Qui est responsable en cas de piratage de données au domicile du télétravailleur ?
Réponse courte
L'employeur reste le responsable du traitement des données au sens du RGPD (article 32), même lorsque le piratage survient au domicile du télétravailleur frontalier situé à l'étranger. Il doit mettre en place les mesures techniques et organisationnelles appropriées (VPN, chiffrement, authentification multifacteur) pour protéger les données, y compris sur les équipements distants. Le salarié ne peut voir sa responsabilité engagée qu'en cas de faute personnelle caractérisée (négligence grave, non-respect délibéré des consignes de sécurité), comme précisé dans la fiche sur incident de sécurité informatique en télétravail.
En cas de violation de données, l'employeur doit notifier la CNPD dans les 72 heures conformément à l'article 33 du RGPD et, le cas échéant, informer les personnes concernées. Le fait que le piratage ait eu lieu au domicile situé en France, Belgique ou Allemagne ne modifie pas cette obligation de notification.
Définition
La responsabilité en cas de piratage au domicile du télétravailleur implique la détermination du partage des obligations entre l'employeur (responsable de traitement) et le salarié (utilisateur des outils). Le RGPD impose au responsable de traitement d'assurer un niveau de sécurité adapté au risque, quel que soit le lieu de traitement des données, comme précisé dans la fiche sur audit RGPD pour les postes de télétravail.
Conditions d’exercice
La répartition des responsabilités obéit à un cadre précis.
| Acteur | Responsabilité |
|---|---|
| Employeur | Mise en place des mesures de sécurité techniques |
| Employeur | Notification CNPD sous 72 heures |
| Employeur | Formation du salarié aux risques de sécurité |
| Salarié | Respect des consignes de sécurité |
| Salarié | Signalement immédiat de tout incident |
| Tiers pirate | Responsabilité pénale de l'auteur de l'attaque |
Modalités pratiques
L'employeur anticipe le risque de piratage au domicile du télétravailleur.
| Élément | Détail |
|---|---|
| VPN obligatoire | Connexion sécurisée pour tout accès distant |
| Chiffrement | Disque dur et communications chiffrés |
| Authentification | Multifacteur pour l'accès aux systèmes |
| Antivirus | Géré centralement par l'employeur |
| Procédure d'incident | Signalement, isolement, notification, remédiation |
Pratiques et recommandations
Déployer un socle technique de sécurité obligatoire sur tous les postes de télétravail : VPN, chiffrement, authentification multifacteur et antivirus centralisé.
Former les télétravailleurs frontaliers aux bonnes pratiques de cybersécurité (phishing, mots de passe, réseaux Wi-Fi, séparation des usages professionnels et personnels).
Établir une procédure d'incident claire imposant au salarié de signaler immédiatement toute suspicion de piratage ou de fuite de données.
Souscrire une assurance cyber-risques couvrant les incidents survenant au domicile des télétravailleurs, en vérifiant que la couverture s'étend aux pays voisins.
Cadre juridique
Le cadre juridique applicable repose sur les textes suivants.
| Référence | Objet |
|---|---|
| Règlement (UE) 2016/679 (RGPD), art. 32-34 | Sécurité du traitement et notification des violations |
| Art. L.261-1 du Code du travail | Traitement de données aux fins de surveillance |
| Loi du 1er août 2018 | Organisation de la CNPD |
| Art. L.312-1 du Code du travail | Obligation de sécurité de l'employeur |
Note
La responsabilité du salarié ne peut être engagée que s'il a commis une faute caractérisée (utilisation du matériel professionnel à des fins personnelles sur des sites à risque, désactivation de l'antivirus, partage de mots de passe). L'employeur qui n'aurait pas fourni les outils de sécurité adéquats ne peut pas reporter la responsabilité sur le salarié.