Télétravail : quelles directives donner à ses salariés ?
Télétravail : quelles directives donner à vos salariés pour travailler à distance en toute sécurité ? Connexion, matériel, données, vigilance : le guide pratique.
Le télétravail s’est imposé comme une organisation de travail incontournable pour de nombreuses entreprises. Il offre plus de flexibilité aux salariés et permet de réduire certains coûts (locaux, déplacements, restauration…). Mais pour l’employeur, il implique aussi de nouvelles responsabilités, notamment en matière de sécurité, d’organisation et de protection des données.
Mettre en place le télétravail ne consiste donc pas seulement à autoriser le travail à domicile. Il est essentiel de donner des directives claires à vos salariés afin d’encadrer les pratiques et de sécuriser votre activité.
Poser un cadre clair du télétravail
Avant de parler technique, il est utile de poser un cadre commun à tous les télétravailleurs.
Formaliser les règles dans un document écrit
Pour éviter les malentendus, il est recommandé de formaliser vos directives dans :
- Une charte télétravail ou une annexe au règlement intérieur
- Un avenant au contrat de travail, si nécessaire
- Un guide pratique remis à chaque salarié concerné
Ce document doit préciser notamment :
- Les jours et horaires de télétravail prévus
- Les outils mis à disposition (ordinateur, téléphone, logiciels…)
- Les règles de sécurité à respecter (mot de passe, mises à jour, stockage des données…)
- Les canaux de communication à privilégier (messagerie interne, visioconférence…)
- Les contacts en cas de problème technique ou de suspicion d’incident de sécurité
Rappeler les obligations de confidentialité
Le passage en télétravail ne modifie pas les obligations de confidentialité et de loyauté du salarié. Il est donc important de rappeler que :
- Les informations de l’entreprise restent confidentielles, même à domicile
- Les documents professionnels ne doivent pas être partagés avec des tiers (famille, amis…)
- Les supports contenant des données sensibles doivent être protégés (verrouillage de session, mots de passe, absence de copies inutiles…)
Sécuriser la connexion internet du salarié
La connexion internet est la porte d’entrée de l’entreprise vers le domicile du salarié. Une connexion mal protégée peut suffire à exposer vos données.
Bonnes pratiques à imposer sur la box et le Wi-Fi
Vous pouvez demander à vos salariés d’appliquer systématiquement les recommandations suivantes :
- Changer le mot de passe administrateur de la box internet s’il s’agit encore du mot de passe par défaut
- Vérifier les paramètres de sécurité auprès de leur opérateur, via le site ou l’espace client
- Activer un chiffrement Wi-Fi récent, idéalement WPA3, ou à défaut WPA2
- Utiliser un mot de passe Wi-Fi long et complexe (mélange de lettres, chiffres et caractères spéciaux)
- Éviter les noms de réseau (SSID) trop explicites (nom, adresse…)
Éviter les réseaux publics ou partagés
Il est prudent de rappeler à vos salariés qu’ils doivent :
- Éviter de se connecter à des réseaux Wi-Fi publics (cafés, gares, hôtels…) pour des tâches sensibles
- Ne jamais traiter ou transmettre de données confidentielles sur ce type de réseau
- Préférer une connexion via leur box personnelle ou, à défaut, un partage de connexion depuis leur téléphone sécurisé
Imposer l’utilisation d’un ordinateur suffisamment sécurisé
L’ordinateur utilisé pour le télétravail est l’outil principal du salarié. Sa sécurisation est non négociable.
Configuration minimale de sécurité
Indiquez clairement les exigences minimales que doit respecter tout poste utilisé en télétravail :
- Pare-feu activé (intégré au système ou solution dédiée)
- Antivirus installé et à jour
- Système d’exploitation maintenu à jour (par exemple, Windows 10 avec les derniers correctifs)
- Compte utilisateur protégé par un mot de passe robuste et unique
- Verrouillage automatique de la session après quelques minutes d’inactivité
Si le salarié utilise son poste personnel, précisez que :
- Le compte de travail doit être séparé du compte utilisé par les autres membres du foyer
- Le mot de passe ne doit être communiqué à personne, y compris aux proches
- Seuls les logiciels indispensables à l’activité professionnelle doivent être installés
Mises à jour et sauvegardes régulières
Expliquez à vos salariés pourquoi les mises à jour régulières sont cruciales :
- Elles corrigent des failles de sécurité connues
- Elles améliorent la stabilité et les performances des logiciels
Précisez les bonnes pratiques :
- Autoriser les mises à jour automatiques du système et des applications
- Lancer manuellement une vérification régulière si besoin
- Ne pas repousser indéfiniment les redémarrages nécessaires
De même, prévoyez une politique de sauvegarde des données :
- Sauvegardes régulières sur un serveur de l’entreprise, un cloud professionnel ou un support chiffré
- Interdiction de stocker les données sensibles sur des supports non sécurisés (clé USB non chiffrée, disque dur externe non protégé…)
Tableau récapitulatif des exigences minimales
| Élément à sécuriser | Exigence minimale recommandée |
|---|---|
| Connexion internet | Mot de passe administrateur modifié, chiffrement WPA2/WPA3 |
| Wi-Fi | Mot de passe complexe et long, SSID non explicite |
| Ordinateur | Pare-feu + antivirus à jour, OS maintenu, session verrouillable |
| Compte utilisateur | Mot de passe robuste, non partagé, session distincte du foyer |
| Sauvegarde des données | Sauvegardes régulières sur support ou service sécurisé |
Sécuriser aussi le téléphone professionnel ou personnel
De plus en plus de salariés utilisent leur téléphone pour consulter leurs mails professionnels, accéder à des applications métiers ou communiquer avec les clients.
