15/05/20
Actualité Juridique par Me Richard Rondoux

 

Avec la propagation accrue du Covid-19 en France, qui nécessite de respecter la distanciation sociale, la plupart des employeurs ont dû prendre en urgence des mesures. L’une des principales mesures qui a été prise est le télétravail. Ce qui s’effectuait auparavant en physique, se passe désormais en ligne. Ainsi, les sociétés se voient forcées d’adopter de nouveaux outils (logiciels, plateformes, applications ou équipements informatiques) afin d’assurer la continuité de leurs activités, protéger leurs collaborateurs et rassurer leurs clients et partenaires.

Toutefois, celui-ci entraîne la collecte croissante de données personnelles d’où l’importance d’un rappel du droit applicable à la protection de ces données. En effet, les fonctionnalités offertes par ces différents outils présentent un impact certain sur la vie privée des salariés notamment car certaines plateformes de vidéoconférences permettent aux organisateurs de mesurer l’attention des participants en temps réel. D’autres permettent d’enregistrer les réunions, à savoir, à la fois la voix des participants, mais aussi leur visage capturé via leur webcam, ainsi que les écrans partagés par les différents intervenants.

Quels que soient la technologie, les outils et les prestataires tiers utilisés, les employeurs doivent garder à l’esprit le Règlement Général sur la Protection des données (RGPD), la loi informatique et Libertés ainsi que les dispositions de protection de la vie privée se trouvant dans le Code du travail. Par ailleurs, pour renforcer ces dispositions dans le cadre de lutte contre le Coronavirus, le Comité Européen de la Protection des données (CEPD) a rappelé dans un communiqué en mars dernier, que le responsable du traitement des données doit assurer la protection des données à caractère personnel qu’il traite. A ce titre, les entreprises doivent mettre en œuvre des actions spécifiques.

De manière générale, il faut savoir que la finalité du traitement doit être déterminée, explicite et légitime pour éviter que certaines sociétés collectent, même sans le vouloir, un volume important de données, sans avoir prédéfini une finalité précise. Le principe de proportionnalité est donc primordial.

D’autre part, le principe de transparence est indispensable en la matière.

L’information des collaborateurs doit être individuelle (Article 13 et 14 du RGPD). Ainsi, la politique de confidentialité applicable doit refléter l’évolution des pratiques des entreprises et informer sur les nouveaux traitements mis en place. Ces changements en fonction de leur importance doivent être clairement portés à l’attention des collaborateurs via un moyen de communication approprié (exemple : par mail).

L’information est également collective car l’information préalable du Comité social et économique est requise par le Code du travail (Article L2312-38 et L2312-8) concernant les traitements automatisés de gestion du personnel et toute modification de ceux-ci.

Néanmoins, la question principale reste celle d’assurer la continuité de la sécurité de l’ensemble des collaborateurs qui est en jeu avec cette collecte des données personnelles.

 

Quelles sont alors les « bonnes pratiques » ?

Il faut réaliser l’inventaire des activités des collaborateurs compatibles avec le « nomadisme numérique », dont le télétravail est une forme, pour documenter et mettre en place des procédures. Il existe trois principaux dispositifs de ce nomadisme :

  1. Le BYOD « Bring Your Own Device » : cet outil permet à l’organisme d’autoriser les accès depuis un terminal personnel du collaborateur. Il est facilement déployable et permet de répondre à des situations d’urgence telles que la survenance soudaine d’une pandémie.
  2. Le CYOD « Choose Your Own Device » : celui-ci permet à l’organisme de proposer à ses collaborateurs de choisir le matériel qu’ils souhaitent utiliser à des fins personnelles et professionnelles. Le collaborateur restera cependant le propriétaire du matériel qu’il choisit.
  3. Le COPE « Corporate Own, Personnaly Enable » : il permet à l’organisme de conserver le contrôle sur les outils qu’elle fournit à ses collaborateurs. Cette option permet à l’organisme d’avoir un total contrôle sur son parc informatique et de s’octroyer des accès administrateur sur le matériel.

De plus, les recommandations sur le « nomadisme numérique » de l’ANSSI (Autorité Nationale de Défense et de Sécurité des Systèmes d’informations) listent également des bonnes pratiques en matière de sécurisation des accès distants, de confidentialité et d’intégrité des données et d’authentification des utilisateurs.

Enfin, l’ensemble de ces dispositifs ne doit pas bien évidemment pas empêcher les entreprises à prendre les précautions nécessaires vis-à-vis de ses collaborateurs à savoir : informer les collaborateurs du passage en télétravail ; sensibiliser les équipes ; garantir le respect de la vie privée des collaborateurs ainsi que la droit à la déconnexion consacré par la Loi Travail n°2016-1088 du 8 août 2016 et le RGPD ; vérifier que le contrat de prestation informatique auquel ils ont recours est suffisamment encadré et communiquez avec les clients.

---

Maitre Richard Rondoux, Avocat au barreau de Paris et associé au Cabinet d'avocat BRG, demeure à votre disposition pour toute question concernant ce sujet.