[article invité]
La crise causée par le Covid-19 a eu pour conséquence un recours massif au télétravail. Si le temps que durera encore la crise demeure une inconnue, le télétravail semble en tout cas s’installer de manière durable. Lorsque des collaborateurs télétravaillent, ils peuvent être amenés à avoir accès à des informations (sensibles) concernant l’entreprise. Les informations auxquelles les collaborateurs ont accès comprennent par ailleurs souvent des données à caractère personnel (au sens du règlement général sur la protection des données ou RGPD). Le télétravail apporte donc son lot de défis sur le plan de la sécurité de l’information et de la protection des données.
Pensons par exemple aux situations (somme toute réalistes) suivantes :
- Un membre du département des ressources humaines examine la version papier des fiches de paie de certains collaborateurs alors qu’il télétravaille. Il jette ensuite ces documents dans la poubelle ‘papier-carton’. Lors de la collecte de ces déchets, la boite dans laquelle ces documents ont été placés s’avère incorrectement fermée. Certaines fiches de paie s’envolent sur le trottoir, permettant à n’importe quel passant de les ramasser et de les consulter.
- Une travailleuse du département marketing a accès, à partir de sa connexion à distance, à la base de données CRM de l’entreprise. Elle demande à son employeur si, pendant les mois d’été, elle pourrait travailler à partir de son pays d’origine, la Turquie. La Turquie n’est pas un pays offrant un niveau de protection adéquat au sens du RGPD. Le télétravail à partir de ce pays est-il dès lors possible ?
- Un directeur financier effectue des paiements à partir de son bureau à domicile avec un ordinateur et une connexion internet privés. Il est à cette occasion victime d’une cyberattaque.
L’employeur est-il obligé de prendre des mesures afin d’éviter ou de pallier ces situations lorsque ses collaborateurs télétravaillent?
La réponse à cette question est assurément affirmative.
Lorsque des télétravailleurs reçoivent accès des données à caractère personnel (sensibles) à leur domicile, le RGPD est d’application. Selon le RGPD, les employeurs doivent prendre des mesures techniques et organisationnelles en vue de protéger ces données. Ces mesures doivent par exemple offrir une protection contre les accès et traitements non autorisés, ainsi que contre la perte ou la détérioration de ces données.
Même si l’information à laquelle les travailleurs ont accès ne contient pas de données à caractère personnel (hypothèse peu réaliste en pratique), il est d’une importance cruciale que les entreprises protègent leurs données commerciales sensibles avec le plus grand soin.
Mesures techniques et organisationnelles
Le RGPD ne contient pas de liste des mesures techniques et organisationnelles que doit prendre un employeur. Les mesures concrètes dépendent en effet des risques et de l’importance du traitement, ainsi que de leur coût et de leur faisabilité technique.
Dans le cadre du télétravail, une entreprise peut par exemple être amenée à prendre les mesures techniques et organisationnelles suivantes:
- Sensibilisation et formation du personnel;
- Mise en place d’une politique de sécurité reprenant des règles claires concernant le traitement de l’information (p.ex. règles concernant l’utilisation des outils informatiques, procédure de traitement des plaintes, désignation d’un responsable de la sécurité informatique, etc.);
- Sécurisation des réseaux (également quand des collaborateurs télétravaillent via une connexion VPN);
- Sécurisation de l’accès aux ordinateurs et aux systèmes (mots de passe, etc.).
Autres points d’attention
Indépendamment des mesures de sécurité technique et organisationnelles que prennent les employeurs dans le cadre du RGPD, certains sujets en matière de sécurité de l’information doivent également retenir l’attention.
Lorsque des télétravailleurs se voient octroyer l’accès à des informations commerciales et des données à caractère personnel (sensibles), tout employeur doit en tout cas se poser les questions suivantes :
- L’employeur autorise-t-il le télétravail à d’autres endroits que le domicile de ses collaborateurs (p.ex. espaces de co-working, cafés, restaurants, bibliothèques, etc.)? Dans ce cas, comment s’assure-t-il de la sécurité de l’information (p.ex. interdiction d’utiliser des réseaux wi-fi publics, obligation d’utiliser un privacy screen, etc.)?
- Les collaborateurs peuvent-ils imprimer à domicile ? Dans ce cas, que doivent-ils faire avec des documents imprimés comprenant des informations sensibles (p.ex. utilisation de broyeuses, directives concernant la destruction de documents confidentiels, etc.) ?
- Les collaborateurs peuvent-ils travailler à partir de l’étranger ? Qu’en est-il lorsqu’il s’agit d’un pays hors de l’espace économique européen n’offrant pas un niveau de protection adéquat au sens du RGPD? Comment gérer l’impact potentiel sur la législation applicable en matière de sécurité sociale et de fiscalité?
- Les collaborateurs peuvent-ils emmener des dossiers en format papier comprenant des informations sensibles à leur domicile? Dans ce cas, doivent-ils les conserver à un endroit spécifique (de manière à ce que des membres de la famille ou des visiteurs ne puissent pas y avoir accès) ?
Il est recommandé aux employeurs de réfléchir à la question de la sécurité de l’information et de mettre en œuvre une politique appropriée. Cet exercice peut faire partie d’une réflexion globale sur la politique de l’employeur en matière d’information, s’appliquant également lorsque les collaborateurs travaillent au bureau. La manière de traiter, jeter ou détruire l’information en constituera (entre autres) un aspect important. Dans ce cadre, broyer des documents à domicile deviendra peut-être une nouvelle habitude de travail.
À propos des auteurs
Julien Hick, Partner AKD Benelux Lawyers & Heleen Franco, Senior Associate AKD Benelux Lawyers
