La crise du corona a poussé les travailleurs à travailler en masse depuis leur domicile. Bien que l'on ne sache pas encore combien de temps durera la crise de Corona, le télétravail semble être une tendance constante.

Lorsque les employés font du télétravail, ils peuvent également avoir accès à des informations (sensibles) de l'entreprise. Les informations auxquelles les employés ont accès comprennent dans de nombreux cas des données à caractère personnel au sens de la réglementation relative à la protection de la vie privée (en particulier le règlement général sur la protection des données, également appelé GDPR). Cela crée de nombreux défis en matière de sécurité de l'information et de protection des données.

Considérez, par exemple, les situations suivantes (presque réalistes) :

• Un membre d'un service des ressources humaines vérifie les bulletins de salaire imprimés de certains employés en télétravail, puis les jette dans la boîte "papier et carton". En récupérant le papier et le carton, la boîte s'avère être mal fermée. Certaines des fiches de paie finissent dans la rue, permettant aux passants occasionnels de les consulter.

• Une employée du service marketing accède à la base de données CRM depuis son bureau à domicile. Elle demande si elle peut travailler depuis son pays d'origine, la Turquie, pendant les mois d'été. Toutefois, la Turquie n'est pas un pays offrant un niveau de protection adéquat en vertu du GDPR. Le télétravail depuis ce pays est-il possible ?

• Le directeur financier effectue les paiements depuis son bureau à domicile, avec un ordinateur privé et une connexion internet privée. Il est victime d'une cyberattaque.

L'employeur est-il obligé de prendre des mesures pour prévenir ou accommoder de telles situations lorsque les employés télétravaillent ?

La réponse à cette question est un oui catégorique.

Après tout, lorsque les télétravailleurs accèdent à des données personnelles (sensibles) à leur domicile, le GDPR s'applique. Et le GDPR impose aux employeurs de prendre des mesures techniques et organisationnelles pour sécuriser ces données personnelles. Ces mesures doivent protéger, par exemple, contre l'accès ou le traitement non autorisé, la perte et la corruption de données à caractère personnel.

Même si les informations auxquelles les employés ont accès ne contiennent pas de données personnelles (ce qui est irréaliste dans la pratique), il reste extrêmement important que les entreprises protègent leurs informations commercialement sensibles avec le plus grand soin.

Mesures techniques et organisationnelles

Le GDPR ne contient pas une liste de mesures techniques et organisationnelles que chaque employeur doit prendre. En effet, les mesures concrètes dépendent des risques et de l'ampleur du traitement, ainsi que du coût et de la faisabilité technique des mesures.

Par exemple, dans le cadre du télétravail, une entreprise peut prendre les mesures techniques et organisationnelles suivantes :

• Sensibilisation et formation du personnel ;
• Élaborez une politique de sécurité comportant des règles claires sur la manière de traiter les informations de l'entreprise dans le cadre du télétravail (par exemple, code de conduite sur l'utilisation de l'informatique, procédure de plainte, désignation d'un responsable de la sécurité informatique, etc ;)
• Sécurité du réseau (y compris lorsque les employés télétravaillent via une connexion VPN) ;
• Sécurité logique de l'accès aux ordinateurs et aux systèmes (codes, etc.).

Autres préoccupations

Outre les mesures organisationnelles et techniques que les employeurs doivent prendre en vertu du GDPR, il existe également d'autres préoccupations pour les employeurs du point de vue de la sécurité des informations.

Lorsque les télétravailleurs ont accès à des informations (sensibles) de l'entreprise et à des données personnelles à leur domicile, un employeur doit au moins poser les questions suivantes :

• Autorisons-nous les télétravailleurs à travailler dans des lieux autres que leur domicile (par exemple, des espaces de travail collaboratif, des cafés, des restaurants, des bibliothèques, etc.) Si oui, comment assurons-nous la sécurité des informations (par exemple, en n'utilisant pas une connexion Wi-Fi publique, en travaillant avec un écran de confidentialité, etc.)

• Les employés sont-ils autorisés à imprimer depuis leur domicile ? Si oui, que doivent faire les employés avec les documents imprimés contenant des informations sensibles (par exemple, utilisation de déchiqueteuses, directives concernant l'élimination des informations sensibles, etc.)

• Les employés sont-ils autorisés à travailler depuis l'étranger ? Que se passe-t-il s'il s'agit d'un pays situé en dehors de l'Espace économique européen qui ne dispose pas d'un niveau de protection adéquat en vertu du GDPR ? Qu'en est-il de l'impact potentiel sur la législation applicable en matière de sécurité sociale et de fiscalité ?

• Les employés sont-ils autorisés à emporter chez eux des dossiers papier contenant des informations sensibles sur l'entreprise ? Dans l'affirmative, doivent-ils conserver les dossiers papier dans un endroit spécial (afin que, par exemple, les membres de la famille ou les visiteurs n'y aient pas accès) ?

Il convient que les employeurs pensent à la sécurité de l'information en cas de télétravail et définissent des politiques appropriées. Cet exercice peut faire partie d'une politique globale d'information, qui s'applique également lorsque les employés travaillent au bureau. La manière dont les informations sont traitées en toute sécurité, ainsi que leur élimination ou leur destruction, devra constituer un aspect important de cette question (entre autres). Après tout, le déchiquetage à domicile pourrait devenir la"nouvelle norme" dans ce contexte.

Vous avez besoin de plus d'informations ? NKVK - La Chambre de commerce néerlandaise pour la Belgique et le Luxembourg est là pour des milliers de PME qui veulent faire des affaires (plus) internationales. Il est essentiel d'avoir une bonne connaissance du marché, de se familiariser avec la législation et de trouver les bons partenaires. Pour vous, un entretien sans engagement avec NKVK est le premier pas dans la bonne direction.