Covid-19 et télétravail : la To-Do liste juridique du dirigeant

Par Gérard HAAS, Stéphane ASTIER et Florian PERRETIN

« Aux grands maux les grands remèdes » : avec la propagation du Coronavirus, ou « Covid-19 », bon nombre d’organisations ont dû prendre en urgence des mesures pour garantir la continuité de leurs activités tout en assurant la protection de leurs collaborateurs. Les plus préparées d’entre elles n’auront eu qu’à activer leurs Plans de continuité d'activité (PCA), incluant un scénario « Pandémie ». D’autres structures, moins préparées, doivent s’organiser dans l’urgence, souvent avec les moyens du bord et se posent la question suivante : comment organiser le télétravail ?

Voici une TO-DO List simple, de mesures à mettre en œuvre et de principes à prendre en compte pour faire face sereinement à cette situation de crise.

1. Télétravail, comment faire ?

La mise en place d’un dispositif de télétravail constitue, par nature, un moyen de réponse efficace pour réorganiser le travail en période exceptionnelle de pandémie.

Il consiste à ouvrir des accès à distance permettant à vos collaborateurs de se connecter au système d’information de votre structure depuis un accès sécurisé.

Il conviendra alors de choisir depuis quel terminal vous autorisez les connexions à distance – on parle alors de « nomadisme ».

Il existe trois principaux dispositifs de nomadisme qui présentent chacun leurs avantages et leurs inconvénients :

- Le BYOD (pour « Bring Your Own Device ») : l’organisme autorise les accès à distance depuis un terminal personnel du collaborateur (ex : son ordinateur portable, sa tablette, son smartphone…). Ce dispositif a pour avantage d’être facilement déployable et permet de répondre à des situations d’urgence telles que la survenance soudaine d’une pandémie. Malheureusement il présente aussi de nombreux défauts car il est très complexe pour la DSI de gérer ce parc informatique « personnel » : des vulnérabilités de sécurité présentes sur un ordinateur personnel pourraient constituer une porte d’entrée pour des cyber-délinquants. Vous l’aurez compris, ce dispositif requiert une vigilance toute particulière et des mesures préventives

- Le CYOD (pour : « Choose Your Own Device ») : grâce au CYOD, l’organisme propose à ses collaborateurs de choisir le matériel qu’ils souhaitent utiliser à des fins personnelles et professionnelles. Le collaborateur restera cependant le propriétaire du matériel qu’il choisit. Ce matériel est généralement paramétré en amont de la remise par la DSI qui pourra définir les métriques de sécurité adéquates via un programme de « MDM » (pour « Mobile Device Management »).

- Le COPE (pour « Corporate Own, Personnaly Enable ») : avec le COPE, l’organisme conserve le contrôle sur les outils qu’elle fournit à ses collaborateurs. La DSI choisira le matériel utilisé dans le cadre du nomadisme, et laissera la possibilité aux salariés d’utiliser ce matériel à des fins personnelles. Cette option permet à l’organisme d’avoir un total contrôle sur son parc informatique, et de s’octroyer des accès administrateur sur le matériel. Bien entendu le principal inconvénient reste le cout de mise en place et le respect de procédures internes parfois longues (de quelques jours à plusieurs semaines).

Au-delà de ces considérations techniques, il convient de garder à l’esprit que le télétravail connait un encadrement juridique spécifique. Tout d’abord, la mise en place de ce dispositif doit reposer sur au moins un des trois moyens juridiques suivants :

- L’accord collectif : certaines conventions de branche, accord d’entreprise, d’établissement ou de groupe peuvent prévoir les modalités dans lesquelles le dispositif de télétravail doit être mis en place.

