Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
RGPD

Modèle de politique télétravail RGPD (2026)

Modèle de politique de télétravail RGPD 2026 : poste de travail, VPN, environnement physique, BYOD, gestion des incidents. Document formel prêt à adapter.

L’essentiel. Une politique de télétravail RGPD est le document formel qui fixe les règles de protection des données personnelles lorsque vos collaborateurs travaillent hors des locaux : sécurisation du poste, connexion VPN, environnement physique, encadrement du BYOD et gestion des incidents. Elle décline l’obligation de sécurité de l’article 32 dans le contexte du travail à distance. Le modèle ci-dessous est directement adaptable.

Le télétravail a fait sortir les données de l’entreprise du périmètre qu’elle maîtrisait. Un salarié qui traite des données clients depuis son domicile, sur son réseau, parfois sur son matériel personnel, échappe aux mesures de sécurité pensées pour le bureau. L’obligation de sécurité de l’article 32 ne s’arrête pourtant pas à la porte des locaux : elle suit la donnée partout où elle est traitée.

Dans ma pratique, je constate que les organisations ont souvent une charte informatique générale, mais rarement un document dédié au télétravail. Or les risques y sont spécifiques : réseau domestique non maîtrisé, écrans visibles par des tiers, matériel personnel, documents papier sortis de l’entreprise. Ce guide fournit une politique de télétravail RGPD complète et opposable, qui complète le guide pratique RGPD et télétravail.

Politique de télétravail, charte informatique : leur articulation

La charte informatique encadre l’usage des systèmes d’information dans leur ensemble. La politique de télétravail est un document plus ciblé, qui traite spécifiquement des risques liés au travail à distance. Les deux se complètent : la charte pose le cadre général, la politique de télétravail le décline pour un contexte à risque particulier.

Pour être opposable, la politique de télétravail gagne à être annexée au règlement intérieur ou intégrée à l’accord/charte de télétravail, et à être portée à la connaissance des salariés contre accusé de réception. Le guide pratique du télétravail RGPD détaille les enjeux ; le présent document fournit l’instrument normatif.

Le cadre légal

Deux obligations structurent la politique :

  • L’article 32 du RGPD impose au responsable de traitement de mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque — chiffrement, confidentialité, intégrité, disponibilité. Le télétravail modifie le risque : la mesure doit s’y adapter.
  • L’article 5(1)(f) pose le principe d’intégrité et de confidentialité : les données doivent être traitées de façon à garantir une sécurité appropriée, y compris contre l’accès non autorisé. Un écran laissé visible ou un poste non verrouillé au domicile viole ce principe.

S’y ajoute l’article 29, qui impose que toute personne agissant sous l’autorité du responsable ne traite les données que sur instruction — d’où l’importance d’une politique écrite qui donne ces instructions. En cas de manquement conduisant à une violation de données, l’absence de politique de télétravail affaiblit la démonstration de conformité (article 5(2)).

Modèle indicatif fourni à titre documentaire — ne constitue pas un conseil juridique. À adapter à votre contexte avant usage. Version 1.0 — 2 juillet 2026.

Modèle de politique de télétravail RGPD

POLITIQUE DE PROTECTION DES DONNÉES EN TÉLÉTRAVAIL [Nom de l’organisation] — Version [x.x] — Date : [jj/mm/aaaa] — Prochaine revue : [jj/mm/aaaa] Approuvée par : [Direction] — Contact référent : [DPO / DSI]

1. Objet et champ d’application

La présente politique fixe les règles de protection des données personnelles applicables à tout collaborateur traitant des données pour le compte de [organisation] en situation de télétravail, quel que soit le lieu (domicile, tiers-lieu, déplacement) et le matériel utilisé. Elle complète la charte informatique et s’impose à tout salarié, stagiaire ou intérimaire concerné.

2. Sécurisation du poste de travail

  • Utiliser en priorité le matériel fourni par l’organisation, configuré et maintenu par la DSI.
  • Maintenir le système et les logiciels à jour ; ne pas désactiver l’antivirus ni le pare-feu.
  • Verrouiller systématiquement la session en cas d’absence, même brève.
  • Ne pas installer de logiciel non autorisé ni utiliser de compte personnel pour un usage professionnel.
  • Chiffrer le disque du poste (chiffrement intégral activé et vérifié).
  • Interdire l’usage de supports amovibles non chiffrés.