Bonnes pratiques sur smartphone
Demandez systématiquement :
- L’activation d’un code PIN ou d’un verrouillage biométrique (empreinte, reconnaissance faciale selon les capacités)
- L’activation du chiffrement des données lorsque le téléphone le permet
- La mise à jour régulière du système et des applications sensibles
Recommandez également de :
- Éviter de stocker dans le téléphone des informations très sensibles (codes d’accès, codes secrets, coordonnées bancaires…)
- Protéger l’accès aux applications professionnelles par mot de passe ou double authentification quand c’est possible
Communiquer en toute sécurité et rester vigilant
Les échanges d’informations sont au cœur du télétravail. Ils doivent être encadrés pour ne pas exposer l’entreprise.
Choisir les bons canaux de communication
Précisez clairement dans vos directives :
- Les outils de messagerie à privilégier (messagerie professionnelle, intranet, outils collaboratifs sécurisés…)
- Les outils autorisés pour la visioconférence ou le partage de documents
- Les canaux à proscrire pour les données sensibles (messageries personnelles, services grand public non validés…)
Interdisez à vos salariés d’envoyer des données confidentielles via des messageries ou services publics non sécurisés. Si, pour une raison particulière, cela s’avère nécessaire, demandez :
- Un chiffrement préalable des données (fichier protégé par mot de passe, outil de chiffrement dédié…)
- La transmission du mot de passe sur un canal séparé (par exemple, mot de passe par téléphone et fichier par mail)
Lutter contre l’hameçonnage et les tentatives de fraude
Les télétravailleurs sont particulièrement exposés aux tentatives d’hameçonnage (phishing) : faux e-mails, faux SMS, appels douteux… Rappelez les bons réflexes :
- Ne jamais cliquer sur un lien ou ouvrir une pièce jointe provenant d’un contact inconnu ou suspect
- Vérifier attentivement l’adresse de l’expéditeur, même si le message semble provenir d’un organisme connu
- Se méfier des messages pressants demandant un paiement, une validation urgente ou la transmission d’informations confidentielles
- En cas de doute, contacter directement le service concerné par les canaux habituels
Encouragez vos salariés à signaler immédiatement tout message suspect ou incident de sécurité (ordinateur ralenti, comportement étrange, fichier qui disparaît…).
Accompagner vos salariés dans la durée
Les directives ne doivent pas rester théoriques. Pour être efficaces, elles doivent s’accompagner d’un suivi :
- Sensibilisation régulière aux bonnes pratiques (rappels, ateliers, guides…)
- Mise à disposition d’un contact support (interne ou prestataire) pour les questions techniques
- Mise à jour des règles au fur et à mesure de l’évolution des outils et des menaces
En donnant des consignes claires, concrètes et adaptées, vous permettez à vos salariés de télétravailler dans de bonnes conditions, tout en protégeant votre entreprise, vos clients et vos données sensibles.
Questions fréquentes
Quelles sont les premières règles à formaliser avant de mettre en place le télétravail ?
Définissez les jours et horaires de télétravail, les outils fournis, les règles de sécurité et de confidentialité, puis formalisez-les dans une charte ou un guide remis aux salariés.
Puis-je autoriser mes salariés à utiliser leur ordinateur personnel en télétravail ?
Oui, à condition d’exiger un minimum de protection : pare-feu, antivirus, mises à jour, compte protégé par mot de passe et séparation claire entre usage personnel et professionnel.
Comment limiter les risques liés au Wi-Fi domestique de mes salariés ?
Demandez le changement du mot de passe administrateur, l’activation du chiffrement WPA2 ou WPA3, un mot de passe Wi-Fi robuste et l’évitement des réseaux publics pour les tâches sensibles.
Quelles consignes donner pour l’utilisation du téléphone en télétravail ?
Imposez un verrouillage par code ou biométrie, le chiffrement si possible, la mise à jour régulière et évitez le stockage de données très sensibles sur le téléphone.
Comment sensibiliser efficacement mes équipes au risque d’hameçonnage ?
Expliquez les signaux d’alerte (adresses douteuses, urgence inhabituelle, demandes de données sensibles), donnez des exemples concrets et mettez en place un canal simple pour signaler les messages suspects.
Les données confidentielles peuvent-elles être envoyées par e-mail ?
Uniquement via des outils professionnels sécurisés et, si nécessaire, après chiffrement des fichiers avec un mot de passe transmis par un canal séparé.