Afin de permettre la continuité des activités professionnelles durant la crise sanitaire du Covid-19, de nombreux collaborateurs ont recours au télétravail, à partir de leurs postes professionnels ou personnels.
Depuis les dernières évolutions légales et réglementaires consacrant un droit au télétravail au bénéfice des salariés, ce mode d’organisation s’est démocratisé. Certaines entités ont ainsi pu réfléchir et déployer le télétravail en réalisant des démarches juridiques et en sensibilisant les collaborateurs.
D’autres entités ont dû accélérer la mise en œuvre du télétravail notamment à la suite de la mesure de confinement adoptée par le gouvernement français. En effet, les dispositions relatives au télétravail prennent toute leur importance dans le contexte actuel. L’article L.1222-11 du Code du travail dispose que :
« En cas de circonstances exceptionnelles, notamment de menace d’épidémie, ou en cas de force majeure, la mise en œuvre du télétravail peut être considérée comme un aménagement du poste de travail rendu nécessaire pour permettre la continuité de l’activité de l’entreprise et garantir la protection des salariés. »
Face à une telle situation, le télétravail est « la règle impérative pour tous les postes qui le permettent« .
Articulation entre le BYOD et le télétravail
La mise en place de mesures de confinement dans l’urgence a pu contraindre les employeurs à recourir massivement aux pratiques de « BYOD ». Cet acronyme est l’abréviation de l’expression anglaise « Bring Your Own Device » désignant l’usage d’équipements informatiques personnels dans un contexte professionnel.
Ces pratiques sont en principe soumises à l’accord de l’employeur qui, après évaluation des risques, peut choisir de les autoriser ou de les interdire. En effet, l’article L4121-1 du code du travail dispose que l’employeur a l’obligation de fournir aux collaborateurs les moyens nécessaires à l’exécution de leurs tâches professionnelles. Toutefois, il ne prohibe pas l’utilisation des moyens personnels des collaborateurs. En outre, en exécution de son obligation d’assurer la sécurité et la protection des salariés, l’employeur doit veiller « à l’adaptation [des mesures qu’il prend] pour tenir compte du changement des circonstances et tendre à l’amélioration des situations existantes ».
En outre, l’article L. 4122-1 du code du travail dispose que « conformément aux instructions qui lui sont données par l’employeur, il incombe à chaque travailleur de prendre soin, en fonction de sa formation et selon ses possibilités, de sa santé et de sa sécurité ainsi que de celles des autres personnes concernées par ses actes ou ses omissions au travail. »
Ainsi, tout employeur doit réaliser une gestion du risque avec un arbitrage au regard de la santé et de la sécurité des salariés, du respect de la vie privée ainsi que de la sécurité et de la confidentialité des systèmes informatiques et des données de l’organisme. Ces derniers restent des actifs dont la diffusion doit être limitée aux personnes ayant besoin d’en connaître. En outre, l’usage du « BYOD » doit se faire dans le respect de la politique de sécurité de l’entité.
La Cnil a récemment réaffirmé que l’utilisation d’équipements personnels ne constitue pas en lui-même un traitement de données à caractère personnel. Cette pratique a toutefois des impacts directs sur la sécurité et la confidentialité des données traitées par l’organisme (terminal non configuré par l’entité, mesures de sécurité non maîtrisées, risque de stockage d’informations sur l’ordinateur, risque d’usage d’un terminal partagé au sein de la famille, etc.).
La Cnil a également publié des recommandations à destination des collaborateurs en télétravail afin d’attirer leur attention sur les bonnes pratiques à suivre.
Comment s’exerce le pouvoir de contrôle et de sanction de l’employeur ?
Si la sécurité des systèmes d’information et le maintien du pouvoir de direction et de contrôle de l’employeur sont légitimes et nécessaires, il convient néanmoins de les concilier avec le respect de la vie privée des employés. A titre d’illustration, il a pu être relevé qu’aux Etats-Unis, l’utilisation de logiciels de surveillance des collaborateurs en télétravail est en recrudescence.
Dans ce contexte, l’autorité de contrôle française a formulé des recommandations relatives à la conciliation entre la sécurité des données et la protection de la vie privée du salarié du salarié en télétravail dans un contexte de BYOD. Ainsi, est-il souligné que les employeurs doivent veiller à s’interdire de :
- Prévoir des mesures de sécurité ayant pour objet ou pour effet d’entraver l’utilisation d’un smartphone dans un cadre privé (navigation, téléchargement d’applications) au motif que cet équipement pourrait être utilisé pour accéder aux ressources de l’entreprise. De telles entraves seraient difficilement justifiées par la nature de la tâche professionnelle à accomplir ou proportionnées au but recherché, comme l’exige l’article L1121-1 du Code du travail.
- D’accéder aux éléments stockés sur le terminal relevant de la vie privée des collaborateurs, qu’il s’agisse des historiques de navigation, de photos, films, agendas ou annuaires. L’accès au contenu professionnel doit néanmoins rester accessible.
- De procéder à l’effacement à distance de l’ensemble des données présentes sur le terminal. Les employeurs devront veiller à n’effacer que les données professionnelles ou la partie spécifiquement dédiée à l’accès distant aux ressources de l’entreprise.
En tout état de cause, dans le cadre d’activités en télétravail, les collaborateurs restent soumis aux règles en place au sein de l’entreprise, et plus particulièrement à la charte informatique.
Comment sensibiliser les collaborateurs aux risques et aux bonnes pratiques ?
La sécurité informatique doit être garantie par des efforts collectifs, incombant tant aux employeurs qu’aux collaborateurs.
Face à la recrudescence des actes de cybermalveillance exploitant la crise sanitaire, la mise en œuvre de mesures organisationnelles est indispensable afin de rendre effectives les mesures de sécurité technique. Ainsi, les collaborateurs devront être tenus de :
- Définir et sécuriser le lieu et les rangements dédiés à leurs activités professionnelles afin de garantir la confidentialité et l’intégrité des éléments en leur possession et de leurs échanges professionnels ;
- De sécuriser leurs sessions de travail en veillant, par exemple, à sa fermeture chaque fois qu’ils sont amenés à s’éloigner du poste de travail ou en interdisant l’accès à leurs matériel informatique aux enfants ou aux tiers ;
- Prendre toutes les précautions utiles s’agissant de la gestion et la destruction des documents professionnels nécessaires à l’exercice de leurs fonctions ;
- Signaler toute perte ou vol de matériel dans les plus brefs délais afin de mettre en œuvre des mesures permettant de sécuriser les données confidentielles que les appareils pourraient contenir.
Ce préconisations de cybersécurité dans le cadre du télétravail sont également rappelées par l’ENISA qui recommande aux collaborateurs notamment de :
- Veiller à la sécurité de leurs équipements, en évitant rigoureusement les réseaux sans-fils libres de type « hotspot », et en mettant régulièrement à jours leurs antivirus ;
- Faire preuve d’une vigilance renforcée à l’égard des courriels qui pourraient être malveillants.
Même si la crise sanitaire impose l’adoption de mesures d’organisation du travail dans l’urgence, il peut être pertinent de rappeler les bonnes pratiques à suivre à l’ensemble des collaborateurs.