3. Connexion et accès distant (VPN)

  • Accéder aux ressources internes exclusivement via le VPN de l’organisation.
  • Ne jamais se connecter aux systèmes professionnels via un réseau Wi-Fi public non sécurisé sans VPN.
  • Sécuriser le réseau domestique : modifier le mot de passe par défaut de la box, activer le chiffrement WPA2/WPA3.
  • Utiliser l’authentification forte (MFA) pour tous les accès sensibles.

4. Environnement physique de travail

  • Positionner l’écran de manière à empêcher toute lecture par un tiers (famille, colocataires, public).
  • Ne pas laisser de documents contenant des données personnelles sans surveillance ; les ranger hors de vue.
  • Utiliser un filtre de confidentialité en espace partagé ou en déplacement.
  • Ne pas passer d’appels traitant de données personnelles dans un lieu où ils peuvent être entendus.

5. Documents papier et impressions

  • Limiter au strict nécessaire l’impression et la sortie de documents hors des locaux (principe de minimisation).
  • Ne pas jeter de documents contenant des données personnelles dans une poubelle ordinaire ; les rapporter pour destruction sécurisée ou utiliser un destructeur.
  • Conserver les documents papier sous clé lorsqu’ils ne sont pas utilisés.

6. Matériel personnel (BYOD)

  • L’usage du matériel personnel est [interdit / autorisé uniquement dans le cadre défini ci-après].
  • Si autorisé : séparation des usages (conteneurisation / bureau virtuel), pas de stockage local des données professionnelles, chiffrement et verrouillage obligatoires, droit de l’organisation d’imposer des mesures de sécurité.
  • Interdiction de synchroniser des données professionnelles vers des services personnels de stockage en ligne.

7. Gestion des incidents

  • Signaler sans délai au référent [DPO / DSI] tout incident : perte ou vol de matériel, accès suspect, e-mail frauduleux, document égaré.
  • En cas de perte ou vol, l’organisation procède si possible à l’effacement à distance et au blocage des accès.
  • Tout incident est susceptible de constituer une violation de données à documenter au registre des violations.

8. Responsabilités et sanctions

  • Le collaborateur est responsable du respect de la présente politique sur son lieu de télétravail.
  • Le non-respect peut engager sa responsabilité disciplinaire, dans les conditions du règlement intérieur.
  • La DSI et le DPO accompagnent, contrôlent et font évoluer les mesures.

9. Entrée en vigueur et révision

Applicable à compter du [date]. Révisée au moins une fois par an ou en cas d’évolution des risques.

Je reconnais avoir pris connaissance de la présente politique — Nom, date, signature.

Les cinq risques spécifiques du télétravail

Risque Mesure clé de la politique
Réseau domestique non maîtrisé VPN obligatoire + Wi-Fi chiffré
Écran visible par des tiers Positionnement, filtre de confidentialité, verrouillage
Matériel personnel (BYOD) Interdiction ou conteneurisation stricte
Documents papier hors locaux Minimisation, rangement sous clé, destruction sécurisée
Perte / vol de matériel Chiffrement intégral + effacement à distance + signalement

Ces risques justifient un document dédié, car ils n’existent pas — ou pas dans la même intensité — dans les locaux de l’entreprise. La politique de télétravail est le vecteur par lequel le responsable de traitement démontre qu’il a adapté sa sécurité au contexte, conformément à l’article 32.

Le cas du BYOD : trancher clairement

Le « Bring Your Own Device » est le point le plus délicat. Deux options défendables :

  1. Interdiction — La plus protectrice. Seul le matériel fourni et administré par l’organisation traite des données professionnelles. C’est le choix que je recommande dès que les données sont sensibles.
  2. Encadrement strict — Si le BYOD est autorisé, il doit reposer sur une séparation des usages (conteneurisation, bureau virtuel, VDI) empêchant tout stockage local de données professionnelles, avec chiffrement et verrouillage imposés, et un droit de contrôle de l’organisation.

Ce qui n’est jamais défendable : laisser les collaborateurs utiliser librement leur matériel personnel sans aucun encadrement. C’est la porte ouverte à des données professionnelles dispersées sur des appareils non maîtrisés, ingérables en cas de demande d’accès ou de violation.

Pour déployer, faire signer et suivre l’acceptation d’une politique de télétravail sur l’ensemble des collaborateurs, et documenter les mesures de sécurité correspondantes, un logiciel RGPD permet de centraliser la preuve d’information et de rattacher ces mesures aux traitements concernés.

