Un petit point rapide de principes à prendre en compte pour faire face sereinement à cette situation de crise.
Télétravail, sur quel matériels ?
La mise en place d’un dispositif de télétravail constitue, par nature, un moyen de réponse efficace pour réorganiser le travail en période exceptionnelle de pandémie.
Il consiste entre autre à ouvrir des accès à distance permettant à vos collaborateurs de se connecter au système d’information de votre structure depuis un accès qui se veut sécurisé.
Il conviendra alors de choisir depuis quel terminal vous autorisez les connexions à distance on parle alors de « nomadisme »
On distingue trois principaux dispositifs de nomadisme qui présentent chacun leurs avantages et leurs inconvénients :
- Le BYOD (pour « Bring Your Own Device ») :
Vous autorisez les accès à distance depuis un terminal personnel du collaborateur (ex : son ordinateur portable, sa tablette, son smartphone…). Ce dispositif a pour avantage d’être facilement déployable et permet de répondre à des situations d’urgence (comme par exemple, la survenance soudaine d’une pandémie). Mais il présente aussi de nombreux défauts car il est très complexe pour la DSI de gérer ce parc informatique « personnel » ==> des vulnérabilités de sécurité présentes sur un ordinateur personnel pourraient constituer une porte d’entrée pour des cyber-délinquants. Vous l’aurez compris, ce dispositif requiert une vigilance toute particulière et des mesures préventives mais apporte dans le contexte d'urgence actuel une véritable souplesse.
- Le CYOD (pour : « Choose Your Own Device ») :
Avec cette solution de compromis, la direction informatique propose aux collaborateurs de choisir leur terminaux parmi une liste d’appareils préétablie. L’entreprise supporte les frais d’acquisition et d’entretien du matériel, conserve le contrôle des mises à jour et l’installation des applications. De son côté, le salarié bénéficie d’un matériel qui lui convient. Le CYOD n’induit pas pour autant le droit à l’utilisation personnelle de l’équipement. Cet aspect des choses doit faire l’objet d’une convention entre les deux parties.
- Le COPE (pour « Corporate Own, Personnaly Enable ») :
Dans cette configuration, les entreprises choisissent, acquièrent et configurent les équipements mobiles des collaborateurs. Afin de garantir un maximum de sécurité, nous préconisons la création de deux espaces différenciés et étanches sur le terminal, l’un dédié aux missions professionnelles, l’autre à l’usage personnel sur lequel l’entreprise n’exerce ni droit de regard ni contrôle.
Télétravail et juridique ?
Au-delà de ces considérations techniques, il convient de garder à l’esprit que le télétravail connait un encadrement juridique spécifique.
Tout d’abord, la mise en place de ce dispositif doit reposer sur au moins un des trois moyens juridiques suivants :
- L’accord collectif : certaines conventions, accord d’entreprise, d’établissement ou de groupe peuvent prévoir les modalités dans lesquelles le dispositif de télétravail doit être mis en place.
- La Charte informatique : la mise en place d’un tel document nécessitera a minima l’avis du Comité Social Économique (CSE) s’il existe. Il est également recommandé de l’annexer au règlement intérieur, d'effectuer un dépôt au greffe du conseil des prud’hommes (cf. Article R1321-2 du Code du travail) et d’en informer l’inspection du travail (cf. Article L1321-4 du Code du travail). Une fois cette procédure respectée, la Charte informatique devra naturellement être portée à la connaissance des collaborateurs (cf. Article R1321-1 Code du travail).
- Un accord formé par tout moyen entre l’employeur et le salarié en cas de défaut d’accord collectif ou de charte informatique.
Notons à ce titre qu’en l’absence d’Accord collectif ou de Charte informatique prévoyant la mise en place d’un dispositif de télétravail, l’employeur peut, en principe, refuser tout demande de passage en télétravail formulée par un collaborateur sans avoir à motiver son refus.
De même, l’employeur n’est pas en mesure d’imposer le télétravail à ses collaborateurs : le refus du collaborateur d’accepter un poste de télétravailleur n’est pas un motif de rupture du contrat de travail (cf. Article L1222-9 du Code du travail).
