Le Home Office suppose que le salarié quitte parfois l’environnement sécurisé, organisé et contrôlé de l’entreprise. À la direction de prendre les mesures techniques et organisationnelles qui s’imposent au cas par cas, afin de garantir la sécurité des données de l’entreprise.
Pour une PME, il peut être difficile d’assurer le même niveau de sécurité lorsque les salariés travaillent en Home Office ou sur site, à commencer par la question de l’accès aux informations et aux dispositifs. À la maison, le poste de travail est possiblement accessible aux membres de la famille ou aux visiteurs. L’ordinateur utilisé par le salarié est aussi parfois utilisé par d’autres personnes de la cellule familiale, d’autant plus que l’entreprise a opté pour la stratégie du BYOD (Bring your own Device), ce qui signifie que les données de l’entreprise atterrissent sur l’ordinateur personnel, la tablette ou le smartphone du travailleur.
Que peut faire l’entreprise pour faire face à cette situation particulière et assurer la sécurité de ses données ? Les cinq conseils suivants s’adressent précisément aux entreprises qui ont adopté ou souhaitent mettre en place le Home Office avec leurs salariés.
Ces derniers trouveront quant à eux des conseils adaptés à leur situation dans notre article « 5 précautions quand on travaille à la maison».
1. Rédaction d’une charte sur le Home Office
Pour commencer, l’entreprise doit impérativement formaliser les modalités du Home Office et se doter d'un document qui réglemente la manière dont les travailleurs doivent se comporter lorsque la confidentialité, l’intégrité et la disponibilité des données de l’entreprise sont en jeu. Ce document, qui peut prendre la forme d'une charte ou être intégré dans le règlement intérieur de l’entreprise, doit naturellement être porté à la connaissance des salariés. Les points à formaliser doivent être les suivants (liste non exhaustive) :
- les aspects généraux, tels que la réglementation du temps de travail, le temps de réaction, les outils de travail, les mesures de sécurité, la sauvegarde, la protection et la communication des données, les canaux de communication, le droit d’accès au Home Office, le transport des informations et des dispositifs, les autorisations, etc.
- le comportement et les mesures à suivre en situation de crise : si de nombreux salariés travaillent en Home Office et que les canaux de communication habituels sont provisoirement défaillants ou limités, le flux de travail peut en pâtir et la crise peut être plus difficile à surmonter.
Pour une mise en place réussie de cette charte, il est indispensable de procéder à des activités de sensibilisation, de formation et de contrôle adaptées.
2. Gestion de l’infrastructure du Home Office et de la connexion au réseau de l’entreprise
L’infrastructure du Home Office doit faire l’objet de mesures de sécurité appropriées. Celles-ci doivent inclure notamment la gestion des mises à jour informatiques, de l’antivirus, du pare-feu, des systèmes d’exploitation avec plusieurs comptes utilisateurs, le chiffrement des données, etc. L’entreprise doit, par le biais de son service informatique et du responsable de la sécurité, aider et conseiller les salariés qui pratiquent le Home Office pour la sécurisation de leurs appareils. En particulier, il convient de veiller à ce que la connexion entre les appareils utilisés en Home Office et le réseau de l’entreprise soit bien sécurisée, notamment via un VPN avec authentification à deux facteurs ou une connexion Remote Desktop chiffrée.
3. Transport des dossiers et des supports de stockage de données
Le Home Office suppose inévitablement que des documents, des supports de données et des appareils informatiques soient transportés du site de l’entreprise au domicile du salarié. Or, pendant le transport, ces dispositifs et ces données sont susceptibles d’être détournés, consultés et/ou manipulés par des personnes non autorisées, ce qui comporte un risque de perte accidentelle de données parfois confidentielles. Voici donc les points à prendre en compte :
- Les dispositifs et appareils de l’entreprise, ainsi que les supports de stockage de données et les documents papier doivent, autant que faire se peut, être transportés directement de l’entreprise au domicile.
- Dans le cas de données ou d’informations particulièrement sensibles, le supérieur du salarié en Home Office doit être mis au courant et autoriser a personne à les transporter. Toute la procédure doit être documentée. L’idéal est que les dossiers ou dispositifs contenant des données sensibles soient transportés et conservés dans des contenants verrouillables (comme un porte-documents par exemple).
4. Accès à des informations concernant la société par des tiers
Lorsque les tâches à effectuer en Home Office prévoient de traiter ou de conserver des informations sensibles, celles-ci doivent être traitées avec les précautions adéquates. L’arrivée de tiers dans la pièce où le salarié travaille chez lui représente en soi un danger pour la protection des données. Voici donc les points à prendre en compte :
- Le poste de travail du salarié en Home Office devrait être aménagé dans une pièce verrouillable, entièrement dédiée à son activité professionnelle.
- Dès lors qu’ils ne sont plus utilisés, les documents confidentiels, supports de données et dispositifs de l’entreprise doivent également y être placés sous clé (p. ex. armoire, tiroir, etc.).
5. Élimination des supports de stockage de données et des documents
Lorsqu’on ne dispose pas chez soi d'un destructeur de documents ou de médias (clés USB, disques durs, etc.), il est possible que des informations concernant la société finissent à la poubelle ou dans les conteneurs à papier du tri sélectif. Le risque est alors qu’elles tombent dans de mauvaises mains. Voici donc les points à prendre en compte :
- Pour s’assurer que les données sont définitivement effacées et qu’elles ne peuvent plus être restaurées, le service informatique de la société doit normalement se charger d’éliminer les supports de stockage et les dispositifs de l’entreprise.
- Les documents confidentiels utilisés dans le cadre du Home Office doivent eux aussi être correctement détruits. Selon le domaine d’activité et les besoins, il pourrait être judicieux pour l’entreprise de doter ses salariés en Home Office d'un destructeur de documents (type Shredder).
Le Home Office (à ne pas confondre avec le télétravail qui est une forme de travail à distance réglementée et effectuée sur une base régulière) est une forme de travail flexible dans l’espace et dans le temps. Le Home Office prévoit donc que les tâches professionnelles soient occasionnellement accomplies en dehors des locaux de l’entreprise, la plupart du temps au domicile du salarié. L’expression « travail à distance » (remote work) correspond en revanche à une forme de télétravail permanent où le salarié ne travaille jamais dans les locaux de l’entreprise. Dans cet article, le terme Home Office recouvrira l’ensemble de ces formes de travail.
