Cet article a été publié il y a 4 ans, il est donc possible qu'il ne soit plus à jour.
- Géolocalisation : pas pour les salariés disposant d'une liberté dans l'organisation de leur travail !
- Contrat de travail à temps partiel : attention à ne pas faire travailler le salarié au-delà de la durée légale hebdomadaire !
- Le contrat de travail à temps partiel est obligatoirement établi par écrit
- Le BOSS propose une nouvelle rubrique consacrée à la contribution formation professionnelle et à l’apprentissage
Dans le contexte de crise sanitaire liée au coronavirus, la CNIL a, dans un premier temps, rappelé quelques principes relatifs au traitement des données personnelles, notamment de santé, des salariés (voir notre actualité du 17 mars 2020).
Elle vient également de mettre en ligne des recommandations à destination des employeurs et des salariés dans le cadre du télétravail aujourd’hui en forte augmentation.
Dans le contexte du COVID-19, le télétravail est en effet une solution qui doit s'accompagner de mesures de sécurités renforcées pour garantir la sécurité des systèmes d'information et des données traitées.
Recommandations de la CNIL à destination des employeurs
Sécurisez votre système d’information :
- Éditez une charte de sécurité dans le cadre du télétravail ou, dans le contexte actuel, au moins un socle de règles minimales à respecter, et communiquez ce document à vos collaborateurs suivant votre règlement intérieur.
- Si vous devez modifier les règles de gestion de votre système d’information pour permettre le télétravail (changement des règles d'habilitation, accès des administrateurs à distance, etc.), mesurez les risques encourus et, au besoin, prenez les mesures nécessaires.
- Équipez tous les postes de travail de vos salariés au minimum d'un pare-feu, d'un antivirus et d'un outil de blocage de l'accès aux sites malveillants.
- Mettez en place un VPN pour éviter l'exposition directe de vos services sur internet, dès que cela est possible. Activez l'authentification du VPN à deux facteurs si c'est possible.
Si vos services sont sur internet :
- Utilisez des protocoles garantissant la confidentialité et l’authentification du serveur destinataire, par exemple HTTPS pour les sites web et SFTP pour le transfert de fichiers, en utilisant les versions les plus récentes de ces protocoles.
- Appliquez les derniers correctifs de sécurité aux équipements et logiciels utilisés (VPN, solution de bureau distant, messagerie, vidéoconférence etc.). Consultez régulièrement le bulletin d'actualité CERT-FR pour être prévenu des dernières vulnérabilités sur les logiciels et des moyens pour s'en prémunir.
- Mettez en œuvre des mécanismes d’authentification à double facteur sur les services accessibles à distance pour limiter les risques d'intrusions.
- Consultez régulièrement les journaux d’accès aux services accessibles à distance pour détecter des comportements suspects.
- Ne rendez pas directement accessibles les interfaces de serveurs non sécurisées. De manière générale, limitez le nombre de services mis à disposition au strict minimum pour réduire les risques d'attaques.
Recommandations de la CNIL à destination des télétravailleurs
Suivez les instructions de votre employeur :
- Si votre entreprise dispose d'une charte informatique dans le cadre du télétravail, prenez-en connaissance et appliquez-la rigoureusement.
- Ne faites pas en télétravail ce que vous ne feriez pas au bureau. Ayez une utilisation responsable et vigilante de vos équipements et accès professionnels, notamment sur votre navigation web, en veillant à bien séparer les usages professionnels et les usages personnels. Vous pouvez par exemple créer des comptes distincts si vous utilisez une même application pour ces deux sphères.
- Si votre entreprise dispose d'une charte informatique dans le cadre du télétravail, prenez-en connaissance et appliquez-la rigoureusement.
- Ne faites pas en télétravail ce que vous ne feriez pas au bureau. Ayez une utilisation responsable et vigilante de vos équipements et accès professionnels, notamment sur votre navigation web, en veillant à bien séparer les usages professionnels et les usages personnels. Vous pouvez par exemple créer des comptes distincts si vous utilisez une même application pour ces deux sphères.
Sécurisez votre connexion internet :
- Assurez-vous du bon paramétrage de votre box internet. Vérifiez son mot de passe d'accès administrateur, changez-le s’il est faible et mettez à jour son logiciel interne. Le site web de votre opérateur vous accompagnera dans la bonne mise en œuvre de ces étapes.
- Si vous utilisez le Wi-Fi, activez l'option de chiffrement WPA2 ou WPA3 avec un mot de passe long et complexe. Désactivez la fonction WPS et supprimez le Wi-Fi invité. Ne vous connectez qu'à des réseaux de confiance et évitez les accès partagés avec des tiers.
