Force est de constater que la situation sanitaire contraint de nombreux employés à travailler de chez eux. La pandémie de COVID-19 a donc entraîné l’essor du télétravail. Toutes les entreprises se posent donc des questions sur les modalités de mise en œuvre de ce télétravail tant en droit social, sécurité informatique mais aussi sur le respect du RGPD. En effet les dernières publications de sanctions en matière RGPD s’élèvent à plusieurs millions. Penchons-nous donc sur les recommandations de la CNIL concernant le télétravail.
- Respecter a minima les 3 points clés de la mise en place du télétravail
Pour mettre en place le télétravail, et en dehors des contraintes liées au droit social (info/consultation des représentants du personnel, accord avec l’employeur…), il est essentiel a minima de remplir les 3 points suivants, si cela n’avait pas été fait en amont de la pandémie COVID-19 :
- Point 1 : Inscription au registre des activités de traitement
- Point 2 : Information des employés et signature d’une charte de sécurité informatique, si cela n’a pas déjà été fait
- Point 3 : Mise en place des mesures de sécurité : une charte informatique, une charte télétravail et un guide de bonnes pratiques doivent être mis à la disposition des employés en télétravail. Par ailleurs, la sécurité des systèmes se trouve très challengée en cette période. Ainsi, il faut porter une attention particulière aux règles d’habilitation aux serveurs, fichiers etc… Enfin, l’employeur doit proposer des outils sécurisés avec au minimum un VPN dès que cela a été possible, un pare-feu, un anti-virus et un outil de blocage de l'accès aux sites malveillants. A ce sujet, le 27 octobre 2020, l’ANSSI https://www.ssi.gouv.fr/uploads/liste-produits-et-services-qualifies.pdf
Pour aller plus loin le NIST (National Institute of Standards and Technology) a publié un Guide sur le télétravail et le BYOD.
- Contrôler les outils et l’activité lors du télétravail
- Focus sur l’utilisation des outils personnels à des fins professionnelles (BYOD) : L’employé peut utiliser son ordinateur ou téléphone personnel à des fins professionnelles, mais l’employeur reste responsable de la sécurité des données de son entreprise, établissement ou association… Au regard du RGPD, le niveau de sécurité et de confidentialité des données personnelles traitées doit donc être le même, quel que soit l’équipement utilisé. La CNIL rappelle également les règles et bonnes pratiques en matière de sécurité des données sur son site web et dans un guide téléchargeable. L’employeur peut donc mettre en place des règles contraignantes pour l’employé, même des outils personnels de l’employé, sous réserve de concilier ces restrictions avec le respect de la vie privée des employés.
- Focus sur les outils de vidéoconférence : Le télétravail implique nécessairement la mise en place d’outils collaboratifs et de visioconférences. La visioconférence permet d’être vu et entendu de ses interlocuteurs. En cette période de COVID-19, les outils gratuits de visioconférences sont très utilisés par les entreprises, établissements, associations. Mais la gratuité des outils est souvent synonyme de collecte pour analyse/revente des informations collectées via l’outil. Il est donc essentiel que l’employeur mette à disposition des outils qui garantissent la confidentialité des échanges et des données partagées (chiffrement, authentification conformes à l'état de l'art...). A noter : la direction interministérielle du numérique (DINUM) déconseille fortement des outils tels que Zoom si les échanges portent sur des données confidentielles…Elle recommande d’autres outils telq que Jitsi.
- Est-on obligé d’activer la caméra en vidéoconférence ?
- Non ! l’employeur ne peut pas imposer l’activation de la caméra lors de visioconférences. Pour la Cnil, il s’agirait d’un manquement à l’article 5.1 du RGPD « minimisation » des données collectées au regard de la finalité. Pour échanger, le micro est donc suffisant, même si c’est moins convivial J. Seules des circonstances très particulières pourraient permettre à l’employeur d’exiger l’ouverture de la caméra, et ce sur justification.
- Focus sur la surveillance des employés : Le pouvoir de contrôle de l’activité des employés fait partie intégrante du contrat de travail. Ce contrôle de l’activité des employés reste donc possible en télétravail, sous réserve de justifier que les dispositifs mis en œuvre sont strictement proportionnés à l’objectif poursuivi. Le dispositif de contrôle/surveillance de l’employé ne doit pas porter une atteinte excessive au respect des droits et libertés des employés. Il est important également d’informer les employés, les représentants du personnel et de porter ce traitement de données au registre des activités de traitements. Attention : il faudra aussi faire une analyse d’impact (PIA) si les traitements sont susceptibles d’engendrer un risque élevé pour les droits et libertés des employés.
- Les risques pour non-respect du RGPD
Même en période de confinement, la CNIL reste missionnée pour assurer le respect du RGPD. Son pouvoir de contrôle et de sanction reste donc important.
- Le pouvoir de contrôle de la CNIL : En cas de plainte d’un salarié ou de sa propre initiative, la CNIL peut réaliser des contrôles à distance, des contrôles sur place ou des contrôles sur audition ou sur pièces en cas de plainte d’un salarié ou de sa propre initiative.
- Le pouvoir de sanction de la CNIL : En cas de non-respect du RGPD ou de la loi, la CNIL peut mettre en demeure les entreprises ou prononcer des sanctions financières atteignant 4% du CA de l’entreprise ou 20 millions d’euros, le plus élevé des deux.
Pour toute question concernant la mise en place du télétravail dans le secteur public ou privé : contact.ntic@marvellavocats.com