Introduction
Obligation de sécurité de l'employeur en télétravail
L'employeur est tenu par une obligation de sécurité de résultat envers ses salariés (article L4121-1 du Code du travail). Cette obligation s'étend au télétravail : l'employeur doit prendre les mesures nécessaires pour assurer la sécurité et protéger la santé physique et mentale des travailleurs, y compris lorsqu'ils travaillent à distance. Le non-respect de cette obligation peut engager la responsabilité pénale de l'employeur (contravention de 5ème classe, jusqu'à 1 500 € d'amende) et sa responsabilité civile.
En matière de sécurité informatique, l'employeur doit :
- Fournir les outils de travail sécurisés (ordinateur, VPN, antivirus, gestionnaire de mots de passe)
- Établir une charte informatique et une politique de sécurité des systèmes d'information (PSSI)
- Mettre en place un accès sécurisé aux systèmes d'information (VPN, authentification à deux facteurs)
- Désigner un Délégué à la Protection des Données (DPD/DPO) si l'entreprise traite des données personnelles
- Former les salariés aux risques de cybersécurité liés au télétravail
VPN et outils de sécurisation imposés
Le VPN (Virtual Private Network) est l'outil de base de la sécurité en télétravail. Il chiffre les communications entre le poste du télétravailleur et le réseau de l'entreprise, empêchant les interceptions sur les réseaux non sécurisés (Wi-Fi public, box domestique). L'employeur doit :
- Fournir un VPN professionnel : les VPN gratuits ne sont pas conformes aux exigences de sécurité de l'entreprise et peuvent eux-mêmes collecter des données.
- Imposer l'authentification à deux facteurs (2FA) : mot de passe + code SMS ou application d'authentification. L'ANSSI recommande la 2FA pour tout accès distant aux systèmes d'information.
- Équiper les postes d'un antivirus et d'un pare-feu : l'employeur doit installer et maintenir à jour les logiciels de sécurité sur les postes de télétravail.
- Fournir un gestionnaire de mots de passe : pour éviter les mots de passe faibles et les réutilisations, l'employeur doit fournir un outil professionnel (Bitwarden, 1Password, KeePass).
Charte informatique et PSSI : le cadre obligatoire
La charte informatique et la Politique de Sécurité des Systèmes d'Information (PSSI) définissent les règles que le télétravailleur doit respecter :
- Usages autorisés et interdits : quels outils sont permis (messagerie professionnelle, VPN), quels usages sont interdits (navigation personnelle sur le poste pro, stockage de données sensibles sur un appareil personnel).
- Règles d'accès à distance : connexion obligatoire via VPN, 2FA systématique, verrouillage de l'écran en cas d'absence.
- Gestion des incidents : obligation de signaler tout incident de sécurité dans les 24 heures au DPD/DPO ou au responsable informatique.
- Séparation des usages pro/perso : interdiction d'utiliser le poste professionnel pour un usage personnel, et inversement.
La charte doit être signée par le salarié lors de la mise en place du télétravail et lors de chaque modification substantielle.
Délégué à la Protection des Données (DPD/DPO) : rôle en télétravail
Le Délégué à la Protection des Données (DPD/DPO) a un rôle clé en télétravail :
- Conseil : il accompagne l'employeur dans la mise en conformité RGPD des outils de télétravail (visioconférence, messagerie, stockage cloud).
- Contrôle : il vérifie que les données personnelles des salariés ne sont pas excessivement collectées lors du télétravail (géolocalisation, surveillance des connexions).
- Notification : en cas de fuite de données, le DPD doit notifier la CNIL dans les 72 heures (article 33 du RGPD).
- Obligation de désignation : tout organisme public et toute entreprise de plus de 250 salariés ou traitant des données sensibles à grande échelle doit désigner un DPD (article 37 du RGPD).
RGPD et transfert de données hors locaux
Le télétravail implique souvent un transfert de données hors des locaux de l'entreprise. Le RGPD impose :
- Minimisation des données : ne transférer que les données strictement nécessaires au télétravail.
- Chiffrement : les données sur le poste de télétravail doivent être chiffrées (disque chiffré, communications via VPN).
