Risques resultant du télétravail : quelle regulation par l’entreprise ?

Le contexte actuel de pandémie de COVID-19 a entraîné un recours massif par les employeurs au télétravail, c’est-à-dire le travail hors des locaux de l’entreprise (ou du lieu habituel de réalisation d’une mission), le plus souvent au domicile, en utilisant des outils numériques. Ce changement, en un temps record mais avec des moyens très souvent limités ou inadaptés, lui a valu d’être parfois requalifié pendant cette période inédite en « travail à domicile en mode forcé et dégradé ». Il conviendra d’éviter cet écueil dans le futur.

Concernant le contexte précité de pandémie, l’article L. 1222-11 du Code du travail prévoit une entorse au principe du volontariat en disposant  :

« En cas de circonstances exceptionnelles, notamment de menace d’épidémie, ou en cas de force majeure, la mise en œuvre du télétravail peut être considérée comme un aménagement du poste de travail rendu nécessaire pour permettre la continuité de l’activité de l’entreprise et garantir la protection des salariés. »

À l’issue de cette crise sanitaire, la tendance du télétravail va vraisemblablement se poursuivre  et s’ouvrir à une palette plus large de fonctions ; la pandémie aura agi comme catalyseur de l’accélération de cette évolution des pratiques professionnelles aux contours juridiques récemment assouplis .

Néanmoins, on a pu le constater, la pratique du télétravail doit alerter les entreprises : elle est source d’insécurités juridiques : atteinte au « patrimoine informationnel » de l’entreprise résultant ou pas d’actes de cybercriminalité, délicat respect du droit des données personnelles et de la vie privée des salariés, enjeux de droit social tel que le temps de travail, etc. Ces insécurités peuvent s’avérer préjudiciables tant à l’égard de l’employeur que des salariés. Ainsi, en dépit des derniers assouplissements, il reste essentiel de continuer à encadrer cette pratique afin de sécuriser au mieux les liens professionnels entre les parties prenantes.

DELCADE vous alerte sur certains points stratégiques afin de sécuriser et d’optimiser l’exercice du télétravail au sein de votre structure.

I.  PRÉSERVER LA SÉCURITÉ ET LE « PATRIMOINE INFORMATIONNEL » DE L’ENTREPRISE

 La protection du patrimoine informationnel (les données clients, données financières, données RH, stratégies commerciales et marketing, savoir-faire métiers, etc.) constitue un enjeu crucial pour toute entreprise, et peut être mise à mal dans nos économies hyper connectées lorsque l’environnement du poste de travail informatique, devenu domestique, échappe au contrôle des directions des systèmes d’information  (DSI) ; les risques de développement de la cybercriminalité pesant sur ces informations sont mis en lumière par la résurgence de tensions géopolitiques et les pratiques d’espionnage industriel.

Or, le télétravail exacerbe ces risques puisqu’il peut augmenter de manière exponentielle les possibilités d’atteinte (physique ou dématérialisée) aux outils numériques utilisés hors de l’entreprise, et dès lors à la disponibilité, l’intégrité et/ou la confidentialité (DIC) de ses données.

Le rôle central à jouer par l’entreprise se décline ici en trois étapes.

  1.  IDENTIFICATION DES RISQUES

Certains risques sont communs à toutes les hypothèses de télétravail (i.e. quelle que soit la nature de l’équipement utilisé), tels que :

  • risques physiques – vol, perte, dégradation, etc. – des outils portables ;
  • éventuel défaut d’habilitation/d’authentification de l’accès des salariés à distance ;
  • connexion à un réseau Internet non sécurisé (WiFi public par exemple) ; ou
  • absence probable de sauvegarde automatique et d’archivage.

D’autres sont spécifiques à la pratique du BYOD  (Bring Your Own Device), à savoir l’utilisation d’outils personnels à des fins professionnelles, facteur de difficultés supplémentaires. La complexité pour l’employeur de distinguer les contenus professionnels auquel il doit pouvoir accéder, des contenus personnels protégés par le secret des correspondances est accrue.

Rappelons que l’employeur est responsable de la confidentialité et de la sécurité des données personnelles de l’entreprise , et le fait que des outils personnels puissent être utilisés ne l’exonère naturellement pas de cette responsabilité ; les manquements à cette obligation sont notamment accrus par :

  • l’utilisation de l’équipement par plusieurs salariés (par exemple, un ordinateur familial) ;
  • l’absence de mesures de sécurité comparables à celles implémentées par l’employeur sur ses propres équipements (antivirus, pare-feu, filtres) ;
  • le défaut éventuel de mesures d’identification restreignant l’accès de l’équipement à ses seuls détenteurs ; et
  • le recours à des outils de visioconférences qui ne garantissent pas forcément le secret des correspondances, auquel sont soumis les « opérateurs de communication électroniques» au sens du Code des postes et communications électroniques.