Favorisez l'usage d'équipements fournis et contrôlés par votre entreprise :
Si vous en avez la possibilité, utilisez autant que possible le VPN (Virtual Private Network ou réseau privé virtuel) mis à disposition par votre entreprise :
- Privilégiez l'échange de données à travers les stockages disponibles depuis le VPN plutôt que par la messagerie électronique ;
- Connectez-vous au moins une fois par jour au VPN pour appliquer les mises à jour ;
- Désactivez votre VPN seulement lorsque vous utilisez des services consommateurs de bande passante, comme le streaming vidéo, qui ne nécessitent pas de passer par le réseau de votre entreprise.
Si vous devez utiliser un ordinateur personnel, assurez-vous qu'il est suffisamment sécurisé :
Cela doit passer par :
- L'installation d'un antivirus et d'un pare-feu. Si vous êtes sur le système d'exploitation Windows 10, vérifiez l’état de vos systèmes de protection au moyen du centre de sécurité ;
- L'utilisation d'un compte personnel avec des droits limités, protégé par un mot de passe fort et non partagé avec d'autres personnes (par exemple avec d'autres membres de votre famille) et sur lequel les applications installées se limitent au strict nécessaire ;
- La mise à jour régulière du système d'exploitation et des logiciels utilisés, notamment le navigateur web et ses extensions ;
- Des sauvegardes régulières de votre travail de préférence sur les infrastructures de votre entreprise, si possible en activant une solution de sauvegarde automatique ;
- L'utilisation de mots de passe forts sur l'ensemble de vos services et l'activation de l'authentification à deux facteurs (clef d'authentification, jeton, SMS) dès que cela est proposé par le service. Les gestionnaires de mots de passe, par exemple les logiciels KeePass ou ZenyPass, vous permettront de sécuriser leur stockage et leur gestion.
Lire aussi : | CNIL
https://www.cnil.fr/fr/atom/14984
Lire aussi : ZenyPass, gestionnaire de mots de passe français open source
Votre coffre-fort de Mots de Passe: fini les mots de passe oubliés à réinitialiser, avec la connexion simplifiée ZenyPass pour remplir vos identifiants
La CNIL propose un outil pour créer rapidement des mots de passe robustes.
Communiquez en toute sécurité :
- Évitez de transmettre des données confidentielles via des services grand public de stockage, de partage de fichiers en ligne, d'édition collaborative ou via des messageries. À défaut, chiffrez les données avant de les transmettre et transmettez les clés de chiffrement via un canal de communication distinct (par exemple, communication du mot de passe par téléphone ou SMS). Des logiciels grand public permettent de chiffrer les données avec des algorithmes réputés fiables.
- Installez uniquement des applications autorisées par votre entreprise. Si votre entreprise ne propose pas de système de déploiement d'application, téléchargez celles-ci depuis les sites ou les magasins officiels des éditeurs.
- Privilégiez des outils de communication chiffrés de bout en bout, si votre entreprise ne vous fournit pas d’outil de communication sécurisé. Dans tous les cas, respectez toujours les instructions de votre employeur.
- Privilégiez les systèmes de visioconférence qui protègent la vie privée. Vérifiez les conditions d’utilisation de votre logiciel pour vous assurer que ces outils garantissent la confidentialité de vos données et ne les réutilisent pas pour d’autres finalités.
Soyez particulièrement vigilant sur les tentatives d'hameçonnage :
Les pirates profitent des périodes de crise ou de trouble pour inventer de nouvelles escroqueries et tirer profit de ces événements. Soyez vigilant à tout contact :
- De personnes que vous ne connaissez pas, surtout si elles vous invitent à cliquer sur des liens ou à ouvrir un fichier ;
- D'une personne connue vous envoyant une communication inhabituelle : essayez de vérifier cette information par un autre canal (téléphone, SMS, courriel);
- De personnes cherchant à créer un sentiment d'urgence ou de danger. Au besoin, utilisez un autre canal pour vérifier les informations communiquées, par exemple en effectuant une recherche sur internet.
En cas de doute, demandez de l'aide à votre directeur des systèmes d’information (DSI) ou votre responsable de la sécurité des systèmes informatiques (RSSI).
Retrouvez un modèle de note d'information pour vos salariés dans nos dossiers :
Découvrir aussi : Le télétravail Dossier synthèse
Toutes les réponses à vos questions concernant le télétravail dans votre entreprise, à portée de main dans un seul dossier complet Mettez-le en place rapidement grâce à tous les documents nécessaires inclus Soyez en règle : retrouvez dans ce dossier toutes les références légales et ne commettez aucune erreur lors de l'application du télétravail !
Découvrir aussi : Le coronavirus en RH et droit social Dossier synthèse
Utilisez les fiches pratiques classées par thème (Santé et sécurité, Droit social, RH) pour obtenir toutes les réponses à vos questions et vous informer sur les conséquences de l'épidémie au travail Soyez en règle, vérifiez quels sont vos droits et vos devoirs ainsi que ceux de vos salariés : masques, télétravail, vaccination ... Retrouvez tous les arrêtés, ordonnances et décrets dont vous pourrez avoir besoin