RGPD et télétravail : obligations de l'employeur

Selon le baromètre 2024 de Malakoff Humanis, 33 % des salariés français pratiquent le télétravail au moins un jour par semaine. Or la CNIL a rappelé dans son guide « Télétravail : bonnes pratiques à adopter » que ce mode d’organisation multiplie les points d’entrée pour les cyberattaques et les fuites de données. En 2023, 57 % des violations de données notifiées à la CNIL trouvaient leur origine — directement ou indirectement — dans un poste de travail distant. Si vous autorisez le télétravail dans votre entreprise sans avoir formalisé votre dispositif RGPD, vous cumulez un risque juridique et un risque opérationnel.

Le cadre juridique du télétravail face au RGPD

Le télétravail est régi en France par les Art. L.1222-9 à L.1222-11 du Code du travail, complétés par l’ANI du 26 novembre 2020. Ces textes encadrent la relation employeur-salarié, mais ils n’exonèrent en aucune façon l’entreprise de ses obligations au titre du RGPD. Le responsable de traitement reste l’employeur, et c’est à lui d’assurer la conformité quel que soit l’endroit depuis lequel ses salariés accèdent aux données.

Deux dispositions du RGPD sont centrales en situation de télétravail. L’Art. 5(1)(f) impose un traitement « garantissant une sécurité appropriée des données à caractère personnel » — c’est le principe d’intégrité et de confidentialité. L’Art. 32 le décline en exigeant des mesures techniques et organisationnelles appropriées au risque. Dans mon expérience de conseil, les entreprises qui ont simplement « transposé » leur politique de sécurité du bureau au domicile sans analyse spécifique du risque télétravail s’exposent à un constat de manquement lors d’un contrôle CNIL.

La CNIL a été explicite dans sa recommandation de juin 2023 : le télétravail constitue un traitement qui doit être inscrit au registre des activités de traitement avec ses propres mesures de sécurité, et non pas absorbé dans la fiche « gestion des salariés » de manière indistincte.

Les obligations de sécurité spécifiques au télétravail

Sécurisation du poste de travail distant

Le premier réflexe est de fournir au salarié un équipement professionnel configuré et verrouillé par la DSI. La CNIL, dans son guide sécurité des données personnelles (fiche n°9), recommande a minima : système d’exploitation à jour, antivirus activé, chiffrement intégral du disque dur (BitLocker ou FileVault), pare-feu local activé et verrouillage automatique de session après 10 minutes d’inactivité.

Le chiffrement du disque dur est devenu un standard incontournable. En cas de vol ou de perte de l’équipement, il conditionne directement votre analyse de notification de violation de données à la CNIL. Un ordinateur volé dont le disque est chiffré et dont la session est verrouillée présente un risque résiduel faible ; le même ordinateur sans chiffrement constitue une violation de données personnelles qu’il faudra notifier dans les 72 heures.

VPN et accès distants

L’accès aux ressources internes de l’entreprise depuis le domicile doit passer par un tunnel chiffré. Le VPN d’entreprise est la solution de référence, mais il ne suffit pas à lui seul : il doit être combiné à une authentification forte et à une politique d’accès par le moindre privilège.

Ayant travaillé 6 ans au sein de la DCSSI (devenue ANSSI), j’ai observé que les VPN mal configurés sont l’une des premières causes d’intrusion. Trois erreurs reviennent fréquemment : VPN ouvert en permanence sans authentification renforcée, absence de segmentation réseau (le salarié accède à tout le SI depuis son VPN), et absence de journalisation des connexions. Cette dernière est pourtant indispensable pour tracer l’origine d’un incident dans le cadre d’une procédure article 33 du RGPD.

Les approches Zero Trust s’imposent progressivement comme la réponse structurée à ces risques : chaque accès est authentifié, chiffré et contextualisé, quel que soit l’endroit où se trouve l’utilisateur.

Authentification forte : un passage obligé

Depuis la recommandation CNIL sur les mots de passe (délibération n°2022-100), l’authentification forte (MFA) est clairement attendue pour tout accès distant aux données personnelles. Dans le contexte du télétravail, c’est même la mesure la plus critique : le poste du salarié est exposé à un environnement non maîtrisé, et un simple vol de mot de passe par phishing suffit à ouvrir l’accès au SI complet si le MFA n’est pas en place.

Les autorités de contrôle européennes ont durci leur appréciation : plusieurs sanctions récentes mentionnent explicitement l’absence de MFA comme un manquement à l’Art. 32 du RGPD (voir notamment la délibération SAN-2024-009 de la CNIL).

BYOD et télétravail : le piège à éviter

Le « Bring Your Own Device » — utilisation par le salarié de son équipement personnel — est juridiquement permis, mais il faut l’encadrer de façon très stricte. Le problème fondamental du BYOD en télétravail, c’est que l’employeur perd la maîtrise du poste : pas de contrôle sur les logiciels installés, pas de possibilité de chiffrement systématique, difficulté à distinguer les données personnelles du salarié des données de l’entreprise.

