RGPD et télétravail : les bonnes pratiques

Publié le 09 mars 2021



Il ne s’agit pas ici d’entrer dans la mise en œuvre règlementaire du télétravail. Il s’agit de porter votre attention afin d’organiser le travail de vos salariés en toute sécurité pour vos données à caractère personnel.



Charte des bons usages du système d'information

RGPD et télétravail : les bonnes pratiques

Le cadre peut être posé par une charte informatique qui aura un sens plus large et que l’on peut appeler “charte des bons usages du système d’information”.

Cette charte concerne les ressources informatiques, les services internet, de messagerie et téléphoniques de votre entreprise ainsi que tout autre moyen de connexion à distance permettant d’accéder, via le réseau informatique, aux services de communication ou de traitement électronique interne ou externe, ainsi que les supports de données.





Bonnes pratiques en télétravail

Une fois ce cadre bâti, nous vous conseillons de porter votre attention sur la sensibilisation de votre personnel complétée de règles à définir.

Exemples de règles définies par certaines entreprises :

  • > Créer une identité numérique par salarié concerné par le télétravail
  • > Fournir un ordinateur portable et un téléphone portable sécurisés à chaque salarié
  • > Utiliser exceptionnellement et de manière très encadrée des supports de transport type clé USB
  • > Ne pas traiter, à domicile, de données dites sensibles au sens du RGPD (origines raciales ou ethniques, biométriques, génétiques, philosophiques, politiques, mœurs, religieuses, santé, syndicales) ou d’infractions
  • > Ne pas transporter à domicile de dossiers papiers contenant des données à caractère personnel
  • > Ne pas laisser de dossiers papiers sur votre bureau à domicile
  • > Signaler immédiatement à son responsable toute perte de données
  • > Sécuriser la connexion internet en modifiant le mot de passe d’accès à la box internet s’il est trop faible. En cas d’utilisation du Wi-Fi, activer l’option de chiffrement WPA2 ou WPA3 avec un mot de passe d’au moins 20 caractères et désactiver les fonctions WPS et Wi-Fi invité.

 

L’utilisation des équipements personnels par les salariés en télétravail

L’usage d’équipements informatiques personnels (téléphone portable, ordinateur, tablette etc.) est possible. Mais cet usage doit répondre au même niveau de sécurité et de confidentialité des traitements des données à caractère personnel que lors d’usage d’équipements professionnels.

D’ailleurs l’utilisation d’équipement personnel dans un contexte professionnel porte un nom spécifique : « BYOD ». Cet acronyme anglais signifie « Bring Your Own Device ». En français cette abréviation se traduit par « AVEC », soit « Apportez Votre Equipement personnel de Communication ».

Lorsqu’il y a emploi du BOYD, l’employeur reste responsable de la sécurité des données à caractère personnel de son entreprise, dès lors qu’il donne son autorisation à ce recours.

Attention, celui-ci n’aura pas le même libre accès aux données professionnelles présentes sur un équipement personnel, que sur un équipement professionnel.

Il faudra également veiller à définir le cadre d’utilisation des équipements personnels dans la charte informatique afin de respecter les bonnes règles :

  • > Installation d’un anti-virus et d’un pare-feu,
  • > Mise à jour régulière du système d’exploitation et des logiciels,
  • > Sauvegardes régulières du travail en cours,
  • > Utilisation de mots de passe forts,
  • > Utilisation d’un compte exclusif et protégé pour le contexte professionnel, non partagé avec d’autres personnes (membres de la famille etc.),
  • > Etc.

La mise en place du BOYD nécessite donc une longue réflexion.

Besoin d’un audit RGPD de votre entreprise pour savoir si vous respectez le cadre RGPD lors du télétravail ? Contactez AP3R Consulting, consultant RGPD à Angers et sa région !