- La Charte informatique élaborée par l’employeur : la mise en place d’un tel document nécessitera a minima l’avis du Comité Social Économique (CSE) s’il existe. Il est également recommandé de l’annexer au règlement intérieur, de dépôt au greffe du conseil de prud’hommes (cf. Article R1321-2 du Code du travail) et d’en informer l’inspection du travail (cf. Article L1321-4 du Code du travail). Une fois cette procédure respectée, la Charte informatique devra naturellement être portée à la connaissance des collaborateurs (cf. Article R1321-1 Code du travail).

- Un accord formé par tout moyen entre l’employeur et le salarié en cas de défaut d’accord collectif ou de charte informatique.

Notons à ce titre qu’en l’absence d’Accord collectif ou de Charte informatique prévoyant la mise en place d’un dispositif de télétravail, l’employeur peut, en principe, refuser tout demande de passage en télétravail formulée par un collaborateur sans avoir à motiver son refus.

De même, l’employeur n’est pas en mesure d’imposer le télétravail à ses collaborateur : le refus du collaborateur d’accepter un poste de télétravailleur n’est pas un motif de rupture du contrat de travail (cf. Article L1222-9 du Code du travail).

Cependant, dans des circonstances exceptionnelles, et notamment de menace d’épidémie telle que le Coronavirus, la mise en place d’un dispositif de télétravail peut être considérée comme un aménagement du poste de travail rendu nécessaire pour permettre la continuité de l’activité de l’entreprise et garantir la protection des salariés (cf. Article L1222-11 du Code du travail et Accord du 14 juin 2018 relatif au télétravail). Dans cette situation particulière, les formalités exigées pour le passage en télétravail seront réduites, bien que la mise en place d’un dispositif informationnel reste très fortement recommandée. Le Décret n° 2016-151 du 11 février 2016 prévoit également les modalités de mise en œuvre du télétravail dans la fonction publique et la magistrature.

2. Les 5 précautions à prendre

Lorsque votre structure décide de déclencher un dispositif de télétravail, certaines précautions devront être prises en amont. Voici les cinq grands principes à respecter lorsque vous déployer ce mécanisme en période de Coronavirus :

• Informez ses collaborateurs du passage en télétravail : il est essentiel pour l’employeur d’informer ses collaborateurs sur les modalités dans lesquelles vont être mis en place le télétravail ainsi que sur les consignes qui devront être respectées par chacun d’entre eux. Par exemple, il conviendra de préciser si le salarié est autorisé ou non à utiliser sa messagerie personnelle, s’il est autorisé ou non à télécharger des documents sur son espace disque personnel ou, à l’inverse, s’il ne doit rester que sur son « espace professionnel » accessible via VPN. Cette information devra prendre la forme d’une notice spécifique, voire d’un Guide BYOD à destination des collaborateurs.
• Sensibiliser vos équipes : outre l’encadrement des conduites à tenir via une notice ou une charte spécifique, il est également important de programmer des sessions de sensibilisation aux risques générés par le nomadisme.
• Garantissez le respect de la vie privée de vos collaborateurs ainsi que le droit à la déconnexion : consacré par la Loi Travail n°2016-1088 du 8 aout 2016, le droit à la déconnexion doit être tenu en respect par les entreprises de plus de 50 salariés. Il incombe à ces dernières de mettre en place des « dispositifs de régulation de l’utilisation des outils numériques », lesquels doivent être particulièrement encadrées par des dispositifs de télétravail. Les entreprises devront ainsi mettre en œuvre des processus internes dédiés pour respecter ces mesures, en prévoyant par exemple des créneaux de « déconnexion » pour les sessions à distance.
• Lorsque vous avez recours à un prestataire informatique pour mettre en place votre dispositif de télétravail, vérifiez que le contrat de prestation est suffisamment encadré : en effet bon nombre d’acteurs se font accompagner par des prestataires informatiques pour mettre en œuvre et paramétrer leurs sessions à distance, et particulièrement en temps de crise pandémique où chaque heure est comptée. Il conviendra cependant d’encadrer juridiquement les attentes de la structure en matière de disponibilité ou de sécurité des connexions à distance afin d’éviter toute mauvaise surprise et d’aménager sa propre responsabilité.
• Communiquez avec vos clients : dans le cadre de cette situation de crise, il est primordial d’informer ses clients ou utilisateurs des mesures de contournement prises pour maintenir votre activité, et des conséquences de ces mesures sur les niveaux de services que vous êtes en capacité de proposer. De surcroit ce devoir d’information est souvent encadré contractuellement et pourrait constituer une faute imputable à un acteur en cas de manquement à cette obligation.