La CNIL, dans sa fiche pratique BYOD, rappelle que l’employeur doit :

• Obtenir le consentement explicite du salarié à l’utilisation de son équipement personnel (il ne peut lui imposer)
• Mettre en place une solution de cloisonnement (containerisation) isolant l’espace professionnel des données personnelles
• Conserver la possibilité d’effacer à distance les seules données professionnelles en cas de perte ou de fin de contrat
• Assurer que l’usage professionnel ne porte pas atteinte à la vie privée du salarié

Dans la pratique, je recommande de réserver le BYOD aux cas marginaux (consultants occasionnels, stagiaires courts). Pour un dispositif de télétravail structurel, fournir un équipement professionnel reste la solution la plus sûre juridiquement et opérationnellement.

Encadrer le télétravail dans la charte informatique

La charte informatique doit comporter un volet dédié au télétravail. Sans ce document, l’employeur ne peut ni imposer les règles de sécurité, ni sanctionner leur non-respect. Les clauses essentielles à prévoir :

Périmètre d’utilisation. Interdire le stockage de fichiers professionnels sur le disque dur personnel du salarié, sur un cloud personnel (Dropbox, iCloud, Google Drive personnel) ou sur une messagerie privée. Tout document de travail doit rester dans les environnements validés par l’entreprise.

Environnement physique. Exiger la confidentialité de l’écran (pas de travail dans un lieu public sans filtre de confidentialité), le verrouillage systématique du poste lors des pauses et l’interdiction d’imprimer sur une imprimante domestique partagée.

Réseaux Wi-Fi. Interdire la connexion depuis un Wi-Fi public non sécurisé (gare, café, hôtel), imposer l’usage du VPN dès la connexion internet, et rappeler que le Wi-Fi personnel doit être chiffré (WPA2 minimum, WPA3 de préférence).

Outils autorisés. Lister explicitement les applications professionnelles autorisées en télétravail et interdire l’installation de logiciels non approuvés par la DSI. Un shadow IT incontrôlé est l’une des principales sources de fuite de données.

IA générative. Interdire la saisie de données personnelles ou confidentielles dans ChatGPT, Gemini, Claude ou tout autre outil d’IA générative non approuvé par l’entreprise. Cette clause est devenue incontournable depuis 2024.

Pour être opposable, la charte doit être annexée au règlement intérieur selon la procédure de l’Art. L.1321-4 du Code du travail (consultation du CSE, transmission à l’inspection du travail, dépôt au greffe). Sans cette formalité, elle n’aura qu’une valeur indicative.

La surveillance des salariés en télétravail : ce qui est permis

La CNIL a été claire à plusieurs reprises sur ce sujet : la généralisation du télétravail n’autorise pas une surveillance accrue du salarié. Les principes de proportionnalité (Art. L.1121-1 du Code du travail) et de transparence (Art. 13 du RGPD) continuent de s’appliquer pleinement.

Ce qui est permis : le suivi du temps de connexion au SI, la journalisation des accès aux applications professionnelles, les contrôles ciblés en cas d’incident, la pose d’un filtre antimalware et DLP sur le poste professionnel. La base légale est généralement l’intérêt légitime de l’employeur, qui doit être mis en balance avec les droits du salarié.

Ce qui est interdit ou fortement encadré : les logiciels de « keystroke monitoring » (surveillance continue des frappes clavier), les captures d’écran automatiques périodiques, le contrôle de la webcam du salarié à son insu, et plus largement tout outil de surveillance permanente et granulaire. La CNIL a sanctionné plusieurs employeurs pour surveillance disproportionnée (notamment la délibération CNIL du 15 mars 2022 contre un éditeur logiciel américain, 250 000 € d’amende).

La règle d’or : tout dispositif de contrôle doit être porté à la connaissance du salarié avant sa mise en œuvre, décrit dans la charte, inscrit au registre des traitements et faire l’objet d’une analyse d’impact si les risques pour les droits et libertés sont élevés.

RGPD et outils de visioconférence en télétravail

Les outils de visioconférence — Zoom, Microsoft Teams, Google Workspace, Webex — collectent et traitent des données personnelles (identité, voix, image, métadonnées de connexion). Leur usage en télétravail soulève trois questions RGPD spécifiques.

Qualification du fournisseur. L’éditeur est sous-traitant RGPD au sens de l’Art. 28 du RGPD. Il faut un contrat DPA en bonne et due forme, précisant les mesures de sécurité, les durées de conservation et les modalités de transfert hors UE.

Transferts internationaux. La majorité de ces outils ont leurs maisons-mères aux États-Unis. Depuis l’adoption du Data Privacy Framework (DPF) en juillet 2023, les transferts sont facilités pour les fournisseurs certifiés, mais l’entreprise doit vérifier chaque année la validité de la certification du fournisseur et mettre en place des clauses contractuelles types en complément.

Enregistrement des réunions. L’enregistrement systématique d’une réunion est un traitement à part entière. Il requiert une information préalable (Art. 13 du RGPD), une base légale adaptée, et ne peut se justifier que par un besoin documenté (traçabilité réglementaire, formation). L’enregistrement à l’insu des participants est prohibé.

Les droits des salariés en télétravail

Trois droits méritent une attention particulière dans le contexte du télétravail.

