l’entité, opérations de communication régulières (envoi de newsletters à ce sujet, réunions d’information, guides pratiques…).

 

Conformité pendant le télétravail

 

Que les membres de votre organisme télétravaillent depuis leurs propres appareils ou non, nous vous recommandons d’être vigilants sur la configuration de ces terminaux, par eux ou par vous. Des gestes simples participent à la protection des données personnelles de l’entreprise, tels que :

SUR LES POSTES DE TRAVAIL

  • Cloisonner les espaces de travail (créer des comptes distincts pros/persos, mettre en place des habilitations pour limiter l’accès à chaque espace aux personnels concernés, etc.);
  • Installer un antivirus et un pare-feu ;
  • Faire les mises à jour des systèmes d’exploitation proposées ainsi que des sauvegardes régulières, de préférence sur les infrastructures de l’entreprise et non des appareils privés.

POUR LES CONNEXIONS & COMMUNICATIONS

  • Limiter les besoins de connexion à Internet (notamment en recourant à un VPN) et, à défaut, configurer les Box Wifi en conséquence (supprimer les accès partagés et réseaux invités, mettre un mot de passe fort de connexion, activer la Wi-Fi en chiffrement WPA et non WPS, etc.);
  • Ne pas transmettre des données via des espaces de stockage collaboratifs ou publics (type « WeTransfer », ou via Internet) ;
  • Utiliser des moyens de communication chiffrés de bout en bout, protégés par des codes d’accès et, si nécessaire, envoyer les clés de déchiffrement à votre interlocuteur via un canal de communication distinct (exemple: code de connexion à une application transmis par SMS par exemple) ;
  • Ne télécharger et n’utiliser que des interfaces autorisées par l’entreprise ;
  • Sensibiliser les collaborateurs pour identifier et éviter les tentatives d’hameçonnage.
L’employeur doit veiller à ce que les conditions d’exécution du télétravail ne portent pas atteinte au droit au respect de la vie privée de ses salariés.

Exemple : il doit inciter ses collaborateurs à utiliser des systèmes de visioconférence de confiance (développés et hébergés dans un pays soumis au Règlement Général sur la Protection des Données), et poser des instructions claires pour les protéger (possibilité de ne pas démarrer la vidéo, option de floutage automatique de l’arrière-plan, etc.).

S’il peut être tentant pour l’employeur de vérifier que les membres du personnel sont pleinement dévoués à leurs tâches, de chez eux, il lui est formellement interdit de recourir à des méthodes de surveillance constante des salariés (mise en place d’une webcam ou d’un partage d’écran permanent, obligation de pointage régulier, consultation d’un historique de connexion détaillé…).

Pour mémoire, les dispositifs de contrôle ponctuels des employés ne peuvent être instaurés que s’ils sont proportionnés et adéquats au but poursuivi, après que les salariés ont été informés de leur installation, et avoir consulté les représentants du personnel à ce sujet.

Remarque : ces éventuelles méthodes de contrôle constituent des traitements de données devant figurer sur le registre des activités de traitement de l’organisme. Compte tenu du risque qu’ils présentent pour les droits des personnes concernées, ceux-ci doivent par ailleurs, pour la plupart, faire l’objet d’une Analyse d’Impact relative à la Protection des Données (AIPD).

A supposer d’ailleurs qu’il faille contrôler le travail effectué à distance par les salariés.

D’après Pôle Emploi, reprenant une étude réalisée par le cabinet Gartner, 55% des salariés en télétravail afficheraient un niveau d’efficacité élevé[1].

 

Conformité au-delà du télétravail

 

Puisqu’il suppose une prise de fonction à domicile, le télétravail est susceptible de brouiller la frontière entre la vie personnelle et la vie professionnelle des télétravailleurs.

Afin d’assurer le bien-être de vos collaborateurs, il est donc essentiel de prévoir dans votre charte informatique les mesures garantissant le respect de leur DROIT A LA DÉCONNEXION.

 

Suppression des temps de transport, gain de flexibilité et meilleure efficacité : le télétravail présente des avantages indéniables tant pour les salariés que les entreprises. Mais, en distanciel, l’employeur perd une certaine maîtrise physique et juridique des terminaux de ses salariés.

S’il est mal encadré, le télétravail peut ainsi être à l’origine de nombreuses dérives, toutes préjudiciables à l’entreprise : failles de sécurité, violation des données, atteinte aux droits et libertés individuels des collaborateurs, etc. Outre les risques d’une condamnation administrative voire pénale de l’organisme en cas de manquement à ses obligations légales en matière de protection des données personnelles, les enjeux sont considérables pour la réputation de l’organisme, à l’heure où la conformité des sociétés participe de leur bonne image de marque.

De la rédaction d’une charte informatique contraignante à la formation de vos collaborateurs, en passant par un rappel des points de vigilance à retenir pour organiser le travail à distance de vos équipes : les professionnels de RGPD-Experts sont naturellement à votre disposition pour vous guider dans la mise en place d’un télétravail conforme.

Pour plus de renseignements, rendez-vous sur : https://www.rgpd-experts.com/contactez-rgpd-experts/

L.H

 

[1] Pôle Emploi, « Télétravail : où en est-t-on », 28 déc. 2022, https://www.pole-emploi.org/accueil/actualites/2022/teletravail–ou-en-est-on.html?type=article#:~:text=Cette%20dynamique%20vertueuse%20renforce%20aussi,36%20%25%20des%20salari%C3%A9s%20en%20pr%C3%A9sentiel.

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.