Cybersécurité et sécurisation des données : que peut-on imposer aux salariés ?
La sensibilisation des salariés à ces problématiques reste la priorité pour les entreprises, estiment nos experts.
Après la Commission européenne et le gouvernement fédéral canadien, la Maison Blanche a interdit à ses collaborateurs l’accès à l’application TikTok depuis les téléphones professionnels. La faute à des méthodes de « collecte de données qui donnent un accès considérable au contenu du téléphone », comme l’expliquait la présidente du ministère du Trésor canadien, Mona Fortier.
À une autre échelle et en tant qu’entreprise française, que peut-on imposer à ses salariés au nom de la protection des données et, plus largement, de la cybersécurité ? On fait le point avec Marie Le Mortellec, juriste droit des contrats et protection des données personnelles et Guénolé Carval, responsable de la sécurité des systèmes d’information, tous deux chez HelloWork.
Recommandation ou charte : déterminer la valeur d’une information
Les bons usages, un outil non coercitif
Une information donnée par un employeur n’aura pas la même valeur selon où elle figure. Marie Le Mortellec précise : « L’entreprise peut décider d’instaurer des bons usages, en mettant en avant des recommandations qu’elle affiche dans les bureaux ou salles de réunion par exemple. Alors, le salarié décide sciemment de respecter ou non ces recommandations. Mais on ne peut pas le pénaliser s’il ne le fait pas. » Au contraire, la charte informatique, parce qu’elle est signée par le salarié, doit être respectée sous peine de sanctions disciplinaires.
Des restrictions dans la limite du raisonnable
Face à ces deux possibilités, l’employeur pourrait être tenté d’imposer de nombreuses restrictions dans sa charte informatique. Or, Marie Le Mortellec prévient : « Une charte doit être basée sur des éléments tangibles, il faut que l’on puisse justifier de la décision en raison de risques. Le principe juridique de ‘’proportionnalité au but recherché’’ s’applique afin de garantir la liberté des salariés. » Dans le cas contraire, des salariés peuvent tout à fait dénoncer les interdictions abusives faites à travers les chartes.
Le téléphone personnel
Interdire non, encadrer oui
Un employeur ne peut pas interdire à un collaborateur d’utiliser son téléphone personnel sur son lieu de travail : ce serait une atteinte aux droits et aux libertés individuelles des personnes. « Il existe néanmoins deux exceptions, détaille Marie Le Mortellec. Dans certaines professions qui traitent des informations de type secret-défense (principalement des organisations gouvernementales). Et lorsque l’interdiction se fait pour garantir la sécurité des salariés, par exemple dans des professions manuelles avec usage de machines dangereuses. »
L’employeur peut toutefois recommander des bons usages sur la façon dont les salariés peuvent utiliser leur téléphone personnel ou bien encadrer ces usages à travers une charte informatique.
Empêcher de se connecter au réseau wifi
Au nom de la cybersécurité, un employeur peut tout à fait interdire à un collaborateur de se connecter, avec son téléphone personnel, au réseau wifi de l’entreprise. « On ne sait pas si son téléphone est sécurisé, a un anti-virus ou est infecté : il est donc légitime d’en interdire l’accès, détaille Guénolé Carval. Dans ce cas, l’entreprise peut mettre à disposition un réseau wifi public, qui doit être séparé de son système d’information, afin que, s’il y a un problème, il n’y ait pas de contamination. »
Les mails professionnels
« Il est préférable d’empêcher la consultation des mails professionnels sur le téléphone personnel, car on ne peut ni contrôler les usages ni sécuriser l’accès, recommande Marie Le Mortellec. Une entreprise peut configurer l’accès informatique de façon à ce qu’il ne soit pas possible pour le collaborateur d’accéder à son mail pro sur son téléphone personnel. Lorsqu’elle n’est pas en mesure de réaliser cela, l’entreprise peut interdire cet accès via sa charte informatique. »
Les outils professionnels
Réglementer les accès
Un employeur ne peut pas totalement interdire à un salarié d’avoir un usage personnel de ses outils professionnels (ordinateur, téléphone). En revanche, il peut très largement en réglementer l’utilisation : « Il n’y a quasiment pas de limite au fait d’installer des anti-virus ou des contrôles d’accès (à travers le filtrage de site par exemple). L’objectif est d’assurer la sécurité du système informatique, puisque le matériel professionnel est relié à celui-ci : un souci pourrait mettre l’entreprise à l’arrêt », détaille Marie Le Mortellec. Il est également possible de mettre à disposition une bibliothèque d’applications autorisées par l’entreprise : elles seraient les seules téléchargeables sur un outil professionnel.