3. Les pièges à éviter

La confiance n’exclue pas le contrôle. Partant de cette maxime, voici trois exemples de pièges à éviter :

• Délaisser sa cybersécurité : la mise en place de mesures de confinement et le déploiement des dispositifs de télétravail constituent une véritable aubaine pour les cyber-assaillants. Désorganisation de la structure, utilisation de devices « externes » à l’entreprise, paramétrage en urgence des accès, entretien et utilisation de la peur sont autant d’ingrédients explosifs qui, une fois combinés, constituent le parfait cocktail pour engager des actions de cybercriminalité de grande ampleur. C’est la raison pour laquelle une sensibilisation de ses salariés, un encadrement des pratiques et une sécurisation contractuelle des relations avec ses prestataires informatiques s’imposent a minima dans ces circonstances. La CNIL et l’ANSSI préconisent également la mise en place des mesures de sécurité suivantes :
  • Cloisonner les parties de l’outil personnel ayant vocation à être utilisées dans un cadre professionnel (création d’une « bulle de sécurité ») ;
  • Contrôler l’accès distant par un dispositif d’authentification robuste de l’utilisateur (si possible à l’aide d’un certificat électronique, d’une carte à puce, etc.)
  • Mettre en place des mesures de chiffrement des flux d’informations (VPN, HTTPS, etc.)
  • Prévoir une procédure en cas de panne/perte du terminal personnel (information de l’administrateur réseau, mise à disposition d’un équipement alternatif professionnel, effacement à distance des données professionnelles stockées sur le terminal personnel) ;
  • Exiger le respect de mesures de sécurité élémentaires telles que le verrouillage du terminal avec un mot de passe conforme aux bonnes pratiques et l’utilisation d’un antivirus à jour ;

Par ailleurs si vous êtes victime de ce type d’attaque, apprenez à réagir lors d'une faille de sécurité.

• Tracker ses salariés : attention dans le nomadisme à vouloir être plus royaliste que le roi en faisant preuve d’un excès de zèle en matière de sécurité informatique. En effet, sauf circonstances exceptionnelles liée à un fort impératif de sécurité, l’organisme ne sera en principe pas autorisé à mettre en place un dispositif de « keyloggers » permettant d’enregistrer à distance toutes les actions accomplies sur un ordinateur.
• Négliger ses traitements de données : traitements de données de santé, de données sensibles ou encore traitements de données hautement stratégiques doivent faire l’objet d’une vigilance accrue et se doivent être sujets à des mesures de sécurité spécifiques en matière de nomadisme. En tout état de cause, les éléments soumis au secret professionnel, secret médical ou encadrés contractuellement par des mesures similaires doivent faire l’objet d’accès restreints et sécurisés, notamment via des mesures de chiffrement.

******

Depuis plus de 20 ans, le Cabinet HAAS Avocats accompagne ses clients privés comme publics dans l’encadrement juridique des mesures dédiées à la sécurité et à la confidentialité des données. Ces prestations incluent la consolidation/mise à jour du « référentiel de sécurité », pouvant notamment comprendre la formalisation de nombreux documents essentiels à la gestion du risque informatique (Politique de Gestion des Incidents, Charte « Utilisateur des SI », Charte « Administrateur des SI », Politique d’habilitation, PCA/PRA etc.).

Pour tout renseignement complémentaire, cliquez ici.