Le teletravail est devenu la norme pour la moitie de vos equipes. Et c'est exactement ce que la CNIL regarde de pres depuis 2024. Parce qu'entre un salarie qui travaille sur son portable perso au cafe du coin, une imprimante maison sans chiffrement, et un VPN configure "comme ca parce que ca marchait" : votre exposition RGPD explose.
En decembre 2024, une societe immobiliere a ete sanctionnee de 40 000 euros pour surveillance disproportionnee de salaries en teletravail, via un logiciel qui comptabilisait les periodes d'inactivite. Source : cnil.fr/fr/surveillance-excessive-des-salaries-sanction-de-40-000-euros-entreprise-secteur-immobilier. Le message : la CNIL controle les deux bords du teletravail, la securite et la surveillance.
Voici les 18 verifications a faire ce lundi. Si vous les avez toutes, vous etes dans le haut du panier des PME francaises. Si vous en avez 5 sur 18, vous etes dans la moyenne et vous avez du travail. Source pour l'ensemble : cnil.fr/fr/teletravail.
1. Poste de travail -- 5 verifications
Le poste est le point de fragilite numero un. Ordinateur perso, portable de fonction, tablette partagee en famille : chaque cas appelle sa reponse.
1.1 -- Privilegier un poste professionnel dedie
La CNIL recommande l'equipement professionnel comme regle de base. Un poste sous le controle de l'employeur, avec un profil utilisateur dedie, configure selon votre politique de securite. Si vous autorisez le BYOD (Bring Your Own Device), vous devez l'encadrer.
1.2 -- Chiffrement du disque dur
Obligation effective en cas de donnees personnelles sur le poste. Sur Windows : BitLocker actif. Sur macOS : FileVault active. Sur Linux : LUKS. Sur Android et iOS : chiffrement par defaut du stockage (a verifier).
1.3 -- Antivirus et mises a jour automatiques
Antivirus avec mises a jour signatures automatiques. Mises a jour systeme activees. Un poste non a jour pendant 6 mois est un poste vulnerable. La CNIL cite explicitement la mise a jour des logiciels dans ses recommandations de securite.
1.4 -- Mot de passe de session robuste
Minimum 12 caracteres, mixte, unique pour le professionnel. Pas le meme que celui de Facebook ou Netflix. Activation du verrouillage automatique apres 5 minutes d'inactivite.
1.5 -- BYOD : cloisonnement des usages
Si le salarie utilise son poste personnel :
- Profil utilisateur professionnel separe du profil personnel.
- Stockage professionnel chiffre et separe du stockage personnel.
- Pas d'installation de logiciels professionnels sur le profil personnel.
- Possibilite pour l'employeur de verrouiller et effacer les donnees professionnelles a distance en cas de depart du salarie.
La CNIL rappelle : "Avec le developpement du BYOD, la frontiere entre vie professionnelle et personnelle s'efface. La CNIL rappelle les bonnes pratiques pour concilier securite des donnees de l'entreprise et protection de la vie privee du salarie" (Source : cnil.fr/fr/teletravail).
2. Reseau -- 4 verifications
2.1 -- VPN obligatoire pour les donnees sensibles
Acces au CRM, au serveur fichier, a la paie, a la base client : via un VPN d'entreprise chiffre TLS ou IPsec. Pas de sortie directe sur Internet pour ces acces.
2.2 -- Wi-Fi public interdit sans VPN
Pas de travail sur donnees sensibles depuis un cafe, une gare, un hotel sans VPN actif. Les Wi-Fi publics sont un point d'interception classique des attaquants. Regle simple : VPN ON, sinon rien.
2.3 -- Wi-Fi domestique securise
Verifier que le Wi-Fi domestique du salarie utilise WPA3 (ou au minimum WPA2 fort) et que le mot de passe par defaut de la box a ete change. Pas de reseau ouvert.
2.4 -- Double authentification sur tous les acces metier
Microsoft 365, Google Workspace, CRM, outil de paie, banque : tous les outils professionnels doivent avoir la double authentification (2FA) activee. Idealement via une app TOTP (Google Authenticator, Authy, Microsoft Authenticator) plutot que par SMS.
3. Comportement au quotidien -- 4 verifications
3.1 -- Verrouillage de session systematique
Le salarie quitte son poste 2 minutes pour aller aux toilettes : il verrouille (Cmd+Ctrl+Q sur macOS, Windows+L sur Windows). Pas question de laisser l'ecran deverrouille, meme a la maison.
3.2 -- Confidentialite de l'ecran en public
Travailler dans un cafe ou un train : filtre de confidentialite sur l'ecran (film que l'on colle, qui rend l'ecran illisible de cote). Pas de conversation sensible au telephone dans un espace ouvert. Pas de documents clients a haute voix.
3.3 -- Impressions maitrisees
Imprimer a la maison : d'accord, mais :
- Pas d'impression de donnees sensibles (contrats, fiches de paie, donnees de sante).
- Impression puis destruction au fil de l'eau (broyeur a papier recommande).
- Pas de "pile" de documents pro sur le bureau familial.
3.4 -- Stockage des documents physiques
Dossiers client imprimes : dans un placard ferme a cle pendant les heures non travaillees. Pas dans le salon familial. En fin de mission : destruction ou retour a l'entreprise.
4. Charte ecrite -- 2 verifications
4.1 -- Charte teletravail formalisee
Document ecrit, signe par chaque salarie teletravaillant, mis a jour annuellement. Contenu minimal :
- Equipements autorises (professionnel seul / BYOD autorise avec conditions).
- Lieux autorises (domicile / espaces coworking / interdits cafes ouverts).
- Horaires de disponibilite.
