Aménager le home office en conformité avec la protection des données Protection des données
Position des autorités de surveillance de la protection des données
En 2019 encore, juste avant le début de la crise de la Corona, le commissaire fédéral à la protection des données et à la liberté d'information(BfDI) a présenté son point de vue et ses recommandations sur le "télétravail et le travail mobile". Selon ce document, il convient par exemple de veiller aux points suivants en cas de travail à domicile:
"L'utilisation privée de l'équipement informatique mis à disposition par l'employeur n'est pas autorisée".
"Le matériel et les logiciels privés ne doivent pas être utilisés pour le télétravail et le travail mobile".
"Les responsabilités en matière de traitement des données personnelles doivent être définies de manière exhaustive dans le contrat".
"Accès des personnes autorisées aux données personnelles sensibles uniquement avec un code PIN et une ancre de confiance basée sur le matériel (authentification à deux facteurs)."
"Pas de connexion d'imprimantes".
"Formation / perfectionnement réguliers des employés sur l'utilisation des appareils mobiles en toute sécurité et dans le respect de la protection des données".
"Les principes de protection des données pour le télétravail et le travail mobile doivent être inscrits dans un accord d'entreprise/de service".
Après le début de la pandémie de grippe A (Corona), les positions de différentes autorités de surveillance de la protection des données ont montré que les exigences en matière de changement rapide n'étaient pas trop élevées dans un premier temps. Toutefois, certaines de ces positions étaient clairement limitées dans le temps, par exemple jusqu'en avril 2020. Maintenant qu'un certain temps s'est écoulé et que l'occasion s'est présentée de procéder aux adaptations nécessaires, il est logique que les autorités de contrôle de la protection des données reviennent elles aussi à leurs exigences initiales, plus strictes.
Toutefois, indépendamment de l'action des autorités de contrôle de la protection des données, il existe également des obligations contractuelles qui peuvent être enfreintes, comme le montre la section suivante.
Traitement des commandes
Comme nous l'avons déjà expliqué dans notre article séparé sur le thème du home office et des traitements à façon, les traitements à façon existants nécessiteront des adaptations contractuelles, en particulier si l'on se trouve du côté du sous-traitant du traitement à façon. En effet, les mesures techniques et organisationnelles telles qu'elles existent dans l'entreprise sont généralement réglées dans le cadre du traitement des commandes, mais pas telles qu'elles existent dans le bureau à domicile. On trouve souvent, par exemple, des dispositions relatives aux systèmes d'alarme incendie, aux systèmes de fermeture multiples, aux systèmes de sauvegarde et, le cas échéant, à une protection par gardiennage. Sur la base du niveau de protection ainsi décrit, le donneur d'ordre a ensuite passé la commande et le contractant s'est engagé à respecter pour l'essentiel ce standard de protection. Toutefois, le niveau de protection n'existera pas sous cette forme dans les bureaux à domicile.
Certes, certains contrats de sous-traitance prévoient des clauses relatives au home office. Toutefois, ces clauses sont généralement très générales et leur efficacité est donc discutable. En outre, de nombreuses clauses relatives au bureau à domicile partent du principe que seule une activité isolée de maintenance à distance ou similaire est effectuée. Or, en règle générale, le transfert complet de l'activité vers le home office n'est pas inclus. En l'absence d'une clause relative au bureau à domicile, une activité globale en tant que sous-traitant d'un traitement de données à caractère personnel depuis le bureau à domicile ne sera pas autorisée. Si les clauses proposées en partie par les autorités de protection des données ont été utilisées, un transfert vers le bureau à domicile nécessite en outre l'accord explicite préalable du donneur d'ordre et la mise en place de mesures techniques et organisationnelles spécifiques.
Pour plus de détails à ce sujet, veuillez consulter notre article séparé sur le thème du bureau à domicile et du traitement des commandes.
Systèmes de vidéoconférence et autres nouvelles techniques
Les prescriptions précises concernant les mesures techniques et organisationnelles ne sont réglées dans le RGPD lui-même que de manière très générale, notamment à l'article 32 du RGPD. En fin de compte, c'est surtout l'état de la technique qui doit être respecté. Or, il est d'une part très difficile de déterminer cet état de fait, car il faut généralement tenir compte d'une multitude de recommandations et de documents techniques distincts, par exemple le compendium IT-Grundschutz du BSI. D'autre part, le problème pratique est que la conception technique est souvent limitée : si une solution de vidéoconférence externe doit être utilisée, on n'a par exemple qu'une influence limitée sur la manière dont les données sont effectivement traitées. Il est même très difficile de déterminer exactement comment ces systèmes sont conçus techniquement afin de les évaluer.
Même si une solution a été trouvée et correctement conçue, il convient de vérifier régulièrement si des ajustements sont nécessaires. Par exemple, si la solution de vidéoconférence choisie est celle d'un fournisseur basé aux États-Unis, il sera essentiel (outre la possibilité d'utiliser les clauses contractuelles types approuvées par la Commission européenne) que l'entreprise soit certifiée dans le cadre du bouclier de protection de la vie privée UE-États-Unis, y compris avec la certification spéciale pour les données RH. Cela doit être garanti avant l'utilisation. La CJUE devrait toutefois se prononcer sur la recevabilité du Privacy Shield UE-USA à l'été 2020. Étant donné que la CJUE a déjà jugé le système précédent similaire "Safe Harbor" comme étant inadmissible, il existe une crainte non dénuée de fondement que le bouclier de protection de la vie privée UE-USA puisse également être jugé inefficace dans un avenir proche. En raison de cette crainte, la Commission européenne examine déjà des alternatives au Privacy Shield UE-USA, comme il ressort d'une réponse de la Commission européenne à une question.