Cependant, dans des circonstances exceptionnelles, et notamment d’épidémie telle que le Coronavirus, la mise en place d’un dispositif de télétravail peut être considérée comme un aménagement du poste de travail rendu nécessaire pour permettre la continuité de l’activité de l’entreprise et garantir la protection des salariés (cf. Article L1222-11 du Code du travail et Accord du 14 juin 2018 relatif au télétravail). Dans cette situation particulière, les formalités exigées pour le passage en télétravail seront réduites, bien que la mise en place d’un dispositif informationnel reste très fortement recommandée.
Quelques précautions :
Lorsque vous décidez de déclencher un dispositif de télétravail, certaines précautions devront être prises en amont. Voici quelques grands principes à respecter lorsque vous déployer ce mécanisme en période de Coronavirus :
Informez ses collaborateurs du passage en télétravail : il est essentiel pour l’employeur d’informer ses collaborateurs sur les modalités dans lesquelles vont être mis en place le télétravail ainsi que sur les consignes qui devront être respectées par chacun d’entre eux.
Sensibiliser vos équipes : outre l’encadrement des conduites à tenir via une notice ou une charte spécifique, il est également important de sensibiliser aux risques générés par le nomadisme.
Garantissez le respect de la vie privée de vos collaborateurs ainsi que le droit à la déconnexion : consacré par la Loi Travail n°2016-1088 du 8 aout 2016, le droit à la déconnexion doit être tenu en respect par les entreprises de plus de 50 salariés. Il incombe à ces dernières de mettre en place des « dispositifs de régulation de l’utilisation des outils numériques », lesquels doivent être particulièrement encadrées par des dispositifs de télétravail. Les entreprises devront ainsi mettre en œuvre des processus internes dédiés pour respecter ces mesures, en prévoyant par exemple des créneaux de « déconnexion » pour les sessions à distance.
Communiquez avec vos clients : dans le cadre de cette situation de crise, il est primordial d’informer ses clients ou utilisateurs des mesures de contournement prises pour maintenir votre activité, et des conséquences de ces mesures sur les niveaux de services que vous êtes en capacité de proposer. De surcroit ce devoir d’information est souvent encadré contractuellement et pourrait constituer une faute imputable à un acteur en cas de manquement à cette obligation.
Les pièges à éviter
La confiance n’exclue pas le contrôle. Partant de cette maxime, voici trois exemples de pièges à éviter :
Délaisser la sécurité : la mise en place de mesures de confinement et le déploiement des dispositifs de télétravail constituent une véritable aubaine pour les cyber-assaillants. Désorganisation de la structure, utilisation de devices « externes » à l’entreprise, paramétrage en urgence des accès, entretien et utilisation de la peur sont autant d’ingrédients explosifs qui, une fois combinés, constituent le parfait cocktail pour engager des actions de cybercriminalité de grande ampleur. C’est la raison pour laquelle une sensibilisation de ses salariés, un encadrement des pratiques et une sécurisation des solutions déployées s’imposent a minima dans ces circonstances. Dans ce contexte, nous vous recommandons la mise en place des mesures de sécurité suivantes :
Cloisonner les parties de l’outil personnel ayant vocation à être utilisées dans un cadre professionnel (création d’une « bulle de sécurité ») ;
Contrôler l’accès distant par un dispositif d’authentification robuste de l’utilisateur (si possible à l’aide d’un certificat électronique, d’une carte à puce, etc.)
Mettre en place des mesures de chiffrement des flux d’informations (VPN, HTTPS, etc.)
Prévoir une procédure en cas de panne/perte du terminal personnel (remontée de l'information, mise à disposition d’un équipement alternatif professionnel, effacement à distance des données professionnelles stockées sur le terminal personnel) ;
Exiger le respect de mesures de sécurité élémentaires telles que le verrouillage du terminal avec un mot de passe conforme aux bonnes pratiques et l’utilisation d’un antivirus à jour, gestion documentaire pour rester conforme avec la politique de sauvegardes ...
Et comme toujours, pour tout renseignement complémentaire, n'hésitez pas : Contactez SPHERIS ! - contact@spheris.fr / 09 72 50 21 50