Références réglementaires

« L’accord du 13/07/2021 – La sécurisation, la protection et la gestion des données personnelles et professionnelles

Il incombe à l’employeur de prendre, dans le respect du RGPD¹ et des prescriptions de la CNIL², les mesures nécessaires pour assurer la protection des données personnelles de l’agent·e en télétravail et de celles traitées par celui-ci à des fins professionnelles. L’employeur doit informer l’agent·e en télétravail des règles mises en place pour assurer la protection de ces données et leur confidentialité.

La réglementation veut que le niveau de sécurité et de confidentialité des données personnelles traitées soit le même, quel que soit l’équipement utilisé et le lieu de travail. L’employeur reste responsable de la sécurité des données personnelles traitées par les agent·e·s à titre professionnel, y compris lorsqu’elles sont stockées sur des terminaux dont il n’a pas la maîtrise physique ou juridique mais dont il a autorisé l’utilisation pour accéder aux ressources informatiques professionnelles. Si l’employeur est libre d’accéder aux données présentes sur l’équipement professionnel confié à l’agent·e qui sont présumées avoir un caractère professionnel, ce n’est pas le cas pour les données figurant sur l’équipement personnel de ses agent·e·s. L’employeur conserve, au même titre que lorsque le travail est effectué sur site, le pouvoir d’encadrer et de contrôler l’exécution des tâches confiées à son agent·e. Néanmoins, les dispositifs de contrôle mis en œuvre doivent être strictement proportionnés à l’objectif poursuivi, être justifiés par la nature des missions et ne pas porter une atteinte excessive au respect des droits et libertés des agent·e·s, particulièrement le droit au respect de leur vie privée. La mise en place de ces dispositifs nécessite une consultation préalable des instances compétentes et une information préalable précise des agent·es concernés sur les modalités de contrôle qui sont utilisées. Ces éventuels dispositifs doivent être portés au registre des traitements. »

« Article 7 du décret n°2016-151 du 11 février 2016

I. – Un arrêté ministériel pour la fonction publique de l’État, une délibération de l’organe délibérant pour la fonction publique territoriale, une décision de l’autorité investie du pouvoir de nomination pour la fonction publique hospitalière, pris après avis du comité technique ou du comité consultatif national compétent, fixe :

1° Les activités éligibles au télétravail ;

2° La liste et la localisation des locaux professionnels éventuellement mis à disposition par l’administration pour l’exercice des fonctions en télétravail, le nombre de postes de travail qui y sont disponibles et leurs équipements ;

3° Les règles à respecter en matière de sécurité des systèmes d’information et de protection des données ;

4° Les règles à respecter en matière de temps de travail, de sécurité et de protection de la santé ;

5° Les modalités d’accès des institutions compétentes sur le lieu d’exercice du télétravail afin de s’assurer de la bonne application des règles applicables en matière d’hygiène et de sécurité ;

6° Les modalités de contrôle et de comptabilisation du temps de travail ;

7° Les modalités de prise en charge, par l’employeur, des coûts découlant directement de l’exercice du télétravail, notamment ceux des matériels, logiciels, abonnements, communications et outils ainsi que de la maintenance de ceux-ci ;

8° Les modalités de formation aux équipements et outils nécessaires à l’exercice du télétravail ;

9° Les conditions dans lesquelles l’attestation mentionnée à l’article 5 est établie.

Lorsque l’autorité investie du pouvoir de nomination est le Centre national de gestion, la décision fixant les modalités et règles mentionnées au présent I est prise :

1° Par le chef d’établissement pour les directeurs adjoints et les directeurs des soins ;

2° Par le directeur général de l’agence régionale de santé pour les chefs des établissements mentionnés aux 1°, 3° et 5° de l’article 2 de la loi du 9 janvier 1986 susvisée ;

3° Par le préfet du département pour les établissements mentionnés aux 4° et 6° du même article 2.

La décision n’est pas soumise à l’avis du comité consultatif national.

II. – Dans les directions départementales interministérielles, les conditions de mise en œuvre du télétravail prévues au I font l’objet d’un arrêté du Premier ministre, pris après avis du comité technique des directions départementales interministérielles.

III. – Les modalités de mise en œuvre du télétravail fixées aux 1° à 9° du I sont précisées en tant que de besoin, dans chaque service ou établissement, après consultation du comité technique ou du comité consultatif national compétent.

IV. – Les comités d’hygiène, de sécurité et des conditions de travail compétents et la commission des conditions de travail commune aux personnels de direction de la fonction publique hospitalière sont informés des avis rendus par les comités techniques ou le comité consultatif national en application du présent article. »

« Article L. 2312-38 du code du travail

Le comité social et économique est informé, préalablement à leur utilisation, sur les méthodes ou techniques d’aide au recrutement des candidats à un emploi ainsi que sur toute modification de celles-ci. Il est aussi informé, préalablement à leur introduction dans l’entreprise, sur les traitements automatisés de gestion du personnel et sur toute modification de ceux-ci. Le comité est informé et consulté, préalablement à la décision de mise en œuvre dans l’entreprise, sur les moyens ou les techniques permettant un contrôle de l’activité des salarié·e·s. »

Points de vigilance pour la négociation

• Après avis du Comité technique, un acte administratif (arrêté, délibération, décision) doit formaliser les règles visant la protection des données professionnelles et personnelles. Ne pas oublier de faire indiquer dans l’accord que l’employeur s’engage à ne pas diffuser les coordonnées personnelles des agent·e·s.

• Inscrire dans l’accord que pour exercer leur mission en télétravail, les agent·es doivent disposer des logiciels ou accès aux logiciels nécessaires par systèmes d’information via une connexion sécurisée par VPN au réseau de l’employeur public, dans les mêmes conditions que sur le lieu de travail. Si l’environnement dans lequel se trouve le·la télétravailleur·euse peut ne pas présenter les mêmes garanties de confidentialité ou sécurité, il·elle ne pourra être tenu pour responsable en cas de défaillance de sécurité. Les mécanismes de sécurisation du poste professionnel ne doivent pas déborder sur le réseau domestique.

• Égalité des droits et de l’accès à l’information des télétravailleur·euse·s : indiquer dans l’accord que le·la télétravailleur·euse a droit au respect de sa vie privée. Afin d’éviter l’intrusion, il s’agit d’indiquer que l’employeur s’engage à ne pas utiliser le numéro de téléphone privé de l’agent·e et ne le contactera que sur les plages horaires de travail.

• Indiquer que dans le cadre d’une réunion organisée à distance, l’agent·e n’a aucune obligation d’utiliser la caméra de son ordinateur car l’image peut révéler des informations intimes en cas de télétravail à domicile.

• Aucun contrôle sur son poste de travail informatique n’est possible, en dehors des dispositions légales.

• Dans le cas de la mise en place d’un outil de contrôle de l’activité par l’employeur, par exemple le téléphone, faire inscrire dans l’accord qu’il ne concerne que l’utilisation des outils mis à disposition pour des motifs professionnels. Il doit être pertinent, proportionné à l’objectif poursuivi et l’agent·e et les instances représentatives du personnel doivent être informées préalablement (article L. 2312-38 du code du travail).

Ce qu’il reste à gagner

• Obtenir pour chaque télétravailleur·euse l’octroi de tout le matériel professionnel nécessaire pour travailler et communiquer (téléphone, ordinateur…) qui permette une stricte séparation entre systèmes de communication professionnel et privé.

• Bilan des moyens de contrôle mis en œuvre au télétravail en CHSCT et évaluation de leur caractère proportionné.

• Possibilité pour l’agent·e de signaler toute intrusion dans la sphère personnelle.