Skip to main content

Télétravail – Bonnes pratiques pour les Employeurs

Du jour au lendemain, le Coronavirus a transformé nos routines personnelles et professionnelles. Les petites comme les grandes entreprises ont soudainement dû s’organiser pour permettre à leurs salariés de travailler à distance, sans avoir eu le temps de s’y préparer, ni d’anticiper les risques qui surviennent nécessairement lorsque toute une force de travail se retrouve soudainement dispersée à travers le pays. L’employeur doit notamment s’intéresser aux deux problématiques importantes suivantes: (1) l’obligation légale qui leur est imposée de faciliter leur télétravail et (2) la protection des données à caractère personnel et des informations confidentielles de la société, lorsque celles-ci sont manipulées à grande échelle par des salariés travaillant à distance. Vous trouverez ci-dessous notre liste de “Do’s” (cessons les “don’t’s”!) pour aider vos équipes à poursuivre leur activité le plus sereinement possible.


1. Obligations en droit social

Vérifier s’il existe d’ores et déjà un accord ou une charte sur le télétravail au sein de l’entreprise et si oui s’assurer que les mesures mises en place y sont conformes. Le cas échéant, prévoir de réviser l’accord en conséquence si nécessaire.

Informer, par tout moyen possible (email, affichage dans l’entreprise), les salariés des modalités du télétravail. Cette communication qui pourrait être intégrée dans le Plan de Continuité d’Activité (PCA) de l’entreprise pourrait utilement et notamment porter sur :
  • L’utilisation du matériel informatique personnel ; 
  • Les outils de connexion à distance ; 
  • Le droit à la déconnexion ;
  • L’assurance dommages des salariés en télétravail (cf. paragraphe ci-dessous) ;
  • La réglementation applicable en matière de durée de travail (cf. paragraphe ci-dessous) ;
  • Les modalités d’utilisation de la vidéoconférence (cf paragraphe ci-dessous).
Vérifier le champ d’application de l’assurance souscrite par la société, qui devrait couvrir les salariés et le matériel professionnel dans le cadre des activités de télétravail. (Si possible, se procurer auprès des salariés qui télétravaillent une attestation de couverture des risques liés à leur situation de télétravail, elle-même fournie par leur compagnie d’assurance au titre de l’assurance habitation (i.e., notamment impact sur le matériel personnel ou professionnel utilisé)).

Rappeler aux salariés en télétravail qu’ils doivent respecter les règles applicables en matière de durée de travail et notamment de repos quotidien, repos hebdomadaire et droit à la déconnexion pour chaque catégorie de salariés. Plus particulièrement, pour les salariés soumis aux horaires collectifs de travail, leur rappeler qu’ils ne doivent pas effectuer d’heures supplémentaires sans en avoir informé la direction et avoir reçu son accord au préalable.

Rappeler aux salariés en télétravail qu’en cas de vidéoconférence organisée par l’employeur, ils ont la possibilité de participer à ce type de réunion en téléconférence (sans activer l’option vidéo).


2. Protection des données à caractère personnel

Les règles relatives à la protection des données continuent à s'appliquer lorsque les salariés utilisent la vidéoconférence et la téléconférence depuis leur domicile. Dans la mesure du possible, adopter les mesures suivantes pour limiter les risques à cet égard :
  • Choisir des outils de vidéoconférence et de téléconférence conformes aux réglementations en vigueur (cf. paragraphe ci-dessous) et limiter l’accès aux seuls outils dont le salarié a réellement besoin pour éviter la multiplication des supports de diffusion de données ;
  • Rappeler aux participants à une vidéoconférence ou téléconférence de ne pas enregistrer, prendre de capture d’écran, ni partager à des tiers des images ou des sons captés au cours de ces vidéoconférences ou téléconférences : nous constatons une recrudescence du nombre de publications de ce type de contenu par exemple sur les réseaux sociaux. Or ces images et sons contiennent souvent des données à caractère personnel et/ou autres données confidentielles (nom, prénom, photos des participants, numéro de téléphone, documents de travail etc.) ; 
  • En cas de partage d’écran, penser à fermer toutes les fenêtres et onglets qui n’auraient pas de lien avec la vidéoconférence, y compris en désactivant tous les pop-ups ou rappels de calendrier qui pourraient apparaître (alertes emails avec noms de personnes ou de dossiers par exemple) pour éviter la diffusion involontaire de données et d’informations confidentielles ; 
  • Indiquer aux salariés qu’en cas de partage d’appareils entre membres de la famille, ils doivent veiller au préalable à se déconnecter des applications utilisées pour leurs besoins professionnels et/ou du réseau VPN de la société. 
  • Rappeler aux salariés les dispositions de la charte informatique applicable, le cas échéant.


