Responsabilité concernant la sécurité et la confidentialité : vol de données, vol d’objet technique, accident du travail, etc
Nous allons parler des prises de responsabilité en termes de sécurité dans l’entreprise.
Dans cette partie nous allons voir dans un premier temps, la prise de responsabilité
en cas d’accident de travail puis dans un second temps,de l’organisation des responsabilité
en cas de perte/vol de données critique ensuite dans un troisième temps,
Organisation des responsabilités en cas perte/vol de d’appareil puis dans un dernier temps,
la prise de responsabilité par rapport aux restrictions d’utilisation des outils de télétravail.
I.En cas d’accident au cours d’une période de travail :
Nous savons que si un employé se blesse en travaillant sur son lieu de travail, cela passe en accident de travail alors que si
la personne se blesse en télé-travail l’employeur ne peut pas prouver que l’employé s’est blessé au cours de son activité professionnelle,
Nous pouvons voir que le Code du travail précise clairement qu’un accident survenu sur le lieu où est exercé le télétravail pendant
l’exercice de l’activité professionnelle du télétravailleur est présumé être un accident de travail. L’accident sera donc pris encharge
dans les mêmes conditions que s’il avait eu lieu dans les locaux de l’employeur.
Si l’employeur entend contester cette qualification, il lui appartiendra de renverser cette présomption s’il estime que l’accident a été occasionné
par une cause étrangère au travail. Les modalités de déclaration des accidents de travail survenus sur le lieu de télétravail sont identiques
à celles applicables aux autres salariés non-télétravailleurs.
Références juridiques
Code du Travail :
*Art L. 1222-9 à L.1222-11 du Code du travail :
dispositions relatives au télétravail
II.Organisation des responsabilité en cas perte/vol de données critiques :
L’engouement pour le télétravail, les encouragements du Gouvernement, la normalisation de la mobilité et du BYOD, etc., ne doivent pas faire
perdre de vue qu’il y a toujours le risque de voir les données critiques des entreprises perdues ou détournées. Le problème posé, il s’agit
maintenant de savoir à qui incombe la mise en conformité du matériel informatique, utilisé au domicile ou en situation de mobilité.
Nous pourrions penser au DSI. Mais, il faudrait alors rajouter une ligne supplémentaire à une fiche de poste déjà chargée, pourrait-on rétorquer un prestataire ?
L’employeur pourra toujours refuser d’engager ces frais.
Pourquoi investir dans un système de sécurité, quand ce dernier existe déjà entre les murs de l’entreprise ?
Autre rempart, celui des mentalités car ne l’oublions pas, si le sujet du télétravail n’est pas nouveau, son application l’est.
Comment faire entendre aux salariés satisfaits du travail à distance qu’en télé-travaillant sans protection, ils exposent les données de l’entreprise ?
La question de la responsabilité doit aussi être évoquée : en cas de télétravail et d’attaque informatique qui devra rendre des comptes ?
L’employeur ayant autorisé le télétravail en sachant que les conditions n’étaient pas réunies ?
L’employé qui, lui-même, sait qu'il outrepasse la sécurité en utilisant ses propres outils plutôt que ceux confiés par l'entreprise ?
III.Organisation des responsabilité en cas perte/vol de d’appareil :
Sur le lieu d’exercice de l’activité de l’entreprise ( l’enceinte de celle-ci) c’est les personnels responsables de la sécurité de
l’entreprise qui prennent les responsabilité de la perte ou du vol des appareils.
Dans le cadre du Régime Général de Protection des Données (RGPD), la perte d’un appareil mobile professionnel contenant des
données personnelles constitue une défaillance, passible d’amendes allant jusqu’à 20 millions de dollars ou 4 % du chiffre d’affaires annuel mondial.
De toute évidence, les conséquences de la perte d’un ordinateur portable ou d’un téléphone par un employé n’ont jamais été aussi lourdes.
Malheureusement, il est impossible d’empêcher les employés de perdre leurs appareils mobiles à 100 %. La tentation est forte de limiter le travail
sur mobile pour minimiser le risque de perte de données ou d’amende, mais cela risque d’impacter la productivité et la satisfaction des employés.
La plupart des employés attendent une certaine souplesse dans leur travail, et la journée de travail de 9 h à 17 h se raréfie. Il est donc crucial
que les organisations mettent en place des politiques et prennent des mesures de sécurité pour les télétravailleurs et les travailleurs mobiles,
dans l’optique de réduire le risque de perte de données.
Le matériel professionnel fourni par l’entreprise est-il sous votre responsabilité ?
Non, cela relève de l’entreprise. Il incombe à votre employeur de souscrire une assurance multirisques professionnelle pour les éventuelles
atteintes aux équipements professionnels dans le cadre du télétravail, qu’ils soient dégradés par une inondation ou un incendie, mais aussi par un vol.
Pour les entreprises qui pratiquaient déjà le télétravail avant la crise, la couverture doit déjà avoir été souscrite, car c’est une obligation.
Le télétravail implique-t-il des risques supplémentaires ?
Qui dit matériel informatique dit également protection des données sensibles. Il existe ainsi une protection “perte de données”,
précise Réassurez-moi : “Ce risque est particulièrement présent si vous travaillez sur un ordinateur qui contient des données sensibles
et déterminantes pour l’exercice de votre activité. Un sinistre à votre domicile peut entraîner la perte de ces données importantes
(incendie, dégât des eaux, vol…).” Cette protection doit aussi être souscrite par votre employeur, “car c’est bien lui qui héberge les
serveurs qui abritent ces données” prévient la Maif. Tout comme la responsabilité professionnelle, qui permet à l’entreprise de se protéger
si vous êtes à l’origine d’un dommage corporel, matériel ou immatériels qui pourraient être causés à autrui par votre faute
IV.Responsabilité par rapport aux Restrictions sur l’utilisation des outils de télé-travail
Selon l’article L1222-10 du code du travail, si un employeur n’informe pas son salarié sur les restrictions d’utilisation des équipements
ou outils informatique ou de services de communication électronique et des sanctions en cas de non-respect de telles restrictions c’est
celui-ci qui devra prendre la responsabilité des charges engendrées.
On peut dire qu’il y a la mise en place d’une réglementation spécifique:
Les employés doivent recevoir une information claire sur les procédures et les meilleures pratiques de leur organisation en matière
de télétravail et de travail mobile. La politique de sécurité et de sensibilisation doit couvrir plusieurs points essentiels, notamment :
- Les applications et actifs auxquels l’accès est autorisé à partir des appareils mobiles
- Les composants fournis par l’entreprise, comme les certificats SSL pour l’authentification des appareils
- Les droits de l’entreprise à altérer l’appareil, par exemple en effaçant à distance les appareils perdus ou volés.
- Cela comprend la responsabilité de l’entreprise par rapport aux données personnelles d’un employé, si un appareil devait être effacé par mesure de précaution. Cela comprend aussi la responsabilité de l’employé par rapport à la fuite de données sensibles de l’entreprise en raison de sa négligence ou d’une mauvaise utilisation.
- La responsabilité de sauvegarder régulièrement les données de l’entreprise et de les stocker de façon appropriée