Télétravail : comment limiter les risques et être RGPD "compliant" ?

Le télétravail a le vent en poupe, et pas seulement par temps de grève dans les transports.
Ce nouveau mode d’organisation du travail séduit les salariés de toutes générations par le nouveau style de vie qu’il propose. Il attire également les entreprises, pour l’augmentation de la productivité constatée et les économies procurées. Cependant, l’instauration du télétravail expose les données traitées par le salarié, depuis son domicile ou d’autres lieux, à des risques d’intrusion des systèmes informatiques, que l’employeur doit anticiper et réguler, tout en préservant la vie privée du salarié.

Par Isabelle DELAGE, Avocat - Data Protection Officer, Expert IT-NTIC-DATA PRIVACY, DPO diplômée de Paris-Dauphine et certifiée. Site internet phygitalaw.com

Le RGPD impose à l’employeur de prendre toutes les mesures techniques et organisationnelles nécessaires à la sécurité des données qu’il traite. Il doit garantir la confidentialité, l’intégrité et la disponibilité des informations relatives à ses clients, ses salariés, ses fournisseurs et ses contacts.

Sans être exhaustive, voici une check-list qui pourrait être utile aux employeurs pour encadrer la mise en œuvre du télétravail.

Sécuriser le télétravail

Pour sécuriser les données traitées par le salarié, je conseille l’instauration de bonnes pratiques qui peuvent se décliner autour des actions suivantes :
 Sensibiliser et responsabiliser les télétravailleurs sur les risques de cybersécurité notamment par l’insertion de clauses au contrat de travail relatives aux responsabilités civiles et pénales. Il est rappelé que si l’ordinateur sur lequel travaille à distance un salarié subit une attaque (cheval de Troie, virus...), celle-ci peut compromettre tout le système d’information de l’employeur.
 Organiser les procédures de travail par la prévision des modalités de délivrance, les modes de communication et de transmission.
 Sécuriser les accès, les échanges et la conservation des données par des mesures telles que : l’authentification, l’intranet via un accès VPN, des mesures de chiffrement, l’interdiction de la divulgation et de la duplication des données, la gestion de leur stockage et leur destruction.
 Encadrer la pratique des BOYD (Bring your own device) qui est fréquente dans le cadre du télétravail et qui implique une sécurisation à un niveau déterminé par l’employeur et généralement à sa charge financière des équipements personnels des salariés, ordinateurs, tablettes et smartphones utilisés.
 Anticiper l’indisponibilité du matériel ou des moyens de communications, et la survenance d’incidents.
 Examiner la conformité du domicile du salarié au télétravail (électricité, sécurité…)
 Documenter la conformité par le registre des traitements rendu
obligatoire par le RGPD et par des chartes informatiques et de télétravail.
 Tracer les événements par exemple pour répertorier les données échangées ou pour permettre le contrôle du temps de travail, de pause, ou encore l’exercice du droit disciplinaire.
 Assurer les risques en souscrivant un contrat d’assurance adapté.

Respecter la vie privée

Il faut aussi protéger les données des salariés, collectées à l’occasion du télétravail, par un traitement respectueux du RGPD et de leur vie privée. Le non-respect du RGPD porte atteinte à la vie
privée des salariés, mais peut aussi priver l’employeur de tout moyen de défense en cas de contentieux (Cass. soc., 11 déc. 2019, pourvoi no 18 ?11.792, arrêt no 1695).
 Vérifier la légalité des mesures de contrôle (traçabilité, écoutes, enregistrement, biométrie…) selon chaque situation
 Effectuer les analyses d’impact préalables éventuellement obligatoires.
 Consulter le CSE avant la mise en place de mesures de contrôles et de traçabilité.
  Informer préalablement les télétravailleurs sur les données collectées, conformément au principe de loyauté et de transparence, (adresse IP, caractéristique du domicile, consommation électrique, traçabilité de l’activité etc.) et sur leurs droits.
 Garantir la confidentialité et l’intégrité des données personnelles des salariés.
 Permettre aux télétravailleurs d’exercer leur droit d’accès aux données les concernant, collectées et traitées par l’employeur.
 Préserver le droit à la déconnexion du salarié.
  Limiter la collecte et la durée de conservation des données.
Bien que les avantages du télétravail soient nombreux, l’organisation de son application n’est pas aussi simple qu’il n’y parait. Qu’il s’agisse des données personnelles de ses salariés ou des tiers, l’employeur reste responsable de leur traitement, et de leur sécurisation.
La clé du succès consiste à trouver l’équilibre entre liberté et contrôles, en fonction des risques liés à la nature des données et aux enjeux stratégiques des traitements.

L’accompagnement par un professionnel du droit et de la protection des données peut être utile pour trouver cet équilibre et réussir le déploiement du télétravail dans un organisme.