La Cnil a publié ses « conseils pour mettre en place le télétravail ». Elle précise que dans le contexte du Covid-19, le télétravail est une solution qui doit s’accompagner de mesures de sécurité renforcées pour garantir la sécurité des systèmes d’information et des données traitées.
Des mesures techniques… de bon sens
La Cnil préconise ainsi un certain nombre de mesures techniques :
- équipez tous les postes de travail de vos salariés au minimum d’un pare-feu, d’un antivirus et d’un outil de blocage de l’accès aux sites malveillants ;
- mettez en place un VPN pour éviter l’exposition directe de vos services sur internet, dès que cela est possible. Activez l’authentification du VPN à deux facteurs si c’est possible ;
- utilisez des protocoles garantissant la confidentialité et l’authentification du serveur destinataire. Par exemple HTTPS pour les sites web et SFTP pour le transfert de fichiers. Utilisez les versions les plus récentes de ces protocoles ;
- appliquez les derniers correctifs de sécurité aux équipements et logiciels utilisés (VPN, solution de bureau distant, messagerie, vidéoconférence etc.). Consultez régulièrement le bulletin d’actualité Cert-FR pour être prévenu des dernières vulnérabilités sur les logiciels et des moyens pour s’en prémunir ;
- mettez en œuvre des mécanismes d’authentification à double facteur sur les services accessibles à distance. Ceci pour limiter les risques d’intrusions ;
- consultez régulièrement les journaux d’accès aux services accessibles à distance pour détecter des comportements suspects.
- ne rendez pas directement accessibles les interfaces de serveurs non sécurisées. De manière générale, limitez le nombre de services mis à disposition au strict minimum pour réduire les risques d’attaques.
Il s’agit là de mesures de bon sens. Encore faut-il aujourd’hui avoir les moyens de cette sécurisation aussi bien humains (DSI) et que matériels ou logiciels.
Et des mesures pour le télétravail
Mais pour nous juristes, dans la mesure où la vie continue et que Dura Lex Sed Lex… la Cnil rappelle qu’il faut :
- éditer une charte de sécurité dans le cadre du télétravail. Ou, dans le contexte actuel, au moins un socle de règles minimales à respecter. Et communiquez ce document à vos collaborateurs suivant votre règlement intérieur ;
- mesurer les risques encourus si vous devez modifier les règles de gestion de votre système d’information pour permettre le télétravail (changement des règles d’habilitation, accès des administrateurs à distance…). Et au besoin, prendre les mesures nécessaires.
Respecter la loi
En résumé, confiné ou pas, il faut respecter la loi ou les bonnes pratiques.
En matière de télétravail il faut respecter la loi. Je rappelle que le code du travail fixe les règles et rappelle que le télétravail (article L.1222-9) doit être formalisé :
- le télétravail est mis en place dans le cadre d’un accord collectif ou, à défaut, dans le cadre d’une charte élaborée par l’employeur après avis du comité social et économique, s’il existe.
- en l’absence d’accord collectif ou de charte, lorsque le salarié et l’employeur conviennent de recourir au télétravail, ils formalisent leur accord par tout moyen.
Article L.1222-9 du code du travail
Cet article L.1222-9 précise le contenu minimum de l’accord.
« II. L’accord collectif applicable ou, à défaut, la charte élaborée par l’employeur précise :
- Les conditions de passage en télétravail, en particulier en cas d’épisode de pollution mentionné à l’article L. 223-1 du code de l’environnement, et les conditions de retour à une exécution du contrat de travail sans télétravail ;
- Les modalités d’acceptation par le salarié des conditions de mise en œuvre du télétravail ;
- Les modalités de contrôle du temps de travail ou de régulation de la charge de travail ;
- La détermination des plages horaires durant lesquelles l’employeur peut habituellement contacter le salarié en télétravail ;
- Les modalités d’accès des travailleurs handicapés à une organisation en télétravail, en application des mesures prévues à l’article L.5213-6. »
Article L.1222-10 du code du travail
Il faut également compter avec l’article L.1222-10 qui précise que :
« Outre ses obligations de droit commun vis-à-vis de ses salariés, l’employeur est tenu à l’égard du salarié en télétravail :
- D’informer le salarié de toute restriction à l’usage d’équipements ou outils informatiques ou de services de communication électronique et des sanctions en cas de non-respect de telles restrictions ;
- De lui donner priorité pour occuper ou reprendre un poste sans télétravail qui correspond à ses qualifications et compétences professionnelles et de porter à sa connaissance la disponibilité de tout poste de cette nature ;
- D’organiser chaque année un entretien qui porte notamment sur les conditions d’activité du salarié et sa charge de travail. »
Ainsi donc pour résumer, en plus des mesures techniques, la Cnil rappelle que, Covid-19 ou pas, il faut… respecter la loi et définir les règles du jeu du télétravail.
A la guerre comme à la guerre
La seule souplesse que l’on puisse identifier dans le texte est la formule suivante « ou, dans le contexte actuel, au moins un socle de règles minimales à respecter ». Autrement dit, et sans mauvais jeu de mot, à la guerre comme à la guerre, si vous n’aviez rien, ne vous lancez pas dans un travail impossible mais définissez au moins les règles de base.
Il faut rappeler que le fait de ne pas adopter d’accord d’entreprise expose l’employeur à se voir opposer également les dispositions de l’ANI (Accord national interprofessionnel) du 19 juillet 2005. Ceci notamment sur la prise en charge des coûts des matériels et logiciels.
Données personnelles et télétravail
Un point semble cependant manquer dans les « conseils » de la Cnil. Il porte sur le traitement des données personnelles dans le cadre du télétravail (analyse des comportements des collaborateurs par exemple sur le temps de travail). Et sur le respect du droit à la vie privée, là aussi consacré par le droit et par l’ANI.
Le télétravail pose ainsi d’innombrables questions en termes de données personnelles et de vie privée. Comme l’analyse des logs, l’accès aux données de connexion de l’opérateur du salarié en télétravail, la prise de main à distance et la sacro-sainte question des vidéos. A savoir : peut-on imposer au salarié d’activer sa caméra ?
Quant au deuxième point, il vise les « habilitations » et la nécessité parfois de conférer à certains utilisateurs des droits étendus. C’est là que l’on s’aperçoit de tout l’intérêt d’avoir (pour ceux qui ont la chance d’avoir convaincu leur DG) une « charte des droits d’administrateur et droits étendus ».
Minimaliste ou non, Covid-19 ou pas, le télétravail doit être formalisé et à défaut aucune sanction de quelque nature que ce soit ne pourra être prise contre un salarié. Voire même, la responsabilité de l’employeur pourrait être engagée.
Le confinement est aussi une bonne occasion de réaliser des opérations de e-learning.
Avocat associé, expert IP/IT & Data protection au cabinet Racine Avocats