Dans un contexte urgent créé par la crise sanitaire de la Covid-19, les entreprises se sont adaptées et ont eu de plus en plus recours au télétravail afin de continuer leurs activités et éviter des pertes économiques.
Bien que le télétravail présente de nombreux points positifs pour beaucoup d’entreprises, ce nouveau mode de travail dans le contexte africain, n’est pas sans risques. Car le travail à distance, opéré sur internet, peut être préjudiciable tant pour l’employé que pour l’employeur. Cela peut donc créer un environnement particulièrement propice aux menaces de cyberattaques qui sont de plus en plus fréquentes en Afrique.
En Côte d’Ivoire, le télétravail a été consacré par l’ordonnance n° 2021-902 du 22 décembre 2021 modifiant la loi n° 2015-532 du 20 juillet 2015 portant Code du travail.
Conformément à l’article 16.6 de cette ordonnance, « le télétravail est un mode d’organisation ou de réalisation du travail. Le travail qui doit être réalisé par un salarié en principe dans les locaux de l’entreprise, sera réalisé hors de ces locaux. ».
Cependant avec le télétravail, le salarié va utiliser les technologies de l’information et de la communication pour travailler à distance. Il est alors appelé « télétravailleur ».
Le télétravail devra être formalisé par un contrat de travail ou un avenant au contrat de travail. »
Le salarié est donc amené à utiliser des outils technologiques pour exécuter son travail à distance. Or, la mise en place de ces outils implique le respect de règles applicables non seulement en matière de droit du travail, mais également en matière de la protection des données personnelles. La sécurité des systèmes d’information et le respect de la vie privée des salariés sont en effet des éléments dont il faut tenir compte dans la mise en place des outils de télétravail.
Cependant, si les réglementations, notamment celles relatives à la protection des données personnelles ne sont pas respectées, le télétravail peut ouvrir la porte à de nombreuses failles de sécurité, de violation de données, de la vie privée des salariés ou encore d’utilisation d’outils numériques pour accentuer la surveillance des salariés ; causant ainsi des conséquences préjudiciables aux salariés, ainsi qu’à l’entreprise.
Il apparait donc nécessaire pour les entreprises de faire face à un défi majeur en adoptant les bons réflexes et bonnes pratiques préventives permettant la sécurisation des données de l’entreprise en amont du projet de télétravail.
Ainsi, pour se prémunir des risques-cybers liés au télétravail, quels sont les bons réflexes à avoir lorsque d’une entreprise a recours au télétravail ? Quelles sont les règles à observer et les bonnes pratiques à adopter ?
Le télétravail peut constituer un risque élevé pour la sécurité des données personnelles.
Selon l’Agence Nationale (Française) de la Sécurité des Systèmes d’Information (ANSSI) un incident de sécurité est un évènement potentiel ou avéré pouvant porter atteinte à la disponibilité, la confidentialité ou l’intégrité des biens. Cet incident peut parfois entrainer une violation de données, à la fois accidentelle ou illicite, avec la destruction, la perte, l’altération, la divulgation non autorisée de données utilisées et traitées.
Et avec l’épidémie de Covid-19, ces failles ont entrainé une forte hausse d’incidents de sécurité informatique, touchant ainsi un bon nombre de responsables de traitement. En effet, plusieurs mauvaises pratiques sont à déplorer dès lors que le salarié est amené à exercer son activité en dehors de son lieu de travail. Parmi celles-ci : le recours à une connexion non sécurisée, le téléchargement d’applications ou de logiciels non autorisés et non sécurisés, etc. Le domicile du travailleur ne peut être considéré comme étant un lieu maitrisé, contrairement au lieu de travail.
Comment prévenir donc ces incidents de sécurité et les violations de données dans le cadre du télétravail ? quelles en sont les solutions ?
1/ Réaliser une analyse d’impact relative à la protection des données personnelles et ensuite mettre en place les moyens techniques et organisationnel adéquats
Afin de garantir un niveau optimal de sécurité au regard des traitements de données effectués au sein d’une entreprise, il est important d’observer un certain nombre de règles. Celles-ci doivent également être appliquées dans le cadre du télétravail.
Tout d’abord, l’entreprise doit identifier et analyser les risques les plus importants afin de procéder au traitement des données à caractère personnel sensibles et à l’usage d’une nouvelle technologie. Au regard de cette analyse, diverses actions pourraient être mises en œuvre pour protéger vos données. Parmi elles :
- La nécessité de sécuriser son système d’information
- La mise en place d’habilitation et limiter les accès au personnel concerné
- La nécessité de recourir à un VPN, permettant de sécuriser les connexions à distance
- Adopter une charte informatique au sein de votre entreprise.
Un autre point de vigilance doit être observé. Celui du recours à des outils susceptibles d’être soumis à la réalisation d’une Analyse d’Impact relative à la Protection des Données (AIPD). En effet, dès lors qu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, il est alors nécessaire de réaliser une analyse d’impact. Pour savoir si le traitement est concerné, celui-ci doit appartenir à la liste des cas pour lesquels une AIPD est obligatoire.
La mise en place de mesures de sécurité techniques est un moyen efficace pour limiter les risques. Il est néanmoins nécessaire de former les salariés.
2/ Sensibiliser les collaborateurs
Les salariés sont les premiers acteurs de leur sécurité. Et si le recours au télétravail est effectué de manière abrupte, il est essentiel de sensibiliser et former en amont les équipes aux enjeux liés au manque de sécurité. Il est donc nécessaire d’informer les collaborateurs sur les bons réflexes à avoir.
3/ S’assurer du respect des droits et libertés des salariés dans le cadre du télétravail
Le recours au télétravail a permis d’asseoir la place des nouvelles technologies au sein des nouvelles méthodes de travail. Mais des difficultés se posent pour l’employeur, concernant notamment la surveillance de leurs salariés à distance. De nombreuses dérives ont été constatées à plusieurs reprises, aussi bien au regard du droit du travail, que celui de la protection des données.
L’employeur se doit d’être vigilant au regard des droits de ses salariés, et notamment concernant la collecte de leurs données.
Dans le cas où l’employeur souhaiterait mettre en place des outils de surveillance ou de géolocalisation pour ses salariés, plusieurs règles doivent être respectées. Ces règles obéissent obligatoirement à priori au recours à une analyse d’impact comme mentionnée au point 1.
Le développement de l’usage des outils et le recours au télétravail ont suscité de nombreux intérêts au cours de ces dernières années en Afrique. L’application du télétravail dans le contexte Africain, nécessite une vigilance accrue afin de respecter les différentes règles relatives à la protection des données personnelles, qui elle-même parait nouvelle pour l’ensemble des assujettis, et aussi pour éviter les dérives qui pourraient en découler.
Pour la réalisation de votre Analyse d’Impact (AIPD) et la mise en conformité relative à la protection des données personnelles, veuillez contacter Groupe DPSE.