- Hébergement : les données doivent être hébergées sur des serveurs conformes au RGPD. Le Cloud Act américain permet aux autorités américaines d'accéder aux données hébergées par les entreprises US — privilégiez les hébergeurs européens.
- Sous-traitants : tout outil de visioconférence ou de stockage cloud utilisé en télétravail doit faire l'objet d'un contrat de sous-traitance conforme à l'article 28 du RGPD.
Sanctions en cas de manquement
Le non-respect des obligations de sécurité en télétravail expose l'employeur à :
- Sanctions pénales : contravention de 5ème classe (jusqu'à 1 500 € d'amende) pour non-respect de l'obligation de sécurité (article L4741-1 du Code du travail).
- Sanctions administratives CNIL : jusqu'à 20 millions d'euros ou 4 % du CA annuel mondial pour non-conformité au RGPD (article 83 du RGPD).
- Responsabilité civile : dommages et intérêts en cas de préjudice subi par le salarié ou par des tiers suite à une fuite de données.
- Injonction de l'inspection du travail : mise en demeure de mettre en conformité les outils de télétravail sous 15 jours.
Étapes à suivre5
Évaluer les risques liés au télétravail
L'employeur doit réaliser une évaluation des risques spécifiques au télétravail (document unique d'évaluation des risques, DUER). Les risques identifiés incluent : accès non autorisé aux données depuis un réseau domestique, interception de communications sur Wi-Fi public, vol ou perte de matériel professionnel, utilisation d'outils personnels non sécurisés. Cette évaluation doit être mise à jour chaque année et partagée avec le CSE (Comité Social et Économique). L'ANSSI propose un guide de bonnes pratiques pour le télétravail sécurisé.
Établir une charte informatique et une PSSI
Rédigez une charte informatique de télétravail qui définit les usages autorisés et interdits, les règles d'accès à distance (VPN obligatoire, 2FA systématique), la gestion des incidents (signalement dans les 24h), et la séparation des usages pro/perso. La Politique de Sécurité des Systèmes d'Information (PSSI) complète la charte avec les aspects techniques : chiffrement des disques, mots de passe complexes, mises à jour automatiques, interdiction des clés USB personnelles. La charte doit être signée par chaque télétravailleur.
Mettre en place VPN et authentification 2FA
Déployez un VPN professionnel pour tous les télétravailleurs. Le VPN chiffre les communications et empêche les interceptions. Configurez l'authentification à deux facteurs (2FA) sur tous les outils d'accès distant : messagerie, ERP, CRM, stockage cloud. L'ANSSI recommande l'authentification forte pour tout accès distant. Fournissez un gestionnaire de mots de passe professionnel (Bitwarden, 1Password) pour éviter les mots de passe faibles et les réutilisations.
Désigner un DPD/DPO et vérifier la conformité RGPD
Désignez un Délégué à la Protection des Données (DPD/DPO) si votre entreprise traite des données personnelles à grande échelle ou emploie plus de 250 salariés. Le DPD vérifie la conformité RGPD des outils de télétravail (visioconférence, messagerie, cloud), contrôle que les données des salariés ne sont pas excessivement collectées, et doit notifier la CNIL dans les 72 heures en cas de fuite de données. Vérifiez que chaque outil de télétravail fait l'objet d'un contrat de sous-traitance conforme à l'article 28 du RGPD.
Former les salariés à la cybersécurité
La formation à la cybersécurité est obligatoire (article L4121-1 du Code du travail). Organisez une formation annuelle couvrant : les risques de phishing et d'ingénierie sociale, l'utilisation du VPN et de la 2FA, la gestion des mots de passe, la détection des emails suspects, les règles de la charte informatique. Les formations en ligne (module e-learning de 30 à 60 minutes) sont acceptées. Conservez les attestations de formation comme preuve de conformité.
Conseils pratiques
- Utilisez un gestionnaire de mots de passe professionnel (Bitwarden, 1Password) pour générer et stocker des mots de passe complexes uniques pour chaque service.
- Séparez strictement les usages professionnels et personnels : ne consultez pas votre messagerie personnelle sur le poste professionnel, et n'utilisez pas votre ordinateur personnel pour accéder aux outils de l'entreprise.
- Vérifiez que les mises à jour automatiques sont activées sur tous les postes de télétravail (système d'exploitation, navigateur, antivirus). Les mises à jour corrigent les failles de sécurité critiques.
