Le 21 octobre dernier, le Centre d'études juridiques et économiques du numérique (Cejen) a organisé avec les étudiants du Master 2 Droit du numérique de l'Université Panthéon-Assas, dirigé par le professeur Jérôme Passa, un colloque sur le thème de la cybersécurité dans le contexte actuel de crise sanitaire.
Parmi les différents sujets abordés autour de cette problématique, l’un d’eux visait la cybersécurité dans le cadre du télétravail. A cette occasion, Amanda Dubarry, avocate à la Cour et au sein du cabinet Haas Avocats, est revenue sur le régime juridique du télétravail et a présenté les enjeux associés à ce mode d’exercice en termes de cybersécurité ainsi que les mesures techniques et organisationnelles de sécurité à mettre en œuvre pour prévenir les risques.
Télétravail : encadrement juridique
Selon l’article L.1222-9 et suivants du code du travail, le télétravail consiste en « toute forme d'organisation du travail dans laquelle un travail qui aurait également pu être exécuté dans les locaux de l'employeur est effectué par un salarié hors de ces locaux de façon volontaire en utilisant les technologies de l'information et de la communication ». Le texte considère donc comme télétravailleur tout salarié d’une entreprise qui télétravail, « soit dès l'embauche, soit ultérieurement ». Pour être légalement encadré, le télétravail doit être visé soit par un accord collectif ou par une charte, après avis du comité social et économique.
Par ailleurs, plusieurs obligations incombent à l’employeur : informer ses salariés de toute restriction relative à l’usage d’équipements informatiques, donner la priorité au salarié pour occuper un poste sans télétravail et organiser un retour d’expérience annuel.
Quid de l’utilisation de son matériel personnel
En télétravail, il n’est pas rare que les salariés utilisent leurs propres équipements informatiques pour effectuer leurs tâches professionnelles. Cette pratique est communément appelée « BYOD », abréviation anglaise pour « Bring Your Own Device ». Comprenez « apportez votre équipement personnel de communication ». A noter que l’employeur peut autoriser ou interdire les salariés à utiliser leur matériel personnel.
Cette pratique comporte des avantages comme des inconvénients. Elle permet un gain de temps d’environ une heure, une réduction des coûts d’achat de matériel et favorise l’innovation. Pour autant, elle augmente le risque d’atteinte à la sécurité des systèmes informatiques, induit un risque juridique en l’absence de législation établie et rend perméable les frontières entre vie privée et professionnelle.
Pour pallier l’absence d’un régime juridique spécifique au BYOD, ce dernier peut être appréhendé au regard du droit social, civil ou encore pénal. A titre d’exemple, s’agissant du droit social, conformément au respect de la vie privée, l’employeur ne peut pas accéder aux enregistrements personnels sur le téléphone de sa salariée, même pour justifier un licenciement (Cass. Soc, 23 mai 2012, n°10-23.521). En droit civil, en cas de dommage causé à un tiers dans le cadre du BYOD, c’est le principe de responsabilité du fait personnel qui s’applique, régi par l’article 1240 du code civil, tout comme celui de responsabilité du commettant du fait de son préposé personnel (article 1242 dudit code).
Quels risques cyber ?
Les cyberattaques peuvent provenir de trois sources différentes : d’une intervention du salarié, d’une introduction frauduleuse dans un système informatique ou d’une faille de sécurité technique.
Dans le premier cas, le hacker utilise différentes techniques pour soustraire au salarié, utilisateur de son matériel, ses identifiants. Il peut s’agir d’un hameçonnage, ou « phishing », de la création de faux sites malveillants ou encore de la « fraude au président », un faux ordre de virement international. Ce peut aussi être une introduction frauduleuse, de la part d’un salarié mécontent ou d’un tiers malveillant, dans un appareil externe, comme une clef USB ou un disque dur, afin d’atteindre le système informatique.
Enfin, il peut s’agir d’une faille de sécurité technique, quelle soit due à une mauvaise configuration ou à l’absence de VPN d’entreprise, à la non sensibilisation du personnel aux règles d’utilisation d’une boîte mail ou encore à l’absence de cloisonnement du réseau.
Bonnes pratiques techniques et organisationnelles
Si le salarié utilise ses équipements personnels par le personnel, des mesures techniques comme organisationnelles doivent être mises en place afin de limiter les risques de cyberattaques.
Pour ce qui est des mesures techniques, il s’agit notamment de veiller à authentifier et contrôler les accès aux systèmes informatiques, de sécuriser les postes, notamment en interdisant l’usage des périphériques USB et en chiffrant les données transitant par internet, et enfin de gérer le nomadisme,
D’un point de vue organisationnel, il est nécessaire de former les administrateurs, de sensibiliser les collaborateurs et de formaliser les règles de sécurité dans une documentation contractuelle qui peut être annexée au règlement intérieur.
