Habiter

Suis-je responsable de la cybersécurité lors du télétravail ?

Même lord du télétravail, l'employé doit respecter les consignes de sécurité de l'entreprise.

Si un travailleur cause un dommage à son employeuse, intentionnellement ou par négligence, il est responsable. L'étendue de l'obligation de diligence de l'employé est déterminée « par le contrat, compte tenu du risque professionnel, de l’instruction ou des connaissances techniques nécessaires pour accomplir le travail promis, ainsi que des aptitudes et qualités du travailleur que l’employeur connaissait ou aurait dû connaître ». (Cf. aussi : « Qui est responsable si je cause des dommages à la voiture de l'association ? »)

Ce régime de responsabilité s'applique également au télétravail. Alors que l'employeuse doit veiller à ce que l'accès à distance soit techniquement sûr, l'employé doit se conformer aux mesures de sécurité imposées par l'entreprise. Les cas concrets de cyberattaques dans lesquels l'employé est responsable se décident au cas par cas.

L'employeuse doit garantir un accès à distance sécurisé

Si l'entreprise autorise le télétravail, elle doit s'assurer qu'il est possible de travailler en toute sécurité. Elle doit prendre différentes mesures en fonction des menaces. Dans son document « Télétravail : Sécuriser son accès à distance », l'Office fédéral de la cybersécurité (OFCS) informe sur les risques et les mesures de précaution les plus importants, notamment

les maliciels / le hameçonnage. L’OFCS recommande ici l'authentification à deux facteurs et l'utilisation de mots de passe forts ;

les attaques par rançongiciel. Si l'entreprise effectue en permanence des sauvegardes hors-ligne, y compris des fichiers stockés localement, elle peut empêcher le blocage réussi de l'accès aux données.

(Cf. aussi : « Qui paie le matériel de travail au télétravail ? »)

Le travailleur doit mettre en œuvre des mesures de sécurité

Comme l'écrit l’OFCS, l'entreprise doit impliquer ses collaborateurs dans la mise en œuvre des mesures contre les cyberattaques. D'une part, elle doit sensibiliser ses collaborateurs aux risques de la cybercriminalité, les former et les instruire. D'autre part, l'entreprise doit également garantir un accès à bas seuil au service d'assistance. Les collaborateurs doivent notamment savoir à qui ils peuvent et doivent s'adresser en cas de questions de sécurité.

De son côté, l'employé doit appliquer les mesures de protection également et surtout dans le cadre du télétravail et suivre les instructions de l'employeuse. S'il ne le fait pas, il devra éventuellement réparer tout ou partie du dommage qui en résulte. La question de savoir si et dans quelle mesure il est tenu de verser des dommages-intérêts dépend, comme toujours en matière de responsabilité du travailleur, des circonstances concrètes. Ainsi, la responsabilité est plus étendue si l'employé a sciemment ignoré les mesures de protection ou s'il est lui-même actif dans le domaine informatique et doit donc pouvoir évaluer le risque de cyberattaques. (Cf. aussi : « Puis-je utiliser le WLAN de mon voisin qui n'est pas protégé par un mot de passe ? »)