Le droit à la déconnexion est consacré par l’Art. L.2242-17 du Code du travail. Il impose à l’employeur de définir des plages horaires pendant lesquelles les salariés ne sont pas tenus de répondre aux sollicitations professionnelles. Ce droit n’est pas stricto sensu un droit RGPD, mais il conditionne la légitimité des traitements liés au télétravail (notification push hors horaires, journalisation des connexions nocturnes).

Le droit à la vie privée au domicile impose des limites strictes aux dispositifs de surveillance. La Cour de cassation rappelle régulièrement que le domicile du salarié, même utilisé pour le télétravail, reste protégé par l’Art. 9 du Code civil. Une caméra braquée sur le poste de travail à domicile serait illégale.

Les droits RGPD classiques (accès, rectification, effacement) s’appliquent naturellement aux données collectées en télétravail. Le salarié peut demander copie des journaux de connexion le concernant, des captures d’écran éventuellement réalisées, ou des enregistrements de visioconférence. L’entreprise doit être en mesure d’y répondre dans le délai d’un mois (Art. 12 du RGPD).

Incident en télétravail : la procédure à activer

Les incidents en télétravail — vol de matériel, compromission d’un compte, perte d’un support USB — nécessitent une procédure réactive. La notification violation de données à la CNIL doit intervenir dans les 72 heures à compter de la connaissance de l’incident, et les personnes concernées doivent être informées si le risque pour leurs droits est élevé.

Un télétravailleur doit savoir : à qui signaler un incident (DPO, responsable sécurité), dans quel délai (immédiatement), par quels moyens (hotline, email sécurisé dédié). Cette procédure doit faire partie intégrante du programme de sensibilisation à la sécurité et être documentée dans la charte.

Pour les entreprises multinationales, la question de l’autorité de contrôle chef de file se pose : en cas d’incident affectant des salariés dans plusieurs États membres, c’est l’autorité du pays d’établissement principal du responsable de traitement qui pilote la procédure (Art. 56 du RGPD).

Ce qu’il faut retenir

• Le télétravail n’exonère pas l’employeur de ses obligations RGPD : il doit être inscrit au registre des traitements avec ses propres mesures de sécurité.
• Les mesures techniques minimales incluent le chiffrement des postes, un VPN avec authentification forte, une segmentation réseau et une politique de mise à jour systématique.
• La charte informatique doit comporter un volet télétravail opposable (annexé au règlement intérieur) couvrant périmètre, environnement, outils autorisés et IA générative.
• La surveillance des télétravailleurs reste soumise aux principes de proportionnalité et de transparence : keystroke monitoring et surveillance webcam sont interdits.
• Les incidents en télétravail doivent être notifiés à la CNIL dans les 72 heures. Le chiffrement du poste conditionne directement le risque résiduel et donc l’obligation de notification.

FAQ

Le télétravail doit-il faire l’objet d’une analyse d’impact (AIPD) ?

Pas systématiquement. L’AIPD est obligatoire lorsque le traitement présente un risque élevé pour les droits et libertés (Art. 35 du RGPD). Un dispositif de télétravail classique avec VPN, authentification forte et équipement professionnel ne déclenche généralement pas cette obligation. En revanche, si vous combinez télétravail et surveillance poussée (keystroke logging, monitoring comportemental, géolocalisation des appareils), une AIPD devient indispensable. La CNIL a d’ailleurs inscrit la « surveillance systématique des salariés » sur sa liste des traitements nécessitant une AIPD.

Peut-on imposer le BYOD en télétravail ?

Non. L’employeur ne peut pas imposer l’usage de l’équipement personnel du salarié pour des raisons liées à la vie privée (Art. 9 du Code civil) et aux obligations de sécurité (il doit fournir les moyens de travail). Si le salarié accepte le BYOD, l’employeur doit obtenir son consentement formalisé, mettre en place une solution de cloisonnement et prévoir la possibilité d’effacer à distance les seules données professionnelles. Dans la pratique, un équipement professionnel dédié est toujours préférable.

Le salarié en télétravail peut-il utiliser ChatGPT pour son travail ?

Uniquement si l’entreprise l’a explicitement autorisé et encadré par une politique d’usage. La CNIL et le Contrôleur européen de la protection des données ont alerté à plusieurs reprises sur les risques de fuite de données personnelles via les prompts envoyés à ces outils. La charte informatique doit lister les outils d’IA autorisés, interdire la saisie de données personnelles ou confidentielles dans les outils non approuvés, et prévoir une procédure de validation par le DPO avant tout nouvel usage.

Qui est responsable en cas de violation de données depuis le domicile du salarié ?

La responsabilité RGPD reste celle de l’employeur, en tant que responsable de traitement. Le salarié peut engager sa responsabilité disciplinaire si l’incident résulte d’un manquement à la charte informatique dûment opposée, voire sa responsabilité pénale en cas de négligence grave (Art. 226-17 du Code pénal). Mais vis-à-vis de la CNIL et des personnes concernées, c’est bien l’employeur qui répondra du manquement et des éventuelles sanctions RGPD, jusqu’à 4 % du chiffre d’affaires mondial ou 20 millions d’euros.