22 juin 2020
« Le télétravail désigne toute forme d’organisation du travail dans laquelle un travail qui aurait également pu être exécuté dans les locaux de l’employeur est effectué par un salarié hors de ces locaux de façon volontaire en utilisant les technologies de l’information et de la communication »1.
Dans le contexte d’urgence créé par la crise sanitaire, les entreprises ont dû s’équiper d’outils logiciels de télétravail sans évaluer ou encadrer leur mise en place, faute de temps.
Or, la mise en place de tels outils implique le respect de règles applicables non seulement en matière de droit du travail (détaillées dans notre guide dédié à ce sujet) mais également en matière de données personnelles.
La sécurité des systèmes d’information et le respect de la vie privée des salariés sont en effet des éléments clé de la mise en place des outils de télétravail.
Pour vous accompagner dans la mise en place ou la mise à niveau de vos outils logiciels de télétravail, nous vous proposons une méthodologie en deux étapes.
Les outils de télétravail impliquent des traitements de données personnelles des salariés de l’entreprise.
Conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (le RGPD), pour être licite, tout traitement de données doit être proportionné, c’est-à-dire respecter les principes suivants :
En pratique, l’employeur doit, pour chaque nouvel outil informatique, analyser les traitements de données personnelles impliqués par l’utilisation d’un tel outil afin de s’assurer de leur proportionnalité (Cf. Fiche F3). C’est l’un des aspects du principe de Privacy by Design.
Dans certains cas, le RGPD impose de documenter cette analyse.
Dans tous les autres cas, nous recommandons aux responsables de traitement de documenter également cette analyse à titre de bonne pratique.
Dans le cadre de sa prestation de service, le prestataire fournissant l’outil peut être amené à traiter des données personnelles de salariés de l’entreprise.
En fonction de la qualification des parties, plusieurs types de contrat encadrant les traitements de données effectués par le prestataire doivent être conclus conformément au RGPD.
En pratique, l’employeur doit analyser les traitements effectués par le prestataire fournissant l’outil afin de déterminer quel est son rôle et celui du prestataire dans le cadre du traitement de données personnelles en question et conclure le contrat adapté à la situation.
Attention : Certaines prestations de service peuvent impliquer la conduite de plusieurs traitements de données personnelles pour lesquels les parties n’ont pas toujours la même qualification. Dans ce cas, il convient de conclure autant de contrat relatif aux traitements de données personnelles qu’il y a de situation.
La prestation de services fournie par le prestataire et/ou l’utilisation des outils peuvent impliquer le transfert de données personnelles en dehors de l’Espace Economique Européen. C’est par exemple le cas si les données personnelles sont hébergées par le prestataire aux Etats-Unis ou en Russie.
Dans ce cas, le RGPD exige l’encadrement du transfert par la mise en place de garanties appropriées de manière à assurer que le niveau de protection des personnes concernées garanti par le RGPD ne soit pas compromis.
Pour ce faire, il existe plusieurs outils juridiques tels que la conclusion de Clauses Contractuelles Types de la Commission Européenne, l’adhésion au Privacy Shield en cas de transfert aux Etats-Unis, les décisions d’adéquation de la Commission Européenne, etc.
En pratique, en cas de transfert des données personnelles en dehors de l’EEE, il convient pour l’employeur d’encadrer le transfert via un des outils juridiques mis à sa disposition et le prévoir dans le contrat conclu avec le prestataire.
Conformément au RGPD, le responsable de traitement doit mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité des données personnelles adapté au risque.
Dans ses récentes recommandations en matière de télétravail, la CNIL indique que, si l’entreprise doit modifier les règles de gestion de son système d’information pour permettre le télétravail (changement des règles d’habilitation, accès des administrateurs à distance, etc.), il convient de mesurer les risques encourus et, au besoin, de prendre les mesures de sécurité nécessaires.
Dans le cadre de cette analyse, il convient pour l’employeur de vérifier que les mesures de sécurité mises en place par le prestataire sont suffisantes au titre du RGPD pour assurer la sécurité des données personnelles.
Il convient également de mobiliser le service informatique de l’entreprise pour mettre en œuvre les mesures de sécurité supplémentaires nécessaires en interne.
Conformément au RGPD et aux recommandations de la CNIL, les mesures techniques et organisationnelles prises par l’employeur doivent être documentées dans un document spécifique.
La CNIL a publié plusieurs contenus relatifs à la sécurité des données :
Cette étape est achevée lorsque l’employeur s’est assuré que :
Il convient alors de préparer ou mettre à jour la documentation associée aux traitements de données. C’est l’objet de l’Etape 2.
