Les faits : L’ordonnance dite « Macron », entrée en vigueur le 22 septembre 2017, a assoupli les conditions permettant de recourir au télétravail. Pour que ce mode d’organisation ne devienne pas le maillon faible de la protection des données à caractère personnel en entreprise, il convient de s’assurer que les conditions de sa mise en oeuvre respectent les dispositions du RGPD, notamment en matière de sécurité des données.

Eu égard à ses nombreux avantages, les entreprises ont de plus en plus recours au télétravail. Toutefois, le maniement des données professionnelles par les salariés par le biais d’un accès à distance aux outils et systèmes informatiques de l’entreprise n’est pas sans risque en termes d’atteinte à leur sécurité.

Il est donc nécessaire, à la lumière des dispositions du RGPD, de prévoir des mesures spécifiques et adaptées tant à l’activité de l’entreprise qu’à l’organisation du travail de ses salariés. Ainsi, à première vue et de façon évidente, afin de se prémunir du vol ou de la tentative de connexion malintentionnée, l’accès à la session informatique du salarié se doit d’être protégé par un mot de passe complexe et le renouvellement des identifiants en cas d’erreur répétée. Outre l’accès physique, le risque d’intrusion aux systèmes d’informations est également bien souvent imperceptible, par le biais de piratage, virus ou malwares, contre lesquels un certain nombre de mesures simples comme l’activation de pare-feu ou le cryptage d’une partie des données échangées entre les salariés et ses interlocuteurs s’avèrent là aussi efficaces.

Mais la stratégie de sécurité ne se limite pas à des mesures techniques. Le RGPD impose en effet désormais la formalisation de processus internes rigoureux destinés tant à prévenir les failles de sécurité qu’à les traiter efficacement en cas de violation et ainsi sensibiliser les salariés susceptibles, par méconnaissance des risques, de mettre en péril la sécurité des données. La Cnil préconise à ce titre d’édicter des règles de bonne conduite, au sein de la charte informatique de l’entreprise par exemple, notamment relatives à l’impérieuse nécessité pour le salarié de révéler toute faille de sécurité intervenue dans le cadre du télétravail, ou invitant à la prudence lors du téléchargement de nouveaux logiciels ou la connexion à de nouveaux supports mobiles, comme le chargement d’un téléphone étranger sur son ordinateur.

Pour s’assurer du caractère effectif et contraignant de ces dispositions organisationnelles internes, il est conseillé de contractualiser un certain nombre de pratiques, mais également de prévoir des sanctions tant disciplinaires que pénales à l’encontre des salariés qui, bien que correctement formés à l’importance des enjeux sécuritaires, viendraient à compromettre la sécurité de certaines données.
De son côté, l’entreprise doit s’assurer, en cas d’incident, de pouvoir identifier rapidement les données qui ont été exposées et les risques sur la vie privée des personnes concernées. En cas de risque élevé, il est impératif de notifier à la CNIL et aux personnes concernées la violation intervenue, dans les 72 heures après sa découverte.

Ce qu’il faut retenir :

Le télétravail peut s’avérer dommageable pour l’entreprise en matière de protection des données personnelles en l’absence de mesures de sécurité adaptées. Au-delà des mesures techniques élémentaires visant à éviter l’interception de données ou toute intrusion malveillante, l’entreprise doit s’assurer de la parfaite sensibilisation de ses salariés à ces questions et avoir formalisé à ce titre un processus organisationnel adéquat.

Par Me Pierre-Randolph Dufau
Avocat à la cour
Fondateur de la SELAS
PRD avocatsMe Pierre-Randolph Dufau