Le contrôle et la surveillance des télétravailleurs par l'employeur

Compte tenu de l’évolution de la situation épidémique, le télétravail est de plus en plus déployé dans les organisations.

Dans ce contexte, l’employeur a des obligations, mais aussi des limites.

La Commission nationale informatique et libertés (Cnil) a publié le 12 novembre 2020, un questions-réponses sur le télétravail. Elle aborde plusieurs aspects concernant ce que l'employeur peut et ne peut pas faire en matière de surveillance. Elle rappelle le principe de proportionnalité du contrôle exercé, ainsi que l'interdiction de la surveillance permanente d'un poste de travail.

 

LES OBLIGATIONS DE L’EMPLOYEUR

L’employeur doit prendre toutes les mesures pour assurer la sécurité des données et le télétravail implique la mise en place de mesures renforcées. Parmi ces mesures, on va trouver :

  • La charte de bon usage des outils informatique qui doit être scrupuleusement appliquée par les salariés
  • L’équipement de tous les postes de travail « nomades » utilisés par les salariés au minimum d’un pare-feu, d’un anti-virus et d’un outil de blocage à l’accès aux sites malveillants
  • La mise en place d’un VPN pour éviter l’exposition directe des services sur internet
  • La mise en place d’outils de communications et de travail collaboratifs appropriés au travail à distance
  • L’utilisation de protocoles sécurisés sur les services internet (HTTPS)

 

CE QUI EST INTERDIT

Un employeur n’a pas le droit d’effectuer une surveillance systématique de ses employés !

Cela comprend tous les moyens qui peuvent être mis en place pour le contrôle du temps de travail, de présence, etc…

S'agissant des visioconférences, la Cnil recommande aux employeurs de ne pas imposer l’activation de leur caméra aux salariés en télétravail. En effet, le RGPD impose un principe de minimisation des données selon lequel les données traitées doivent être "adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées". "Or, indique la Cnil, dans la plupart des cas, une participation via le micro est suffisante".

La Cnil explique que même si l'activation de la caméra peut contribuer à la convivialité dans une période d’éloignement de ses collègues, elle peut porter atteinte au droit au respect de la vie privée, notamment à l'égard des autres personnes présentes au domicile.

"Dès lors, un salarié doit pouvoir en principe refuser la diffusion de son image lors d’une visioconférence en mettant en avant les raisons tenant à sa situation particulière. Seules des circonstances très particulières, dont il appartiendrait à l’employeur de justifier, pourrait rendre nécessaire la tenue de la visioconférence à visage découvert."

 

LES CONSEILS DE L’EXPERT

L’employeur reste responsable de la sécurité des systèmes d’information.

Le télétravailleur doit respecter les règles de bon usage des outils informatiques qui doivent être mentionnées dans la charte.
 

Bien choisir les outils de communication

L’invalidation du « Privacy Shield » par la Cours de Justice Européenne implique que l’exportation de données à caractère personnel vers les USA doit être légalement encadrée (et qu’il est insuffisant de se fier aux clauses écrites par les GAFA). Par conséquent, lors de l’utilisation d’outils d’origine USA, il faut vérifier que les serveurs sont bien situés dans l’Union Européenne.

Ainsi, pour les utilisateurs de la suite Office 365 de Microsoft, assurez-vous que vos données soient bien stockées en Europe. Vous pourrez donc utiliser l’application TEAMS.

Pour ceux qui n’utilisent pas la suite office 365, la CNIL (Commission Nationale Informatique et Liberté) recommande d’utiliser des outils indépendants comme TIXEO, mais la DINUM (Direction interministérielle du Numérique) recommande de ne pas utiliser l’outil ZOOM pour des raisons de sécurité.


L’utilisation d’équipements personnels

Le BYOD (Bring Your Own Device) dans un contexte professionnel est source de risque de sécurité élevé. Il est impératif d’encadrer cette utilisation dans la charte d’utilisation des outils informatiques avec des mesures comme :

  • L’utilisation d’un anti-virus et d’un pare-feu
  • L’utilisation d’un compte avec accès limité (et pas le mode administrateur)
  • La mise à jour régulière du système d’exploitation et des applications
  • Des sauvegardes régulières
  • L’utilisation de mots de passe forts

 

De même l’utilisation du WIFI personnel dans le cadre du télétravail doit être conditionné par un engagement (voire un contrôle) sur les règles de sécurité dans le paramétrage de la Box Internet comme :

  • L’activation de l’option de chiffrement WPA2 ou WPA3 avec un mot de passe long et complexe,
  • La désactivation de la fonction WPS,
  • La suppression du WIFI Visiteur

 

La gestion de la sécurité

La mise en place de l’exploitation des traces (Données de connexion) ou du pare-feu (accès à des sites internet, par exemple) n’est possible que si la finalité est la sécurité des systèmes d’information. Par conséquent, leur exploitation ne peut être effectuée que par l’équipe de sécurité dirigée par le RSSI (Responsable de la sécurité des systèmes d’information), ou par les autorités en cas de contentieux (Vol, intrusion…).

Il est important de séparer l’exploitation des systèmes d’information par la DSI (Direction des systèmes d’information) ou par le sous-traitant (Cas des TPE ou petites PME) de la sécurité des systèmes. Il est recommandé d’externaliser cette prestation de RSSI.

 

Vous souhaitez être accompagné sur le volet RGPD ? Contactez votre interlocuteur BDO habituel ou me contacter directement : bruno.saucourt@bdo.fr.