Interdire la redirection des mails professionnels sur la boîte personnelle
De son côté, Guénolé Carval ajoute au sujet de la boîte mail professionnelle : « On est légitime à prendre des outils de mesure de la fréquence des envois, de la taille des messages ou encore d’interdire l’envoi de pièces-jointes volumineuses. On peut également interdire les campagnes de mail depuis une adresse professionnelle et même d’interdire la redirection des mails pro vers des boîtes perso. »
Contrôler les usages de l’outil professionnel
Il est possible de contrôler, a posteriori, les usages faits d’un outil professionnel. À condition que les collaborateurs soient prévenus de cette possibilité dans une charte ou dans la politique générale de l’entreprise. Ces contrôles (de courriel, de recherches internet, …) doivent rester légitimes : il s’agit de s’assurer qu’il n’y a rien d’illégal et pas d’utilisation abusive à un but personnel. Attention, si le salarié a clairement identifié un élément comme personnel (tel un dossier « perso » dans sa boîte mail professionnelle), l’employeur n’a pas le droit de le consulter sauf exceptions. Il peut y accéder si le salarié est présent au moment de la consultation ou s’il en a été avisé. C’est également le cas si cette consultation est « justifiée et proportionnée au but recherché » : s’il s’agit par exemple d’éviter que l’entreprise soit mise en cause pour des agissements privés du salarié pouvant nuire gravement à l’activité de l’entreprise (imaginons la détention d’images pédopornographiques ou la divulgation d’un secret industriel par email).
La nécessité de séparer les outils personnels et professionnels
S’adapter au télétravail en bonne intelligence
Le télétravail augmente les risques de faille de sécurité, notamment par la connexion à son wifi personnel. Pour Marie Le Mortellec, la bonne pratique consiste à éditer une charte sécurité spécifique au télétravail. Dans celle-ci, l’employeur peut prendre des mesures particulières comme l’utilisation d’un VPN avec authentification à deux facteurs, d’un pare-feu, etc. Et il peut également interdire l’utilisation des outils personnels pour le travail.
Car l’émergence du télétravail été accompagné du développement de la pratique BYOD : Bring Your Own Device (amenez votre propre matériel), soit le fait d’encourager les salariés à utiliser leurs outils personnels pour faire du télétravail. « C’est absolument déconseillé par l’Anssi (Agence nationale de la sécurité des systèmes informatiques) et toutes les instances qui prônent la sécurité des données et des systèmes informatiques », insiste Marie Le Mortellec.
Sensibiliser les collaborateurs : l’enjeu n°1 pour les entreprises
Si l’usage professionnel d’un outil personnel est à éviter, l’inverse est également problématique. « La majorité des problèmes de sécurité proviennent de l’usage personnel d’un outil informatique avec, en haut de la liste, la consultation de la boîte mail personnelle. Un simple mail de phishing contaminerait l’instrument sur lequel on s’est connecté : donc l’ordinateur professionnel et, potentiellement, le système d’information de l’entreprise », ajoute la juriste.
Quel que soit le cas de figure, les deux experts s’accordent à dire que la sensibilisation auprès des collaborateurs est l’enjeu numéro 1 des entreprises : « Avant d’imposer un nouvel usage qui balayerait une habitude, il faut accompagner les collaborateurs, avancer au fur et à mesure afin qu’ils comprennent les enjeux et acceptent ces nouveaux usages. »
Bien s’équiper pour bien recruter
