En situation de télétravail à l’étranger, le sujet de la sécurité des données et de la conformité au RGPD est un sujet souvent négligé en pratique. Cet article a donc pour vocation d'éclairer le cas des salariés à l'international mais également des collaborateurs en mission commerciale ou technique en dehors de l'UE.
1) Le contexte et les enjeux liés à la sécurité des données et RGPD en télétravail à l’étranger
En préambule, les règles qui vont s'imposer au télétravailleur dépendent en priorité :
- Du type de données auxquelles accèdent le télétravailleur : de type entreprises et/ou personnelles voire données personnelles sensibles
- Du propriétaire de la donnée : les données accédées sont-elles internes ou appartiennent-elles à des clients
-Idem pour les données personnelles si elles sont internes (des collaborateurs) ou externes de clients par exemple
- Du statut du collaborateur
Dans cet article, nous nous concentrerons sur l'exemple des salariés en télétravail à l'international.
2) Les bonnes pratiques de sécurisation des données et RGPD en télétravail à l'étranger
Dans le contexte du télétravail à l'étranger ou plus généralement de mobilité, l'utilisateur peut être amené à exercer sa mission dans tous types d'endroits : un coworking, un hôtel, un train, un avion etc... La sécurisation des données de l'entreprise repose donc d'abord sur la sécurisation technique du poste de travail du salarié à l’étranger et la sensibilisation de l’utilisateur lui-même. C'est LA brique qu'il faut sécuriser et ce, que la pratique du télétravail soit à 1km de la société ou 10 000 kms.
Voici les 10 préconisations techniques essentielles de sécurisation d'un poste nomade issues des recommandations ANSSI relatives au nomadisme :
1 - Chiffrement du disque dur ( ce qui empêchera toute compromission en cas de vol)
2 - Mot de passe fort
3 - Authentification forte
4 - Antivirus
5 - Firewall
6 - Accès au SI de l'entreprise par VPN chiffré/ Tunnel SSL
7 - Verrouillage automatique de session
8 - Mise à jour des applications
9 - Filtre de confidentialité
10 - Sensibilisation / formation des utilisateurs
La sensibilisation et formation de l'utilisateur est primordiale en complément des mécanismes techniques de sécurisation mis en œuvre. A ce titre, nous recommandons :
- La sensibilisation systématique des utilisateurs nomades aux meilleures pratiques(charte informatique interne)
- Consulter la page de l’Agence nationale de la Sécurité des systèmes d’information sur les “9 bonnes pratiques à destination des populations nomades”
3) Quelles règles d'entreprise s'appliquent pour la sécurité des données et RGPD en télétravail à l’étranger ?
En ce qui concerne les données d'entreprises/commerciales, les directives qui sont utilisées sont présentées dans le schéma ci-dessous
Ainsi, les données d'entreprise internes sont soumises à la PSSI de la société (Politique de Sécurité des Systèmes d'Information), sa charte voire l'ensemble des documents du SMSI (Système de Management de la Sécurité de l'Information) si ces documents existent.
Ces règles ne prévalent pas sur les contrats commerciaux qu'une entreprise A peut avoir établi avec un client, l'entreprise B. Dans ce cas là, le collaborateur de l'entreprise A doit se conformer au stipulations du contrat commercial établi avec l'entreprise B
4) Les bonnes pratiques en matière de RGPD en télétravail à l’étranger
Le RGPD est l'une des réglementations les plus strictes au monde en matière de protection des données. Bien que l'UE ne puisse pas imposer directement ses normes en dehors de ses frontières, les sociétés et les professionnels qui ciblent des clients ou des partenaires européens doivent tout de même respecter les normes élevées du RGPD. Cela peut entraîner des coûts et des défis supplémentaires en matière de conformité.
En synthèse, les règles RGPD qui s'appliquent sont les suivantes :
- Soit il n'y a pas de transferts de données au sens RGPD et les règles habituelles qui sont en vigueur au salarié et son entreprise restent applicables quel que soit le lieu de travail
- Soit il y a transfert de données, et les directives liées à ce transfert s'appliquent (en particulier le consentement explicite de la personne)
Le Comité européen de protection des données a récemment publié des lignes directrices sur la notion de transfert de données hors UE par lesquelles il donne une définition. Les orientations définissent trois critères cumulatifs pour déterminer s'il s'agit d'un transfert de données personnelles vers un pays tiers. Cela signifie que si un traitement répond à ces trois critères, il constitue un transfert au sens du chapitre V du RGPD.
Les trois critères sont les suivants :
1/ Un responsable du traitement ou un sous-traitant est soumis au RGPD pour le traitement donné.
2/ Le responsable du traitement ou ce sous-traitant ("exportateur") divulgue par transmission ou met autrement à la disposition d'un autre responsable du traitement, d'un responsable conjoint du traitement ou d'un sous-traitant ("importateur") des données à caractère personnel faisant l'objet de ce traitement.
3/ L'importateur se trouve dans un pays tiers ou est une organisation internationale, indépendamment du fait que cet importateur soit ou non soumis au RGPD en ce qui concerne le traitement donné conformément à l'article 3.
Ainsi, pour un télétravailleur salarié à l'international ou pour un salarié en mission, les critères 2 et 3 ne sont pas remplis puisque le responsable ou sous-traitant du traitement ne transmet pas à un autre responsable ou sous-traitant les données. Il n'y a pas de transfert de données . Cela n'exclut pas le respect des exigences RGPD de la société au regard de ses traitements de données et la sécurisation du poste de travail afférente des salariés.
Attention, le cas des freelances/indépendants à l’international ne rentre pas dans ce cadre. Les exigences liées au transfert de données et RGPD en télétravail à l’international s’appliquent pleinement s’il ne s’agit pas d’un salarié de l’entreprise.
En conclusion et sauf exception, les règles qui sont valables à un salarié qui décide de travailler en voyageant à l'international sont les mêmes que tout salarié de l'entreprise. Il est recommandé de veiller aux dispositions spécifiques des contrats commerciaux éventuels sur lesquels travaillerait le salarié et de bien veiller à sécuriser le poste de travail et sensibiliser le nomade digital salarié sur les usages et les risques avant le départ. Bon voyage !