Deloitte Société d'Avocats

Cybersécurité et droit du travail : à quoi faut-il vraiment faire attention ?

Les actions anti-cyberattaque impliquent souvent un contrôle des données personnelles des salariés par leur employeur. Cette surveillance doit cependant être responsable et respectueuse des principes fondamentaux du droit du travail.

Les données personnelles seraient « l’or noir » du XXIe siècle. Dès lors, il n’est pas étonnant que leur protection soit chaque jour un peu plus cruciale pour les entreprises qui en manipulent des quantités très importantes.

La cybersurveillance au sein des entreprises peut difficilement se concevoir sans le contrôle de la part de l’employeur de l’usage que fait ses salariés des outils numériques. La question de la protection des données personnelles des salariés devient alors omniprésente.

Traçage des connexions internet, listage des e-mails, contrôles des insertions et extractions réalisées sur le poste de travail, autant de techniques qui se banalisent au sein des entreprises mais qui doivent malgré tout respecter les droits des salariés et assurer la protection de leurs propres données personnelles.

Du stade de la prévention à celui de l’intervention, les actions anti-cyberattaque doivent composer avec les exigences du droit du travail.

Prévenir la cyberattaque à la lumière du droit du travail

Rien de mieux pour contrer une cyberattaque que de mettre en place, en amont, des actions qui limitent les risques.

Si la prévention du cyber-risque passe par la mobilisation de techniciens et la mise en œuvre du droit du numérique, le droit du travail n’est pas en reste, bien au contraire ! Le plus souvent, la réglementation du travail peut même accroitre l’efficacité de la prévention.

Plusieurs pratiques régies par le droit du travail peuvent, et doivent, ainsi être adoptées au sein de l’entreprise pour minimiser les cyber-risques. En voici quelques exemples :

L’insertion d’une clause de confidentialité dans les contrats de travail

Afin de sensibiliser les salariés à leurs obligations et aux limites de leurs libertés, telle que la liberté d’expression, il est recommandé d’insérer une clause de confidentialité dans chaque contrat de travail. Une telle clause renforce l’obligation générale de loyauté inhérente au contrat de travail.

La mise en place d’une charte pour l’utilisation responsable des outils numériques

En droit du travail, aucune donnée personnelle d’un salarié ne peut être collectée sans son accord préalable. La mise en place d’une charte pour l’utilisation responsable des outils numériques et sa communication à chaque collaborateur permettent d’assurer un niveau d’information individuelle.

De plus, deux informations collectives doivent être réalisées dans certains cas :

L’information et la formation régulière des salariés et du personnel stratégique en particulier

Il est vivement recommandé que les salariés suivent des formations régulières sur le thème de la cybersécurité. Plus particulièrement, le personnel stratégique doit bénéficier d’une information spécialisée dès sa prise de fonction mais également, et de façon régulière, de formations renforcées à cet égard.

La mise en place d’un circuit départ rigoureux

La mise en place d’un circuit départ assure qu’aucun salarié ne quitte l’entreprise en conservant des données internes ou des accès à ces données.

Dans ce cadre, un contrôle des fichiers stockés sur l’ordinateur professionnel du salarié peut être instauré. Pour rappel, l’employeur peut contrôler l’ensemble des fichiers enregistrés sur l’ordinateur professionnel de son salarié dès lors que ces fichiers ne sont pas estampillés « personnel ». De plus, même s’ils sont intitulés « personnel », les fichiers enregistrés sur l’ordinateur professionnel du salarié peuvent être ouverts par l’employeur à la seule condition d’être en présence du salarié.

En dernière date, un arrêt de la CEDH a précisé ce principe en énonçant que le fait pour un salarié de qualifier l’entier disque dur, ou une part significative de ce dernier, de « personnel » est abusif et n’empêche pas un contrôle de l’employeur en son absence (CEDH, 22 février 2018 n°588/13 Libert c/ France).

Au moment de la mise en place du plan d’actions en cas de cyberattaque, les règles du droit du travail s’avèrent également essentielles dans cette deuxième phase de la cybersécurité en entreprise.

Réagir à une cyberattaque dans le respect du droit du travail

Malgré tous les moyens de prévention qu’elle peut mettre en œuvre, l’entreprise n’est jamais à l’abri d’une cyberattaque.

Dans le cas où, le risque se réalise, l’urgence est de mise. Les équipes doivent réagir immédiatement afin d’éviter toutes conséquences négatives pour l’entreprise, tant du point de vue financier que du point de vue de sa réputation ou de sa responsabilité vis-à-vis des utilisateurs (clients, salariés…) dont elle détient les données personnelles.

Toutefois, l’urgence ne doit pas être synonyme de précipitation. Elle doit au contraire restée maitrisée afin d’assurer la conformité des actions à entreprendre par l’employeur avec ses obligations notamment en matière de droit du travail.

Il serait en effet regrettable de créer de nouveaux risques en voulant contrer le premier.

Au regard du droit du travail, deux thèmes paraissent particulièrement sujets à débat :

L’employeur, dans sa réaction à la cyberattaque, doit veiller au respect des règles qui gouvernent ces deux thèmes.

Le recours aux heures supplémentaires, au travail de nuit ou encore à l’astreinte

En principe, le salarié ne doit pas travailler plus de 10 heures par jour, plus de 48 heures par semaine ou plus de 44 heures par semaine en moyenne sur une période de 12 semaines consécutives. Il doit se reposer au minimum durant 11 heures consécutives entre deux journées de travail et au minimum 35 heures consécutives par semaine.

Cependant, en cas d’urgence, la majorité de ces restrictions sont sujet à dérogation.

Concrètement, même si l’article L.3121-18 du Code du travail, par exemple, prévoit une limite de la durée du travail journalier à 10h par jour, l’employeur en situation d’urgence telle que l’avènement d’une cyberattaque peut demander à ses salariés d’effectuer des heures supplémentaires au-delà de cette limite.

En effet, le recours aux heures supplémentaires est une prérogative de l’employeur, sans que le salarié ne puisse s’y opposer, sauf indisponibilité personnelle raisonnable (Cass. Soc. 26-11-2003 n° 01-43.140).

L’urgence n’autorise pas la détérioration de la santé et de la sécurité des salariés

Faut -il rappeler que l’employeur est tenu d’une obligation de sécurité de moyens renforcée vis-à-vis de ses salariés ? La règle est bien ancrée en jurisprudence et l’employeur doit donc, dans le cadre de la mise en place de son plan d’urgence, prendre en considération les capacités physiques et psychologiques de chaque salarié « réquisitionné ».

A titre d’illustration, le Code du travail interdit le travail de nuit des femmes enceintes. Quel que puisse être le caractère central du rôle d’une salariée dans le plan d’action anti-cyberattaque, l’employeur ne peut donc pas demander la présence de cette dernière la nuit (entre 21h du J1 et 6h du matin du J2) si elle est enceinte.

Un an après l’entrée en vigueur du Règlement Général de Protection des Données Personnelles (RGPD), les gardiens du nouvel « or noir » doivent ainsi mettre en œuvre les règles de protection des données personnelles mais aussi intégrer des pratiques respectueuses des principes fondamentaux du droit du travail dans leurs activités. Ces réflexes, les protègeront des mauvaises surprises que renferment parfois les quelques 3000 pages du Code du travail …