Alors que le travail à distance a concerné près d’un salarié sur quatre en 2021, les entreprises doivent rester vigilantes à la sécurité de leur système d’information, mais aussi aux outils qu’elles mettent à disposition de leurs collaborateurs et à leurs pratiques managériales.
Depuis la crise sanitaire, le télétravail s’est imposé dans de nombreuses entreprises. Fin 2021, 38 % des salariés du secteur privé pratiquaient le travail à distance, alors qu’ils n’étaient que 30 % fin 2019, selon les derniers chiffres publiés dans le cadre du baromètre Télétravail et Organisations hybrides 2022 de Malakoff Humanis. Toujours selon cette étude, le télétravail est pratiqué en moyenne près de deux jours par semaine (contre 1,6 en 2019) et redevient un choix pour 68 % des salariés (59 % durant la crise sanitaire).
Mais le travail à distance n’est pas sans comporter certains risques pour la protection des données personnelles. Le système d’information de l’entreprise est tout d’abord davantage exposé aux cyberattaques. Les salariés peuvent par ailleurs faire l’objet de mesures de surveillance inadaptées de la part de leur employeur. La sécurisation des données personnelles reste donc un enjeu majeur pour toutes les organisations, quels que soient leur secteur d’activité et leur taille.
Renforcer la sécurisation du système d’information
Une des premières recommandations que les entreprises peuvent suivre est d’éditer une charte de sécurité liée au télétravail. Ce document doit être communiqué et expliqué aux collaborateurs et peut s’inscrire dans le cadre du règlement intérieur.
Tous les postes de travail des salariés doivent également être équipés, au minimum, d’un pare-feu, d’un antivirus et d’un outil de blocage de l’accès aux sites malveillants. La présence d’un VPN (avec authentification à deux facteurs) est un véritable « plus », elle permet d’éviter l’exposition directe des services sur Internet.
L’utilisation de protocoles garantissant la confidentialité et l’authentification des serveurs distants, par exemple HTTPS pour les sites web et SFTP (SSH File Transfer Protocol) pour le transfert de fichiers, est – elle aussi – fortement préconisée. De même, les Directions des Systèmes d’Information (DSI) sont invitées à appliquer les derniers correctifs de sécurité à leurs équipements et logiciels.
Fournir aux collaborateurs des outils appropriés au travail distant
Pour que les salariés puissent réaliser leurs tâches quotidiennes sans risque pour le système d’information et les données personnelles, la CNIL préconise de mettre à disposition des collaborateurs une liste d’outils de communications et de travail collaboratif appropriés au travail distant, qui garantissent la confidentialité des échanges et des données partagées.
« Favorisez des outils dont vous conservez la maîtrise. Et assurez-vous qu’ils fournissent au minimum une authentification et un chiffrement des communications conformes à l’état de l’art et que les données transitant ne sont pas réutilisées pour d’autres finalités (amélioration du produit, publicité, etc.) », précise la Commission nationale informatique et libertés sur son site.
Les entreprises sont par ailleurs invitées à consulter la liste des produits bénéficiant de la Certification de Sécurité de Premier Niveau (CSPN) délivrée par l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information. La CSPN est réalisée par un CESTI (Centre d’Évaluation de Sécurité des Technologies de l’Information), laboratoire effectuant les évaluations de sécurité de produits et agissant en tant que tierce partie indépendante des développeurs et des commanditaires.
Télétravail et pouvoir de contrôle de l’employeur : « Oui sous conditions »
Une entreprise peut contrôler l’activité des salariés en télétravail si, et seulement si, cela ne porte pas atteinte à leurs droits et libertés. « Le télétravail n’étant qu’une modalité d’organisation de travail, l’employeur conserve, au même titre que lorsque le travail est effectué sur site, le pouvoir d’encadrer et de contrôler l’exécution des tâches confiées à son salarié. Néanmoins, si le pouvoir de contrôle de l’employeur est une contrepartie normale et inhérente au contrat de travail, les juridictions ont rappelé de manière constante que ce pouvoir ne saurait être exercé de manière excessive », rappelle la CNIL.
L’employeur doit donc constamment être en mesure de justifier que les dispositifs mis en œuvre sont strictement proportionnés à l’objectif poursuivi et ne portent pas atteinte excessive au respect des droits et libertés des salariés, particulièrement le droit au respect de leur vie privée.
L’entreprise est également soumise à une obligation de loyauté envers ses collaborateurs. Elle doit à ce titre les informer, préalablement à toute mise en œuvre, des éventuels dispositifs de contrôle de leur activité. Par ailleurs, les juridictions ont rappelé à maintes reprises que les preuves obtenues à l’aide de tels dispositifs ne peuvent pas, en principe, être invoquées pour justifier une sanction.
Par ailleurs, un système de contrôle du temps de travail ou d’activités, qu’il s’effectue à distance ou « sur site », doit, comme tout traitement de données personnelles, avoir un objectif clairement défini et ne pas être utilisé à d’autres fins, être proportionné et adéquat à cet objectif et nécessiter une information préalable des personnes concernées.
Les outils de surveillance permanente sont interdits
Les outils de surveillance permanente sont en outre proscrits, sauf cas exceptionnels dûment justifiés au regard de la nature de la tâche. À titre d’exemple, les employeurs ne peuvent pas utiliser de dispositifs vidéo – tels qu’une webcam – ou audio pour s’assurer qu’un salarié se trouve bien derrière son écran. De même, le partage permanent de l’écran et/ou l’utilisation de « keyloggers » (logiciels qui permettent d’enregistrer l’ensemble des frappes au clavier effectuées par une personne sur un ordinateur) sont interdits.
Enfin, la CNIL préconise de ne pas imposer l’activation de leur caméra aux collaborateurs qui participent à des vidéoconférences. La seule activation du micro est suffisante. L’activation de la vidéo constitue en effet un traitement de données personnelles, régi par le RGPD, qui peut conduire à révéler des informations intimes. « La CNIL invite les employeurs à privilégier les solutions de visioconférence qui permettent aux utilisateurs de flouter l’arrière-plan, afin de permettre aux participants de ne pas faire apparaître dans la visioconférence les images de leur domicile (qui peuvent révéler des informations privées) ou les tiers qui passeraient dans le champ de vision de la caméra », précise la CNIL.
La montée en puissance du travail à distance s’accompagne donc d’un certain nombre d’obligations de la part des entreprises, notamment en ce qui concerne le renforcement de la sécurisation de leur système d’information, la fourniture aux collaborateurs d’outils appropriés au travail distant et le respect des droits et libertés des salariés, notamment leur vie privée.