- Documentez tout incident de sécurité dans les 24 heures : date, heure, nature de l'incident, actions correctives. Cette documentation est indispensable en cas d'audit CNIL ou de contentieux.
- Privilégiez les hébergeurs européens pour les outils de visioconférence et de stockage cloud afin d'éviter les risques liés au Cloud Act américain.
Points d'attention
- Ne jamais utiliser le Wi-Fi public sans VPN : les réseaux Wi-Fi des cafés, hôtels et aéroports sont facilement interceptés. Activez toujours le VPN avant de consulter votre messagerie ou d'accéder aux outils de l'entreprise.
- Ne pas stocker de données sensibles sur un appareil personnel non sécurisé : les données des clients, les fichiers RH et les informations financières doivent rester sur les outils professionnels sécurisés. Le BYOD (Bring Your Own Device) doit être encadré par la charte informatique.
- Signaler tout incident de sécurité dans les 24 heures au DPD/DPO ou au responsable informatique. Le non-signalement peut engager la responsabilité de l'employé et de l'employeur en cas de fuite de données (RGPD, article 33).
Questions fréquentes4
Le VPN est-il obligatoire pour le télétravail ?
Oui. L'obligation de sécurité de résultat imposée à l'employeur par l'article L4121-1 du Code du travail implique la mise en place d'un VPN pour tout accès distant aux systèmes d'information de l'entreprise. L'ANSSI recommande le VPN comme mesure de base pour le télétravail sécurisé. L'employeur doit fournir le VPN professionnel — les VPN gratuits ne sont pas conformes et peuvent eux-mêmes collecter des données.
Qui est responsable en cas de fuite de données en télétravail ?
L'employeur est responsable de la sécurité des données traitées par ses salariés, y compris en télétravail (obligation de sécurité de résultat, article L4121-1 du Code du travail). En cas de fuite de données personnelles, l'employeur doit notifier la CNIL dans les 72 heures (article 33 du RGPD). Le salarié peut aussi être tenu responsable s'il a commis une faute intentionnelle ou une négligence grave (utilisation d'un outil personnel non autorisé, désactivation du VPN, partage de mots de passe).
Que doit contenir la charte informatique de télétravail ?
La charte informatique de télétravail doit définir : les outils autorisés et interdits (VPN, messagerie professionnelle, stockage cloud), les règles d'accès à distance (2FA obligatoire, verrouillage d'écran), la gestion des incidents (signalement dans les 24h), la séparation des usages pro/perso, les règles de sécurité (chiffrement des disques, mots de passe complexes, mises à jour automatiques), et les sanctions en cas de non-respect. Elle doit être signée par chaque télétravailleur.
L'employeur peut-il surveiller l'ordinateur du télétravailleur ?
L'employeur peut surveiller l'utilisation du matériel professionnel dans la limite du principe de proportionnalité (article L1222-4 du Code du travail). La surveillance doit être justifiée par l'intérêt de l'entreprise, proportionnée au but poursuivi, et les salariés doivent être informés préalablement. L'employeur ne peut pas : géolocaliser le salarié en permanence, surveiller les communications privées, accéder à la webcam sans l'accord du salarié. Le CSE doit être consulté avant toute mise en place de surveillance.
Guides Technologie & IA
Voir toutConstruire un chatbot local avec Ollama et Python en 30 minutes
Utiliser DeepSeek V4 en 2026 pour améliorer la recherche
Utiliser Claude Opus 4.7 en 2026 pour améliorer la productivité
Pixels de suivi dans les emails en 2026 : détecter, bloquer et protéger sa vie privée
AI Act européen 2026 : droits des particuliers, recours et impact
Poursuivez votre lecture
Multi-catégoriesÉquipe éditoriale GuidePratiquefr
Rédacteurs spécialisés en droit, fiscalité et finances
Rédigé et vérifié par notre équipe de rédacteurs spécialisés. Sources officielles consultées : service-public.fr, legifrance.gouv.fr, impots.gouv.fr, ameli.fr. Dernière vérification : 19 mai 2026.
Sources officielles consultées
Les informations contenues dans ce guide sont fournies à titre indicatif et ne remplacent pas un conseil professionnel personnalisé.