Alors que l’employeur est légalement tenu de fournir aux salariés les moyens nécessaires à l’exécution des tâches professionnelles, il peut, notamment sur ce fondement, refuser purement et simplement le recours au BYOD.

  1. PROPOSITION DE MESURES DE GESTION DES RISQUES

Ces mesures, tout à la fois techniques et juridiques, doivent être proportionnelles aux risques encourus et justifiés au regard des intérêts légitimes de l’entreprise ; Elles peuvent consister par exemple en :

  • la modification de la gestion d’accès au(x) système(s) d’information de l’entreprise, afin d’habiliter les salariés pertinents à s’y connecter à distance ;
  • la possibilité d’effacer tout contenu professionnel à distance en cas de perte ou de vol de l’équipement utilisé ; ou
  • la validation au titre du BYOD des seuls appareils présentant des garanties de sécurité suffisantes ou l’interdiction pure et simple de son usage.
  1. FORMALISATION DES MESURES DANS UNE CHARTE INFORMATIQUE

Pour garantir le respect de ces mesures, il est impératif de les formaliser au sein d’une charte (existante ou à établir). A ce titre, si l’option de la charte informatique, prévoyant des règles générales et permanentes, est retenue pour garantir le respect de ces mesures et, le cas échéant, en sanctionner les manquements, celle-ci peut être annexée au Règlement Intérieur afin d’assoir sa force contraignante à l’égard des salariés. Si l’entreprise ne souhaite toutefois pas s’engager dans la mise en œuvre de cette procédure, reste la possibilité de formaliser ces règles dans une note de service, à tout le moins, à des fins didactiques pour alerter sur ces enjeux.

Les DSI devront veiller à actualiser leur politique de sécurité pour adapter notamment la gestion des habilitations des accès au système, les fonctions de renouvellement des mots de passe, l’effectivité des sauvegardes distantes, en lien avec l’obligation d’accountability du RGPD.

II.  PROTEGER LA VIE PRIVÉE ET LES DONNÉES PERSONNELLES DES SALARIÉS UTILISATEURS EN LIEN AVEC L’INTERET DE L’ENTREPRISE

 Par sa nature, le télétravail risque d’engendrer une immixtion de la sphère professionnelle dans la vie privée, dans des proportions significatives, avec des contours devenus flous de l’espace et du temps professionnel par rapport à ceux personnels. Cette distinction est pourtant structurante.

Le pouvoir de direction et de contrôle de l’employeur, qui continue à s’exercer lors du télétravail,ne doit pas pour autant porter atteinte à la vie privée des salariés. Toute restriction à la vie privée doit être strictement justifiée par la nature de la tâche à accomplir et proportionnée au but recherché (L. 1121-1 du Code du travail). Notamment, l’employeur ne doit pas pouvoir accéder à ou effacer à distance des éléments de nature privée stockées dans l’outil personnel (mais doit pouvoir accéder à ou effacer à distance des contenus de nature professionnelle, d’où l’importance d’établir une stricte délimitation entre ces deux catégories). Ces questions ne sont pas nouvelles, mais trouvent un terrain de prédilection s’agissant du télétravail et du BYOD.

Déjà réglementé en dehors du télétravail, celui-ci nécessite également un point d’attention et une vigilance accrue de l’employeur. En effet, le fait même de travailler de chez soi, ou plus généralement à distance,  risque de brouiller encore plus la frontière – déjà poreuse – entre vie professionnelle et vie personnelle du salarié. Une sensibilisation des salariés et des managers apparaît indispensable. Les outils de la négociation collective ou de la charte mise en place par l’employeur fixant les modalités d’exercice par le salarié de son droit à la déconnexion, doivent y participer.

III.  ENJEUX EN MATIÈRE DE DROIT SOCIAL

 Le recours au télétravail soulève par ailleurs un certain nombre de questions propres au droit du travail et à la sécurité sociale. Sans prétendre à l’exhaustivité, l’on retiendra qu’il s’agit principalement de déterminer comment le droit du travail peut appréhender la situation de télétravail.

