INTERVIEW – Alors que le télétravail doit redevenir la norme partout où c’est possible, Marie-Laure Denis, présidente de la Cnil alerte sur les enjeux de protection des données pour les salariés comme les entreprises.

A l’heure du télétravail généralisé, en plein reconfinement, les enjeux de protection des données à distance sont de plus en plus saillants. Marie-Laure Denis, présidente de la Cnil (Commission nationale de l’informatique et des libertés), livre à Challenges ses conseils pour protéger les données des entreprises, comme la vie privée des salariés.

Challenges – Quelles sont les règles en matière de respect de la vie privée du télétravailleur?

Marie-Laure Denis – L’employeur a un pouvoir de contrôle du salarié, y compris en télétravail, qui doit s’exercer dans une mesure raisonnable et proportionnée dans le respect de la vie privée des travailleurs. C’est ce que disent le code du travail et le RGPD. L’employeur a aussi une obligation de loyauté, c’est-à-dire qu’il doit informer le salarié des dispositifs de contrôle installés. Il est, par exemple, interdit de mettre en place des stratagèmes pour piéger les employés. Il est important de réfléchir aux impacts éthiques des outils de management, et que le télétravail soit mis en place dans un cadre de confiance.

Que signifie un contrôle proportionné, où est la limite pour l’employeur?

L’employeur ne peut pas placer le salarié sous surveillance constante, que ce soit par une webcam ou un micro, allumés en permanence. Ce serait excessif, a fortiori au domicile du salarié. De même, le partage permanent de l’écran, ou les enregistreurs de frappe sont invasifs et disproportionnés. Dernier exemple, en visioconférence, l’employeur ne peut pas imposer la diffusion et encore moins la captation de l’image : un salarié devra donc pouvoir s’y opposer, dans les conditions de l’article 21 du RGPD. Le principe de minimisation des données s’applique c’est-à-dire que l’employeur doit collecter le moins de données possible. A cet égard, iI vaut mieux privilégier un management par objectifs plutôt que par la surveillance du temps de travail. De manière générale, l’employeur a un pouvoir de contrôle légitime et d’accès à son patrimoine informationnel, mais il convient d’établir une ligne claire.

Quid des données de l’entreprise, comment les sécuriser en télétravail?

Si possible, l’entreprise doit établir une charte informatique. Il est aussi recommandé d’équiper le matériel de ses salariés en pare-feu et anti-virus, mettre en place un VPN pour sécuriser sa connexion et utiliser des protocoles permettant au salarié de s’identifier avant d’accéder aux serveurs de l’entreprise. Et les salariés ne doivent pas faire à la maison ce qu’ils ne feraient pas au bureau. Il faut notamment chiffrer sa connexion wifi, utiliser le VPN fourni et sécuriser son matériel. Il est aussi recommandé de définir des espaces de stockage professionnels et personnels bien distincts si le travailleur utilise son ordinateur personnel, pour que l’employeur n’accède qu’à des fichiers professionnels. La cybersécurité est une partie intégrante du RGPD. A noter que toute violation de données doit être signalée à la Cnil dans les 72 heures.

Est-ce que certains logiciels sont déconseillés pour la protection des données?

Nous ne faisons pas de « name and shame », mais nous recommandons d’utiliser les outils de visioconférence français et certifiés par l’Anssi autant que possible, c’est ce qu’il y a de plus sûr. La liste des points de vigilance à avoir en matière de cybersécurité est disponible sur notre site.

Mais travailleurs et entreprises sont-ils assez sensibilisés sur ces questions de protection des données?

Il y a sans doute un manque de formation. Les circonstances actuelles sont l’occasion de se poser les bonnes questions, c’est pour cela que nous organisons un évènement digital dédié le 9 novembre. Nous publions un guide des bonnes pratiques sur notre site, des conseils sur le télétravail et la collecte de données notamment. Il ne faut pas non plus hésiter à consulter le site de l’Anssi, ou du ministère de l’Économie. La Cnil traite aussi les plaintes et répond aux demandes de conseil. Enfin, dans le contexte actuel de recrudescence des actions malveillantes, il faut être particulièrement vigilant par rapport aux tentatives d’hameçonnage ou, par exemple, de « fraude au faux patron » [escroquerie visant à exploiter les failles des employés de grandes entreprises en se faisant passer pour le patron, NDLR].

Justement voyez-vous une hausse des demandes et plaintes sur ces questions ?

Environ 20% des plaintes que reçoit la Cnil concernent des sujets liés aux ressources humaines. Le nombre de saisines liées à la surveillance en télétravail est en légère hausse ces derniers temps, mais ce sont surtout les plaintes liées à d’autres types de surveillance comme la géolocalisation, la biométrie ou la vidéosurveillance au bureau qui ont augmenté de 15% sur les six derniers mois par rapport à la même période en 2019. Outre les plaintes nous recevons aussi plus de demandes de conseils, relatives à la gestion des données de santé et au télétravail. Le message essentiel, c’est que les outils de télétravail ne doivent pas altérer la confiance entre employeurs et salariés. Sans dialogue, il y a un risque d’incompréhension et donc de plainte. Il est très important que les outils soient transparents et, j’insiste, proportionnés.

Source : https://www.challenges.fr/entreprise/vie-de-bureau/teletravail-l-employeur-ne-peut-pas-placer-le-salarie-sous-surveillance-constante-rappelle-la-cnil_736005