3. Utilisation de logiciels gratuit

Faire preuve de vigilance avant d’autoriser les salariés à utiliser des logiciels gratuits de communication et de partage de documents, tels que Skype, Zoom, Wetransfer, Dropbox. Tous les services ne sont pas équivalents en terme de sécurité et il est indispensable de recommander les outils les plus sécurisés en particulier si votre activité implique l’échange régulier de données confidentielles ou sensibles :
  • en vérifiant les règles de sécurité et de traitement des données de ces fournisseurs notamment:
    • le chiffrement des communications, documents et données en transit et stockées par le fournisseur, afin de limiter le risque que les données puissent être accessibles en clair par des tiers non autorisés au cours de leur transit vers le fournisseur ou une fois stockées chez lui;
    • les règles d’accès par le fournisseur à vos contenus et données, en particulier dans les cas où les échanges sont couvertes par le secret professionnel;
    • la faculté du fournisseur à transférer les communications, documents et/ou données à des tiers, en particulier à des partenaires commerciaux, ou à les utiliser pour alimenter d’autres services qu’il fournit;
    • le lieu d’hébergement de vos données, en particulier si les données en cause sont sensibles (par exemple données de santé), afin de s’assurer du fait que les transferts de données sont sécurisés et que le(s) pays en cause dispose(nt) d’une réglementation protectrice s’agissant des données stockées sur leur territoire.
  • en recommandant aux salariés d’activer les fonctionnalités de sécurisation des accès à ces services, notamment la double authentification et l’envoi d’alertes lorsque de nouveaux appareils se connectent à leur compte, afin d’éviter l’accès à ces comptes et données associées par des tiers.
  • lorsqu'ils utilisent des solutions de partage de documents, les salariés doivent être encouragés à protéger par mot de passe les documents transférés et à envoyer les mots de passe aux destinataires par email séparé.


4. Sécuriser les informations confidentielles

Accompagner les salariés pour assurer la sécurité des informations confidentielles de la société, en leur suggérant notamment de :
  • Faire preuve de vigilance concernant les courriels de phishing : nous constatons une recrudescence de courriels malveillants qui ont pour objectif de voler des données et d’accéder à des réseaux sécurisés. Si votre personnel n’est pas encore formé à la détection de ces courriels, c'est le moment adéquat pour faire circuler des recommandations à ce sujet. 
  • S’assurer que les salariés, s'ils utilisent leur propre appareil pour travailler à distance, ont accès à la politique « Bring Your Own Device » de la société (en français : « Apportez Votre Equipement Personnel de Communication »), abordant des sujets tels que les mesures à prendre si leur appareil est perdu ou endommagé, et les exigences minimales en matière de mot de passe. 
  • Rappeler aux salariés de prendre des mesures pour sécuriser leur réseau wifi domestique afin d'empêcher tout accès non autorisé par des utilisateurs malveillants : utiliser un mot de passe fort ; s’assurer que le cryptage du routeur est activé ; désactiver la diffusion du nom du réseau wifi ; s’assurer que le pare-feu du routeur est activé ; utiliser un réseau privé virtuel (VPN). Les imprimantes connectées à des réseaux domestiques doivent également être protégées contre les hackers, en utilisant des mots de passe forts et en s'assurant que la version la plus récente du logiciel correspondant a été installée.
  • Désactiver les assistants virtuels (comme Google Assistant et Alexa d'Amazon) dans les pièces où les salariés ont des conversations et des appels professionnels pour éviter de déclencher accidentellement la fonction d'enregistrement de ces appareils.
  • Si possible, utiliser des numéros de conférence uniques pour les différentes réunions.
  • Ne pas jeter de documents chez soi tel quel et s'assurer de leur destruction préalable.
  • S’assurer que les salariés savent comment signaler tout incident de sécurité et que les équipes d'intervention de l’entreprise sont en mesure de réagir à distance en cas de violation de la sécurité des systèmes d’information et de violation des données à caractère personnel.