Quelle que soit l'issue du jugement, il est clair que les systèmes déjà mis en place doivent toujours être vérifiés quant à leur légalité.
Pour plus de détails sur l'utilisation de solutions de visioconférence, veuillez consulter notre article séparé sur la visioconférence.
Responsabilité de l'employeur et contrôles de l'employeur au domicile de l'employé
Si les employés travaillent dans un bureau à domicile, la responsabilité reste celle de l'employeur. Compte tenu du cadre d'amendes considérable prévu par le RGPD, il est donc particulièrement dans l'intérêt d'une entreprise de veiller à ce qu'il soit correctement aménagé. En raison du privilège de responsabilité des employés, selon lequel ceux-ci ne peuvent en principe être tenus pour partiellement ou totalement responsables qu'en cas de négligence grave ou de faute intentionnelle, les entreprises ont donc tout intérêt à donner des instructions claires aux employés et autres collaborateurs, par exemple en leur fournissant des instructions claires en matière de gestion de la qualité, spécialement pour le home office. Il convient d'examiner s'il est vraiment judicieux de prévoir une instruction QM spéciale pour le home office ou plutôt de passer en revue les instructions QM existantes et d'ajouter des sections avec des règles spéciales pour le home office.
L'employeur devra également effectuer des contrôles. Cela ne signifie pas toujours que des contrôles sur place doivent être effectués, notamment pendant les restrictions de contact dues à la coronapandémie. Toutefois, il convient de mettre en place un système progressif comprenant, par exemple, des formations régulières, des entretiens avec certains employés, des contrôles aléatoires et des contrôles intensifiés en cas de suspicion. Le commissaire fédéral à la protection des données et à la liberté d'information (BfDI) a par exemple encore demandé en 2019 qu'un employeur ait accès au domicile d'un employé pour effectuer des contrôles. Il convient d'évaluer séparément dans quelle mesure de tels contrôles de l'employeur au domicile privé de l'employé sont légalement possibles si l'employé s'y refuse, ainsi que les conséquences que cela implique pour l'activité de travail à domicile de l'employé. Quoi qu'il en soit, il est recommandé de régler cette question le plus tôt possible dans le cadre du droit du travail, éventuellement comme règle standard pour les futurs rapports de travail.
Les contrôles au domicile de l'employé peuvent être prévus non seulement par l'employeur, mais aussi par les autorités de surveillance de la protection des données elles-mêmes.
Il convient en outre de noter que des contrôles sur place au domicile d'un employé peuvent également être effectués par les donneurs d'ordre d'un traitement à façon. En effet, il a été convenu dans les accords de sous-traitance (AVV) que celui-ci doit effectuer des contrôles réguliers, même si cela ne signifie pas toujours des contrôles sur place. C'est également pour cette raison que la "clause de travail à domicile" dans les contrats de sous-traitance (CGC) est déterminante (voir ci-dessus).
Obligations d'information et nouveaux outils techniques
L'obligation d'informer les personnes concernées est un élément important du RGPD. Conformément aux articles 13 et 14 du RGPD, les personnes concernées doivent recevoir certaines informations avant le traitement des données. Outre des informations "simples" telles que le nom du responsable et les coordonnées d'un éventuel délégué à la protection des données, des informations plus spécifiques doivent être fournies, telles que la base juridique des traitements et la durée de conservation. Toutefois, il convient également d'indiquer à quels tiers les données sont transmises et si des transferts de données ont lieu à l 'étranger en dehors de l'UE/EEE. Cela comprend également les sous-traitants.
Exemple : Si la solution de visioconférence d'un fournisseur américain est utilisée, celle-ci ne peut être utilisée que si les personnes concernées ont été informées au préalable que les données sont traitées par ce fournisseur de visioconférence, que le fournisseur de visioconférence est situé dans un pays tiers (ou plus concrètement : que les données sont traitées dans un pays tiers) et que, malgré ce lien avec un pays tiers, un niveau de protection des données adéquat est maintenu. Cela semble à première vue très compliqué. Toutefois, une telle description peut généralement être trouvée rapidement si les conditions cadres réelles sont remplies (par exemple, une certification en bonne et due forme selon le Privacy Shield UE-USA). Il est toutefois plus important que, dans l'entreprise, les informations soient également fournies en temps utile. Il convient de noter à cet égard que la personne concernée doit être informée. Si, par exemple, une vidéoconférence entre deux collaborateurs de l'entreprise a lieu via un client entrepreneur individuel, ce client doit être informé, car ses données personnelles sont concernées. Au minimum, il faudra donc ajouter une "information sur la protection des données" aux contrats habituels avec les clients, qui devrait de toute façon déjà exister en annexe.
Exigences pour le domaine hors ligne
Les exigences en matière de protection des données s'appliquent également au "domaine hors ligne", c'est-à-dire aux documents papier et aux dossiers se trouvant dans le bureau à domicile, ainsi qu'à la protection générale contre l'accès et l'utilisation non autorisés. Il faut donc également s'assurer que les membres de la famille ne puissent pas les consulter. Les mesures exactes à prendre dépendent du type de documents habituellement détenus par les employés et du degré de "sensibilité" des données qu'ils contiennent. Par exemple, d'autres mesures de protection doivent être prises si des données relatives à la santé ou à l'appartenance religieuse sont concernées. Il convient de noter que ces données sensibles peuvent être disponibles rapidement. Un traitement de l'appartenance religieuse est par exemple régulièrement effectué dans la comptabilité des salaires en ce qui concerne l'impôt ecclésiastique.