- Obligations de securite (chiffrement, VPN, 2FA, verrouillage).
- Modalites de controle de l'employeur (declaratif, pas de surveillance intrusive).
- Procedure en cas d'incident (vol d'equipement, suspicion de compromission).
4.2 -- Mention dans le reglement interieur et le contrat
La charte doit etre rattachee au reglement interieur et annexee au contrat de travail des salaries concernes. Sinon, elle n'a pas de valeur juridique opposable en cas de litige.
5. Formation et sensibilisation -- 3 verifications
5.1 -- Formation initiale RGPD et securite
Chaque salarie teletravaillant suit une formation a minima annuelle sur :
- Les bases du RGPD (finalite, minimisation, duree).
- Les pratiques de securite (mots de passe, phishing, VPN).
- Les procedures internes (verrouillage, impression, stockage).
5.2 -- Tests de phishing reguliers
Campagnes de faux phishing 2 a 4 fois par an. Formation complementaire pour les salaries qui "cliquent". Pas de sanction : c'est pedagogique.
5.3 -- Point RGPD annuel en reunion d'equipe
Point de 30 minutes par an en plenier pour rappeler les nouveaux risques, les sanctions recentes, les evolutions de votre politique. Ca coute 30 minutes. Ca vaut une procedure CNIL.
La check-list 18 items a cocher ce lundi
| # | Item | OK ? |
|---|---|---|
| 1 | Poste professionnel dedie (ou BYOD encadre) | |
| 2 | Chiffrement disque dur actif (BitLocker, FileVault) | |
| 3 | Antivirus a jour, mises a jour systeme automatiques | |
| 4 | Mot de passe session 12+ caracteres uniques | |
| 5 | BYOD cloisonne (profils separes) | |
| 6 | VPN actif pour donnees sensibles | |
| 7 | Interdiction Wi-Fi public sans VPN | |
| 8 | Wi-Fi domestique WPA2/WPA3 fort | |
| 9 | 2FA sur tous les acces metier | |
| 10 | Verrouillage de session systematique | |
| 11 | Filtre confidentialite en espace public | |
| 12 | Impressions sensibles limitees et detruites | |
| 13 | Stockage papier securise a domicile | |
| 14 | Charte teletravail ecrite et signee | |
| 15 | Charte rattachee au reglement interieur | |
| 16 | Formation annuelle RGPD et securite | |
| 17 | Tests de phishing trimestriels | |
| 18 | Point RGPD annuel en reunion |
Objectif : 16 ou plus sur 18 d'ici la fin du mois.
L'autre angle : la surveillance des salaries en teletravail
C'est le bord inverse du teletravail, et c'est celui ou les PME se font sanctionner. Retour sur le dossier de decembre 2024 : une societe immobiliere avait installe sur les postes de ses salaries un logiciel comptabilisant les periodes d'inactivite, plus de la videosurveillance continue des bureaux. Sanction : 40 000 euros.
Ce qu'il faut retenir :
- Mesurer l'activite d'un salarie en teletravail est possible, mais proportionne. On mesure du resultat (livrables, reunions, objectifs), pas des mouvements de souris ou des captures d'ecran.
- La videosurveillance permanente des salaries est disproportionnee, a fortiori en teletravail ou elle n'a aucun sens.
- Toute mesure de controle doit etre declaree dans le registre des traitements, decrite dans la charte, et portee a la connaissance des salaries.
La regle d'or : si vous ne pouvez pas expliquer en 3 phrases a un salarie pourquoi vous avez besoin de ce controle, c'est que vous n'en avez pas besoin.
FAQ
Mes salaries travaillent sur leurs ordinateurs persos. Je dois les obliger a passer sur du pro ? Pas obligatoirement, mais vous devez encadrer le BYOD via une charte claire et signee. Et vous devez accepter qu'il y aura une partie de risque residuel que vous ne controlerez jamais.
Un VPN gratuit type ProtonVPN ou Cloudflare WARP suffit-il ? Pour l'usage perso oui, pour l'usage professionnel non. Vous avez besoin d'un VPN d'entreprise qui route le trafic vers votre reseau interne, pas juste qui chiffre la sortie Internet. Solutions : OpenVPN, WireGuard, Meraki, Fortinet, ou les offres integrees Microsoft Azure AD / Google BeyondCorp.
Puis-je lire les emails de mes salaries ? Uniquement dans des cas exceptionnels (enquete pour faute grave, absence prolongee avec necessite operationnelle), et en respectant la procedure : information prealable, presence du salarie ou d'un representant, traçabilite. La consultation systematique est interdite et sanctionnee par la CNIL et les Prud'hommes.
Combien de temps conserver les logs de connexion VPN ? En general 6 mois pour la securite operationnelle. Au-dela, vous devez justifier la duree en motivation specifique.
Pour aller plus loin
- [[2026-04-23-top-sanctions-cnil-2024-2025-lecons-pme|Top sanctions CNIL 2024-2025 : les 7 lecons pour les PME]]
- Teletravail -- page officielle CNIL
- Salaries en teletravail : quelles sont les bonnes pratiques a suivre
Le teletravail est la nouvelle frontiere des sanctions CNIL pour PME. 18 items, une apres-midi, et vous avez ferme 95 % des portes d'entree possibles. La charte teletravail ecrite vous fera gagner 10 000 euros le jour d'un controle, meme si tout n'est pas parfait.
Si vous voulez aller plus vite, Cloclo genere votre charte teletravail personnalisee en 2 minutes a partir de votre contexte (equipements autorises, lieux, outils). Elle est prete a signer et conforme aux recommandations CNIL. Tester.
-- Cloclo