La Cnil rappelle les bonnes pratiques à mettre en oeuvre dans le cadre du télétravail

La crise du Covid-19 a amené les entreprises à généraliser le télétravail. Les entreprises ne doivent cependant pas oublier que le télétravail implique le respect de règles strictes en matière de droit des données personnelles (RGPD).

L'urgence générée par la crise a pu excuser certains comportements. Le télétravail s'installant dans la durée, il est désormais temps pour les entreprises de se mettre en conformité. Au cours des mois de mars et d’avril, la Cnil a publié plusieurs recommandations concernant la pratique du télétravail. Les circonstances particulières liées à la crise sanitaire du Covid-19 ont en effet conduit un certain nombre de sociétés, qui ne disposaient pourtant pas des outils et matériels adaptés, à mettre en place le télétravail. En conséquence, une part non négligeable des salariés affectés travaille depuis son propre matériel informatique, souvent moins protégé que celui fourni par l’employeur.

La Cnil rappelle à ce titre la nécessité de mettre en place un cloisonnement des données utilisées dans un cadre professionnel. La pratique du télétravail sur un appareil personnel atténue en effet la barrière entre vie privée et vie professionnelle : les emails professionnels arrivent désormais directement sur l’ordinateur familial ou individuel, au côté des photos, vidéos et contenus personnels.

Dès lors, l’information des salariés et leur sensibilisation aux enjeux du télétravail est essentielle afin de garantir la sécurité des données traitées, leur confidentialité mais également les droits des salariés. Les recommandations de la Cnil insistent par ailleurs sur la sécurisation des équipements personnels utilisés à des fins professionnelles, notamment la mise en place d’un mot de passe renforcé. La Cnil recommande également que les données soient chiffrées et que les clés de chiffrement soient communiquées aux personnes concernées par un canal distinct. La situation actuelle soulève en effet la question de la sécurité des réseaux utilisés. La Cnil appelle à ce titre à éviter de transmettre des données confidentielles via des services grand public de stockage et de partage de fichiers en ligne, ou via des messageries.

De bonnes pratiques doivent être adoptées, notamment celles d’utiliser des protocoles garantissant la confidentialité et l’authentification des serveurs destinataires. Les salariés doivent par ailleurs être encouragés à appliquer les derniers correctifs de sécurité et à privilégier les mécanismes d’authentification à deux facteurs dans leur utilisation d’applications professionnelles.

Toute personne en télétravail doit également être informée des politiques de son employeur en matière de délai de conservation et d’accès aux données afin de permettre que les données dont l’accès est compartimenté ne soient pas transférées à des personnes n’ayant pas d’habilitation. Il est donc souhaitable d’anticiper la modification de la charte informatique de l’entreprise, en tenant compte de ce que le recours au télétravail est susceptible de perdurer pendant la période de déconfinement et par la suite.

Au-delà de la fourniture de matériel, une charte du télétravail adaptée permet également de proposer des recommandations en matière d’antivirus, de cryptage du wifi du domicile, de pratiques à adopter sur le matériel utilisé, etc. Les entreprises peuvent également saisir cette occasion pour mettre en place des solutions de bureaux distant et des VPN, dont certains, ou l’ensemble de leurs collaborateurs, pourront bénéficier.

Enfin, la Cnil a rappelé l’importance du choix d’un outil de téléconférence à même de protéger la confidentialité et la sécurité des échanges, ainsi que les données personnelles des participants. Parmi les outils plébiscités par les utilisateurs en télétravail, certains sont devenus des cibles de choix et on fait l’objet d’attaques massives ces derniers mois, donnant lieu à des ruptures de confidentialité. La Cnil rappelle à ce sujet qu’au 1er avril 2020, il existe un dispositif de visioconférence certifié par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Bien sûr, toutes ces transformations, lorsqu’elles donnent lieu à de nouveaux traitements de données ou lorsqu’elles modifient des traitements existants, doivent être documentées le cas échéant dans le registre des traitements de l’entreprise.