Depuis le 17 mars 2020, date à laquelle la France est entrée en confinement, un grand nombre d’entreprises ont mis en place le télétravail, dans les conditions prévues par le Code du travail, lorsque cela était possible.
Dans le contexte de la crise sanitaire actuelle liée au COVID-19, le télétravail est une solution qui doit s’accompagner de mesures de sécurité renforcées pour garantir la sécurité des systèmes d’information et des données traitées.
Télétravail et sécurité des données par l’employeur
La Cnil a publié des conseils à l’attention des employeurs. Elle recommande aux entreprises ayant mis en place le télétravail :
- d’éditer une charte de sécurité dans le cadre du télétravail ou, dans le contexte actuel, au moins un socle de règles minimales à respecter et à communiquer aux salariés ;
- de s’assurer de l’installation d’un pare-feu, d’un anti-virus et d’un outil de blocage de l’accès aux sites malveillants sur l’ensemble des postes de travail des salariés ;
- de mettre en place un VPN afin d’éviter l’exposition directe des services de l’entreprise sur internet.
Que faire en cas d’utilisation par un salarié de son poste personnel pour travailler ?
Pour rappel, l’employeur est responsable de la sécurité des données à caractère personnel collectées en tant que responsable du traitement, y compris lorsqu’elles sont stockées sur des terminaux dont il n’a pas la maîtrise physique ou juridique, mais dont il a autorisé l’utilisation pour accéder aux ressources informatiques de l’entreprise.
L’employeur doit se prémunir des risques allant de l’atteinte ponctuelle à la disponibilité, l’intégrité et la confidentialité des données, à la compromission générale du système d’information de l’entreprise.
Dans une publication récente, la Cnil recommande aux entreprises :
- d’identifier les risques et les estimer en termes de gravité et de vraisemblance :
- de déterminer les mesures à mettre en œuvre et les formaliser dans une politique de sécurité :
- sensibilisation,
- autorisation préalable,
- contrôle de l’accès distant par un dispositif d’authentification, etc.
Que faire pour sécuriser les services proposés sur internet ?
La Cnil recommande aux entreprises ayant des services sur internet :
- d’utiliser des protocoles garantissant la confidentialité et l’authentification du serveur destinataire ;
- d’appliquer les derniers correctifs de sécurité aux équipements et logiciels utilisés ;
- de mettre en œuvre des mécanismes d’authentification à double facteur sur les services accessibles à distance afin de limiter les risques d’intrusion ;
- de consulter régulièrement les journaux d’accès aux services accessibles à distance, et ce afin de détecter les comportements suspects ;
- de veiller à ne pas rendre directement accessibles les interfaces de serveurs non sécurisées.
Pour aller plus loin, il est renvoyé aux recommandations de sécurité relatives aux réseaux Wi-Fi de l’ANSSI.
Télétravail et sécurité des données par les salariés
La Cnil a également publié des bonnes pratiques à suivre pour les salariés en télétravail. Elle recommande aux salariés :
- de prendre connaissance et d’appliquer la charte informatique dans le cadre du télétravail ;
- d’avoir une utilisation responsable des équipements et accès professionnels ;
- de renforcer le mot de passe d’accès à la connexion internet ;
- d’activer l’option de chiffrement WPA2 ou WPA3 avec un mot de passe long et complexe ;
- de désactiver la fonction WPS et de supprimer le Wi-Fi invité ;
- de veiller à se connecter uniquement à des réseaux de confiance et éviter les accès partagés avec des tiers ;
- d’utiliser le VPN mis à disposition par votre entreprise ;
- en cas d’utilisation d’un ordinateur personnel, de s’assurer que celui-ci est suffisamment sécurisé :
- antivirus, pare-feu ;
- mise à jour régulière du système d’exploitation et des logiciels utilisés ;
- sauvegardes régulières du travail effectué ;
- mot de passe complexe.
A noter que la Cnil propose un outil pour créer rapidement des mots de passe robustes.
- d’éviter de transmettre des données confidentielles via des services de partage de fichiers en ligne ;
- d’installer uniquement des applications autorisées par l’entreprise ;
- de privilégiez des outils de communication chiffrés de bout en bout ;
- de ne pas ouvrir de courriel de personnes que vous ne connaissez pas ;
- de privilégiez les systèmes de visioconférence protégeant la vie privée.
Sur ce point, la Cnil a publié très récemment des conseils pour l’utilisation des outils de visioconférence.
Il convient pour l’employeur de lire les conditions d’utilisation de l’application utilisée et de s’assurer d’utiliser une application garantissant la confidentialité des communications et qui n’utilise pas les données collectées (nom, prénom, données de contact, adresse IP, identifiant de l’appareil, cookies, etc.) pour d’autres finalités.
Voir notre vidéo « Télétravail et bonnes pratiques pour la sécurité des données »
sur la chaîne YouTube Lexing Alain Bensoussan – Avocats.
Emmanuel Walle
Oriane Maurice
Lexing Droit social numérique
(1) La Cnil a publié des conseils à l’attention des employeurs : Cnil, « Les conseils de la CNIL pour mettre en place du télétravail », 1 avril 2020.
(2) La Cnil a publié des bonnes pratiques à suivre : Cnil, « Salariés en télétravail : quelles sont les bonnes pratiques à suivre ? », 1 avril 2020.