Dans le contexte de confinement lié à la pandémie, le gouvernement a imposé le télétravail comme étant le mode d’organisation du travail à mettre en œuvre dans les entreprises, dès lors que c’est possible. La survenue de la pandémie Covid-19 a obligé les entreprises et les salariés à mettre en œuvre cette organisation très rapidement et parfois sans réelle préparation technique, organisationnelle et sociale.
Défini comme « toute forme d’organisation du travail dans laquelle un travail qui aurait également pu être exécuté dans les locaux de l’employeur est effectué par un salarié hors de ces locaux de façon volontaire en utilisant les technologies de l’information et de la communication [1] » le télétravail apparaît comme la solution adaptée en cette période de confinement pour poursuivre l’activité économique déjà très impactée par la crise sanitaire.
L’employeur peut imposer cette organisation du travail dans des circonstances exceptionnelles lors de menace d’épidémie ou en cas de force majeure (article L. 1222-11 du Code du travail), y compris au sein des entreprises dans lesquelles le télétravail n’a pas été mis en place par accord collectif ou par charte de l’employeur ou encore par simple accord entre l’employeur et le salarié. Dans cette situation particulière, les formalités exigées pour le passage en télétravail seront réduites, bien que la mise en place d’un dispositif informationnel reste très fortement recommandée. Le décret n° 2016-151 du 11 février 2016 prévoit également les modalités de mise en œuvre du télétravail dans la fonction publique et la magistrature.
Le télétravail correspond à un aménagement des postes de travail pour permettre la continuité de l’activité de l’entreprise et garantir la protection des salariés. Aucun formalisme particulier n’est prévu par les textes ni pour l’employeur, ni pour le salarié. Si la France n’était pas des mieux placées en matière de télétravail contrairement aux pays scandinaves et anglo-saxons où il est jusqu’à trois fois plus fréquent [2], la situation a considérablement évoluée à la suite de la survenance de la pandémie liée au coronavirus [3].
Pour les employeurs et salariés qui n’étaient pas préparés à cette modalité de travail, de nombreuses questions doivent trouver des réponses comme par exemple la mise en œuvre du télétravail, à l’actualisation des plans de prévention, des chartes relatives à l’information et la formation des salariés. Le ministère chargé du Travail a précisé les modalités d’organisation du travail qui doivent être adaptées à la suite des décisions du Premier ministre rendues publiques le 14 mars 2020 et du Président de la République [4].
Il convient cependant de rappeler que le droit à la déconnexion consacré par la loi Travail n°2016-1088 du 8 aout 2016 doit être appliqué par les entreprises de plus de 50 salariés qui doivent mettre en place des « dispositifs de régulation de l’utilisation des outils numériques », lesquels doivent être particulièrement encadrées en cas de télétravail. Les entreprises devront ainsi mettre en œuvre des processus internes dédiés pour respecter ces mesures, en prévoyant par exemple des créneaux de « déconnexion » pour les sessions à distance.
Le télétravail face aux cyberattaques
A l’heure du covid 19, les cyberattaques massives se développent dans tous les secteurs d’activité y compris au niveau des hôpitaux. Par exemple, le 22 mars 2020, une partie des serveurs de l’Assistance publique-Hôpitaux de Paris (AP-HP) ont été bloqués à la suite d’une attaque par déni de services qui consiste à adresser des requêtes inutiles rendant inaccessibles les serveurs.
Ces actes de cybermalveillance sont en progression constante en cas de recours massifs au télétravail [5] avec notamment la contamination des systèmes de l’entreprise à partir de l’exploitation d’une faille de sécurité dans les appareils utilisés par les salariés. Les ordinateurs personnels auxquels les salariés peuvent avoir recours en situation de télétravail ne bénéficient pas toujours du même niveau de protection que ceux mis à disposition par l’employeur, notamment en raison de l’absence de proxy ou de mise à jour des anti-virus.
En effet, le développement du télétravail peut nuire aux systèmes d’information et de communication avec le transfert de données sensibles entre le travailleur posté à son domicile et le système d’information de son entreprise pourront être sécurisés via du chiffrement et tous les systèmes utilisés auront été mis à jour (OS, antivirus, clients de messagerie, plateformes déportées).
Il est important d’être vigilant et de mettre en place des mesures de sécurité informatique des postes de travail professionnels ou personnels utilisés à titre professionnel par les salariés. Dans ce contexte, il est indispensable d’adopter de bonnes pratiques [6] et notamment suivre les conseils de l’agence nationale de sécurité des systèmes d’information (ANSSI )[7]. Confidentialité, intégrité des données, authentification des utilisateurs, deviennent des enjeux renforcés et incontournables en situation de nomadisme numérique. Une contamination des systèmes de l’entreprise à partir de l’exploitation d’une faille de sécurité dans les appareils utilisés, une fuite ou une perte de données peuvent avoir des conséquences catastrophiques surtout en période critique l’ensemble de l’économie.
Dans les grandes entreprises, le responsable de sécurité des systèmes d’information (RSSI) prévoit généralement un plan de continuité d’activité intégrant les situations de travail à domicile, souvent à partir des machines de l’entreprise dotées de bonnes protections. Le transfert de données sensibles entre le travailleur posté à son domicile et le système d’information de son entreprise doivent être sécurisés via du chiffrement et tous les systèmes utilisés doivent être à jour (OS, antivirus, clients de messagerie, plateformes pro déportées).
Le guide sur le “nomadisme numérique” de l’ANSSI [8] présente des bonnes pratiques en matière de sécurisation des accès distants, de confidentialité et d’intégrité des données et d’authentification des utilisateurs. Les entreprises se voient dans la nécessité de mettre en place des mesures de sécurité adaptées et de mettre à jour leurs chartes de sécurité et autres documentations internes (par ex. celle spécifique au télétravail ou au BYOD).
La CNIL a aussi actualisé une fiche sur le BYOD (Bring your own device) [9] et a publié des lignes directrices sur le télétravail qui s’adressent directement aux salariés mais également aux employeurs, pour une sécurité adaptée.
En conclusion, il est urgent de renforcer les stratégies de prévention qui s’imposent particulièrement en période de crise sanitaire bouleversant les habitudes tant des entreprises que des particuliers ainsi d’une véritable politique publique coordonnées de lutte contre les cybermenaces. On le constate, le télétravail peut être une solution à la condition de ne pas négliger les risques qu’il induit y compris au niveau psychosocial, entre isolement et addiction.
Madame Myriam QUEMENER
Avocat général près Cour d’appel de Paris,
Docteur en droit.
- Article L. 1222-9 du Code du travail
- S.Thomas, Réflexion sur le télétravail : les partenaires sociaux rendent leurs conclusions, les courriers Lamy du CE, n°172 , juillet 2017
- Le télétravail : entre simplification et déceptions – Céline Leborgne-Ingelaere – Dalloz,JT 2020, n°228, p.26
- https://travail-emploi.gouv.fr/actualites/presse/communiques-de-presse/article/coronavirus-covid-19-et-monde-du-travail
- M. Quéméner, C. Wierre, Les cyberattaques à l’heure du coronavirus, Dalloz actualités, 21 mars 2020
- https://www.cybermalveillance.gouv.fr
- https://www.ssi.gouv.fr/administration/guide/partir-en-mission-avec-son-telephone-sa-tablette-ou-son-ordinateur-portable/
- https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/
- 9https://www.cnil.fr/fr/byod-quelles-sont-les-bonnes-pratiques