Télétravail: quelles bonnes pratiques?
Si le télétravail doit normalement faire l’objet d’un accord entre l’employeur et le salarié formalisé par tout moyen (accord collectif ou individuel, ou charte, tel que visé à l’article L. 1222-9 du Code du travail), il peut être imposé de manière temporaire dans certaines circonstances exceptionnelles.
Au vu des enjeux relatifs à la sécurité des activités de l’employeur et au respect des droits des salariés que posent la mise en place d’un télétravail temporaire, la période du premier confinement de 2020 a servi de test à cet égard pour les acteurs économiques.
Désormais, et alors que de nombreuses sociétés, associations et administrations ne disposaient pas des outils et matériels permettant une telle pratique, le télétravail semble largement répandu pour les postes où il est possible.
Sa mise en œuvre et son organisation doivent donc être pensées sur le long terme et non plus comme une solution d’urgence.
Conséquences du confinement sur le télétravail
Lors du premier confinement, la Cnil avait publié plusieurs recommandations concernant la pratique du télétravail dans les circonstances particulières liées à la crise sanitaire.
Afin de clarifier les enjeux au regard des données personnelles, la Cnil a mis à jour ses recommandations et publié, le 12 novembre 2020, une FAQ dédiée. Celle-ci vise notamment à rappeler les mesures de sécurité à installer, les précautions à prendre en matière d’utilisation des appareils personnels, de suivi des salariés et d’utilisation des outils spécifiques (vidéoconférence notamment).
Cette FAQ est également l’occasion pour la Cnil de rappeler l’importance du respect des droits des salariés et, notamment, l’interdiction d’un suivi continu et d’une surveillance de leurs activités en télétravail.
La Cnil rappelle notamment que lorsque l’employeur considère que la mise en place d’un traitement ayant pour finalité de surveiller de manière constante l’activité des salariés est justifiée, ce traitement doit obligatoirement faire l’objet d’une analyse d’impact relative à la protection des données.
De manière générale, la mise en place d’une charte du télétravail dédiée, ou la modification de la charte informatique actuelle, est nécessaire, ainsi que la consultation des représentants du personnel quant aux nouvelles modalités de travail. L’information des salariés en matière de bonnes pratiques et de sécurité doit également être développée, ce qui implique une plus grande communication à leur égard de la part des services informatiques.
Plus qu’en présentiel, la sécurité des données traitées et leur confidentialité dépendent de ces recommandations. L’employeur n’a par exemple pas de contrôle sur l’antivirus installé sur l’ordinateur personnel utilisé ou l’accès à certains sites qui pourraient être bloqués sur l’ordinateur professionnel.
Règles à mettre en œuvre pour le télétravail
En conséquence, il est nécessaire que la charte détaille la nature des mesures à mettre en œuvre par les salariés : mot de passe renforcé, chiffrement des données et du Wifi utilisé, etc.
En effet, une charte du télétravail adaptée permet également de proposer des recommandations en matière d’antivirus, de cryptage du wifi du domicile, de pratiques à adopter sur le matériel utilisé, etc.
Les salariés doivent par ailleurs être encouragés à appliquer les derniers correctifs de sécurité et à privilégier les mécanismes d’authentification à deux facteurs dans leur utilisation d’applications professionnelles.
Toute personne en télétravail doit également être informée des politiques de son employeur en matière de délai de conservation et d’accès aux données afin de permettre que les données dont l’accès est compartimenté ne soient pas transférées à des personnes n’ayant pas d’habilitation.
Les entreprises peuvent également saisir cette occasion pour mettre en place des solutions permanentes de bureaux distants et des VPN, dont certains, ou l’ensemble de leurs collaborateurs, pourront bénéficier.
Enfin, la Cnil a rappelé l’importance du choix d’un outil de téléconférence à même de protéger la confidentialité et la sécurité des échanges, ainsi que les données personnelles des participants.
Parmi les outils plébiscités par les utilisateurs en télétravail, certains sont devenus des cibles de choix et on fait l’objet d’attaques massives ces derniers mois, donnant lieu à des ruptures de confidentialité.
La Cnil rappelle à ce sujet qu’au 1er avril 2020, il existe un dispositif de visioconférence certifié par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
Bien sûr, toutes ces transformations, lorsqu’elles donnent lieu à de nouveaux traitements de données ou lorsqu’elles modifient des traitements existants, doivent être documentées dans le registre des traitements de l’entreprise.
Des questions sur le télétravail? N’hésitez pas à nous consulter.
Sources :