Outre la question du droit à la déconnexion évoquée plus haut, on pense également aux questions liées à la sécurité et aux conditions de travail du salarié (aménagement, maintenance et sécurisation du poste du travail, prise en compte des accidents du travail voire des maladies professionnelles survenant au domicile du salarié, accidents et leur prise en charge lors des déplacements professionnels à partir du domicile, risque d’isolement, perte de motivation, décrochage de carrière, etc.), aux conditions de prise en charge des frais professionnels engagés dans le cadre de l’activité (dont l’employeur n’est pas exonéré), à l’indemnisation de sujétion du salarié dont le télétravail peut être vécu comme une contrainte, aux violations de confidentialité,…

C’est également la question du temps de travail qui doit faire l’objet d’une réflexion approfondie de la part de l’employeur. En effet, la situation de télétravail n’exonère pas l’employeur de son obligation générale de suivi du temps de travail de ses collaborateurs. Or, la question est centrale lors d’une organisation du travail à distance, précisément parce que le contrôle du temps de travail du salarié peut être plus difficile à appréhender que lorsque ce dernier se trouve dans les locaux de l’entreprise dans un collectif. Les enjeux sont importants au regard des nombreuses sanctions attachées au non-respect de la règlementation du travail, ainsi que du risque d’accomplissement d’heures supplémentaires incontrôlées…  Et là encore, l’employeur ne peut s’estimer immunisé contre ce risque face à ses cadres autonomes sous convention de « forfait jours ». 

SOLUTIONS POUR L’ENTREPRISE

  1. DANS UN PREMIER TEMPS: faire un diagnostic technique avec la DSI et déterminer notamment si le BYOD est autorisé (éventuellement sous certaines conditions) ou tout simplement interdit dans la structure. Cela aura des conséquences sur la manière dont le télétravail peut être exécuté, et sur la nature et les modalités des règles mises en œuvre pour protéger tout à la fois les salariés et l’entreprise.
  2. DANS UN SECOND TEMPS: déterminer un corpus de règles, selon les risques identifiés, en matière (I) de sécurité des données et de protection du patrimoine informationnel ; (II) de protection de la vie privée des salariés ; et (III) de droit social.
  3. DANS UN TROISIÈME TEMPS: compte tenu de l’urgence de fixer des règles dans ce contexte de pandémie, identifier le bon support pour formaliser ces règles,en associant les instances représentatives, soit au moyen d’un accord collectif, d’une charte informatique (ou d’un avenant à celle-ci), ou d’un autre document, puis  lui donner une valeur juridique certaine pour les rendre opposables aux salariés .

Le travail autour de ces trois points doit certes prendre en compte les contraintes liées à la pandémie de COVID-19 et l’aménagement nécessaire des conditions de travail des salariés, mais doit aussi s’inscrire dans une réflexion plus globale sur ce mode d’exercice professionnel au succès croissant, appelé à se développer davantage dans les années à venir, et auquel toute organisation sera confrontée tôt ou tard, et ce même si la période inédite que nous venons de traverser en a également démontré les limites.

Les équipes pluridisciplinaires de DELCADE proposent un accompagnement pour diagnostiquer les besoins de votre entreprise et vous aider à y apporter les réponses appropriées.

Isabelle GAVANON

Avocate associée - Contrats informatiques
Isabelle Gavanon assiste et aide ses clients à gérer les risques juridiques associés aux projets de transition numérique grâce à des techniques contractuelles (implémentations et projets informatiques, de communications électroniques, internet ...) et à l’optimisation du statut de données, informations et créations (conformité RGPD, open data, preuve électronique, identité numérique, bases de données/droit d’auteur et contrefaçon, etc.). Une forte activité contentieuse complète cette pratique de conseil.

Voir toutes ces publications

Julien TAYEG

Avocat associé - Droit du Travail & Droit Social
Avocat au barreau de Paris, puis de Bordeaux depuis 2006, Julien TAYEG a exercé durant 14 ans dans des cabinets de premier plan Français et anglo-saxons réputés pour leur pratique en droit social (Barthélmy/Capstan, Proskauer Rose, CMS Bureau Francis Lefebvre, …). Depuis 2013, Julien avait en charge la Direction et le développement du département Droit Social du bureau de Bordeaux de PwC société d’Avocats.

Julien est titulaire d’un DESS (Master 2) Droit et Pratique des Relations du Travail de l’université Paris 2-Panthéon Assas (2002) et du CAPA (2006). Il est également spécialiste en Droit du Travail et a la qualification de Solicitor au Royaume-Uni (non practising).

Voir toutes ces publications

Valentin LE MAREC

Avocat - Technologie de l’information
Valentin LE MAREC conseille et assiste ses clients dans tous leurs projets de transition et développement numériques, que ce soit en matière de protection des données (mise en conformité RGPD, gestion des cookies, précontentieux et contentieux CNIL, etc), de technologies innovantes (blockchain, intelligence artificielle) ou encore de valorisation de la propriété intellectuelle (droit d’auteur, marques, gestion des données).

Voir toutes ces publications
Échanger en live Contacts