Conformément aux articles 13 et 14 du RGPD, les personnes concernées doivent recevoir une information complète, précise et transparente sur la façon dont leurs données personnelles sont utilisées.
L’employeur doit mettre en place au sein de l’entreprise une charte informatique dictant les modalités d’utilisation des ressources informatiques mises à disposition des salariés par l’employeur et notamment les mesures de sécurité et bonnes pratiques à suivre dans le cadre du télétravail.
Ainsi, il convient de vérifier que les traitements de données effectués lors de l’utilisation des outils de télétravail ont déjà fait l’objet d’une information (via la politique de confidentialité à destination des salariés par exemple).
A titre d’exemple, une charte informatique peut inclure les mesures de sécurité suivantes :
Si ce n’est pas le cas, la fourniture d’une notice d’information spécifique ou la mise à jour de la politique de confidentialité à destination des salariés est nécessaire.
L’employeur doit s’assurer que l’installation des outils en question dans l’environnement informatique de l’entreprise ne nécessite pas l’intégration de règles d’utilisation supplémentaires dans la charte informatique de l’entreprise et la modifier le cas échéant.
Conformément à l’article 30 du RGPD, le responsable du traitement doit tenir un registre des activités de traitement de données personnelles effectués sous sa responsabilité.
L’employeur doit s’assurer que les traitements de données personnelles sous-jacents à l’utilisation des outils et à l’organisation du télétravail ont déjà été prévus dans le registre de traitements de données et, à défaut, les y répertorier.
Conformément au RGPD, l’employeur doit mettre en place des processus internes permettant d’assurer la protection des données à tout moment.
Organiser les processus internes de l’entreprise implique notamment la rédaction et la mise en place des politiques suivantes :
Ces politiques peuvent nécessiter des mises à jour afin d’intégrer les contraintes et risques liés au télétravail.
Le consentement n’est pas une base légale envisageable pour les traitements de données relatifs au télétravail.
Pour rappel, Si un traitement de données peut reposer sur le recueil du consentement de la personne concernée, celui-ci n’est valable que s’il est notamment donné librement, ce que la CNIL estime ne pas être le cas dans le cadre de la relation employeur salarié en raison du lien de subordination existant.
Une AIPD est requise si le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.
L’évaluation d’un tel risque peut se faire de deux manières :
Le télétravail peut inciter l’employeur à installer des outils sur l’ordinateur de ses salariés dans le but de contrôler leur activité. Comme tout traitement de données personnelles, cette surveillance et les traitements en résultant doivent être proportionnés.
L’employeur peut contrôler et restreindre les outils informatiques mis à disposition de ses salariés (internet, messagerie, etc.) afin de limiter les risques d’abus d’une utilisation trop personnelle de ses outils (ex : consultation de sa messagerie personnelle, achats de produits en ligne, discussions sur les réseaux sociaux, etc.) mais ce contrôle ne doit pas être excessif ou illicite.
A ce titre, la CNIL pose les règles suivantes :
La question de la surveillance des salariés se pose d’autant plus lorsque l’employeur a préconisé l’utilisation du matériel informatique personnel du salarié (« Bring Your Own Device »).
Dans ce cas, la CNIL rappelle que l’employé ne peut pas prévoir de mesures ayant pour effet d’entraver l’utilisation d’un équipement (ordinateur ou smartphone) dans un usage privé, au motif que cet équipement est susceptible d’être utilisé pour accéder au système informatique de l’entreprise. De la même manière, un employeur ne peut accéder ou encore s’arroger le droit d’effacer à distance des éléments relevant de la vie privée stockés sur l’équipement en question.
Caractéristique du traitement objet de la sous-traitance : Objet, durée, finalités, types de données traitées, catégories de personnes concernées.
Les droits et obligations des parties et en particulier du sous-traitant qui (article 28 du RGPD) :
Conformément à l’article 26 du RGPD, l’accord conclu entre les responsables conjoints du traitement doit définir leurs obligations respectives afin de s’assurer du respect du RGPD.
A ce titre, il doit notamment prévoir le rôle de chaque responsable du traitement dans le cadre de :
Si besoin, l’accord peut désigner un des responsables conjoints comme point de contact pour les personnes concernées.
Nous recommandons également aux responsables conjoints du traitement d’insérer une description détaillée du traitement en question dans l’accord.
Nous recommandons aux parties à un contrat de partage de données personnelles de prévoir dans celui- ci :