Ces recommandations ne doivent pas contredire les éventuelles politiques de sécurité existantes au sein de l’entreprise, et toutes ces mesures doivent être prises en accord avec le RSSI, le cas échéant.

Comments

Popular posts from this blog

CNIL’s sanctions against Google LLC and Google Ireland Limited and against Amazon Europe Core: summary and main findings

 On 10 December 2020, the CNIL made public two decisions regarding the use of cookies in breach of Article 82 of the French Loi Informatique et Libertés (the “LIL”), which transposes the ePrivacy Directive 2002/58/EC (“ePrivacy Directive”). The first sanction, against a Google LLC and Google Ireland Limited (together “ Google ”) was for a total amount of €100 million (€60m for Google LLC and €40m for Google Ireland Limited, or “GIL”). The other sanction was imposed on Amazon Europe Core (“ Amazon ”) for €35m.  Set out below is a summary of both decisions, with a specific focus on the arguments and reasoning relating to the CNIL’s competence to enforce the provisions of the LIL against Google and Amazon, which is the subject of substantial and interesting developments. The two decisions have a number of points in common, although some of the interesting nuances are noted in our summary.  1. Background In relation to Google, the CNIL conducted an online audit of google.fr on 16 March 20

Proposition de règlement sur les marchés numériques ou Digital Markets Act (« DMA ») et Proposition de règlement sur les services numériques ou Digital Services Act (« DSA ») : principales dispositions

La publication des propositions de règlements DMA et DSA intervenue le 15 décembre 2020 constitue une étape importante de l’ambitieuse réforme de l'espace numérique envisagée par la Commission européenne. Dans le cadre du processus législatif européen, ces propositions doivent maintenant être soumises à l’approbation du Parlement et du Conseil qui leur apporteront probablement des amendements. Le délai moyen pour l’adoption d'un règlement est de 18 mois mais peut être significativement allongé pour des textes très discutés ou controversés ce qui sera vraisemblablement le cas du DMA et du DSA, compte tenu de leur vaste champ d’application, de l’importance des acteurs concernés ainsi que des pouvoirs conséquents qu’ils prévoient de conférer à la Commission.  La présente note donne un aperçu de la structure et des principales obligations applicables aux " gatekeepers ", dans le cas de la DMA (Partie I) et aux fournisseurs de " intermediary services " en ligne,

CNIL’s decision against Google relating to the use of cookies: result of the appeal before the French Conseil d’Etat

On 4 March 2021, the French Conseil d’Etat rendered its decision in the Google vs CNIL case. As a reminder, on 7 December 2020, the CNIL imposed a sanction on Google LLC and Google Ireland Limited (together “ Google ”) for a total amount of 100 million euros for breach of Article 82 of the French Loi Informatique et Libertés (the “ LIL ”) relating to the use of cookies and other tracking technologies (Article 82 transposes Article 5.3 of the ePrivacy Directive). The CNIL found in particular that Google failed to obtain proper consent from data subjects, breached its information obligation and did not provide an efficient objection mechanism, in relation to the use of cookies. The CNIL also issued an injunction ordering Google to comply with article 82 of the LIL within three months, the CNIL being able to impose a €100 000 daily fine in case of non-compliance with such injunction. Google appealed the CNIL’s decision, by way of interim proceedings, in order to obtain the suspension