Déployer et faire vivre la politique

Un document non appliqué ne protège personne. Trois leviers assurent l’effectivité de la politique de télétravail :

  • La formation. La plupart des incidents en télétravail relèvent de l’erreur humaine, non de la malveillance : hameçonnage, écran laissé visible, envoi au mauvais destinataire. Une sensibilisation courte et concrète, rappelée périodiquement, réduit sensiblement le risque. La politique doit prévoir cette formation, pas seulement des règles.
  • L’outillage. Verrouillage automatique, chiffrement intégral, VPN configuré par défaut, filtres de confidentialité fournis : plus la sécurité est intégrée au poste, moins elle repose sur la discipline individuelle. Ce qui est automatique n’est pas oublié.
  • Le contrôle et la révision. Les usages et les outils évoluent (nouvelles applications, nouveaux services cloud, nouveaux tiers-lieux). Une révision annuelle, ou déclenchée par un changement d’outil ou un incident significatif, maintient la politique alignée sur la réalité du travail à distance.

Cette approche — règle écrite, outil qui la porte, formation qui l’ancre, révision qui l’actualise — est ce qui distingue une politique opposable d’un document classé sans suite. C’est aussi ce qui permet de démontrer, au titre de l’article 5(2), que la sécurité a été effectivement adaptée au contexte du télétravail.

Erreurs fréquentes

Erreur Conséquence
Aucun document dédié au télétravail Sécurité non adaptée au risque (art. 32)
BYOD toléré sans règle Données dispersées, incontrôlables
Politique non signée par les salariés Non opposable, preuve d’information absente
Oublier le papier et l’environnement physique Fuite par un canal non numérique
Pas de procédure d’incident Violation détectée et traitée trop tard
Politique jamais révisée Décalage avec les outils et les usages réels

FAQ

Une politique de télétravail RGPD est-elle obligatoire ?

Aucun article n’impose expressément un document nommé « politique de télétravail ». Mais l’article 32 impose des mesures de sécurité adaptées au risque, et le télétravail crée des risques spécifiques. En pratique, ce document est le moyen le plus efficace de démontrer que vous avez adapté votre sécurité au travail à distance — et de donner des instructions écrites à vos collaborateurs (article 29). Son absence fragilise votre conformité.

Peut-on interdire le télétravail sur matériel personnel ?

Oui. L’employeur peut légitimement imposer l’usage exclusif du matériel fourni pour traiter des données professionnelles, au nom de la sécurité. C’est même l’option la plus protectrice, particulièrement pour les données sensibles. Si le BYOD est autorisé, il doit être strictement encadré (conteneurisation, pas de stockage local, chiffrement, droit de contrôle).

La politique de télétravail remplace-t-elle la charte informatique ?

Non, elle la complète. La charte informatique encadre l’ensemble de l’usage des systèmes d’information ; la politique de télétravail décline ces règles pour le contexte spécifique du travail à distance. Une organisation qui pratique le télétravail gagne à disposer des deux documents, articulés.

Comment rendre la politique opposable aux salariés ?

En la portant formellement à leur connaissance et en conservant la preuve de cette information : annexion au règlement intérieur ou à l’accord de télétravail, diffusion contre accusé de réception ou signature. Sans preuve d’information, la politique perd sa portée disciplinaire et sa valeur probante en cas de contrôle.

Que faire en cas de perte ou de vol d’un ordinateur en télétravail ?

Le collaborateur signale immédiatement l’incident au référent. L’organisation bloque les accès et, si le poste est administré, procède à l’effacement à distance. Si le disque était chiffré et le matériel verrouillé, le risque pour les personnes est fortement réduit. L’incident doit être qualifié : s’il constitue une violation de données, il est inscrit au registre des violations et, le cas échéant, notifié à la CNIL.

Le télétravail depuis l’étranger pose-t-il un problème RGPD ?

Le lieu physique du télétravailleur ne constitue pas en soi un « transfert de données » au sens du RGPD lorsqu’il accède à distance à des systèmes situés dans l’EEE dans le cadre de son travail. Les précautions relèvent surtout de la sécurité (réseau non maîtrisé, juridiction locale, accès depuis un pays tiers). Si le travail depuis un pays tiers devient structurel, une analyse spécifique — proche d’une logique de transfert — s’impose.