Sundar Pichai, le PDG de Google, a récemment annoncé que l’entreprise avait l’intention d’intégrer définitivement le télétravail dans ses méthodes de travail. Même avec une approche hybride du sujet, impliquant, par exemple, trois jours de travail au bureau et deux jours à distance.

Ces déclarations mettent bien en évidence l’intérêt croissant pour le télétravail, un outil que de nombreuses entreprises ont été contraintes d’expérimenter pour la première fois pendant le confinement et qui prend aujourd’hui les traits d’une véritable révolution. Dans de nombreux cas, il est devenu un choix structurel grâce à ses avantages indéniables, allant d’une meilleure conciliation de la vie professionnelle et de la vie personnelle à la réduction du stress dû aux déplacements pour se rendre au bureau.

UNE NOUVELLE NORMALITÉ

Actuellement, selon les données de l’Inapp (Institut national pour l’analyse des politiques publiques), 54% des salariés des grandes entreprises travaillent totalement ou partiellement à distance ; en outre, selon une analyse menée par l’Observatoire de l’école polytechnique de Milan et Randstad Research, dans les prochains mois, le télétravail pourrait concerner entre 3 et 5 millions de travailleurs. La voie à suivre devrait être celle tracée par le PDG de Google : selon une étude récente de Fondirigenti, on préférera diviser la semaine en deux ou alterner les journées en présence et celles à distance, afin de ne pas sacrifier les relations sociales et l’interaction physique avec les collègues. Selon Vittorio De Luca, directeur associé du cabinet d’avocats De Luca & Partners, spécialisé dans le droit du travail et le RGPD (règlement général sur la protection des données), « dans un avenir désormais proche, les politiques de télétravail sont susceptibles de devenir toujours plus une règle et non plus une simple exception ». Ces derniers mois, ces politiques ont également été encouragées par la législation : le Décret Riaperture a, en effet, prolongé jusqu’au 31 juillet prochain la possibilité pour les employeurs d’activer cet instrument par un acte unilatéral, c’est-à-dire sans devoir signer un accord individuel. Cette date limite devrait être prolongée jusqu’au 31 décembre également pour le secteur privé, qui serait ainsi aligné sur ce qui est déjà prévu pour l’administration publique. « Toutefois, souligne Me De Luca, à la fin de la période de crise sanitaire, il sera opportun et nécessaire de réglementer ponctuellement les rapports entre les parties concernées, c’est-à-dire les employeurs d’une part et les travailleurs (télétravailleurs) d’autre part. »

LES NŒUDS À DÉFAIRE

C’est la loi 81 de 2017 qui a introduit le télétravail dans le droit italien. Le télétravail, explique Me De Luca, est défini dans la réglementation « comme un mode nouveau et flexible d’organisation du travail subordonné, qui ne dépend pas de la définition exacte du lieu et du temps de travail, à condition que l’activité puisse se dérouler en partie à l’intérieur des locaux de l’entreprise et en partie à l’extérieur, sans lieu fixe, mais dans le respect des limites des durées maximales de travail journalier et hebdomadaire établies par la loi et par la Convention collective nationale du travail du secteur. La condition indispensable pour que cela se produise, poursuit-il, est la conclusion d’un accord, strictement par écrit (à des fins de preuve et de régularité administrative), entre l’entreprise et le travailleur ». Et c’est précisément la levée des limites spatiales et temporelles, observe l’expert, « qui, si elle n’est pas réglée au préalable, peut entraîner des conséquences négatives tant pour le travailleur que pour l’employeur, tant du point de vue professionnel/du travail que social/personnel ».

« En fait, le télétravail a soustrait l’essentialité du profil temporel de la performance, en plaçant au centre les objectifs et la performance des ressources concernées », explique Me De Luca. Pour lequel « il devient primordial pour les employeurs d’avoir la capacité de vérifier et de mesurer les résultats du télétravailleur », tout en déterminant, cependant, « les formes d’exercice du pouvoir de l’employeur, avec une attention particulière aux modalités, aux objectifs et aux contenus de celui-ci ». D’où la nécessité, conclut-il, « d’introduire des accords, accompagnés de procédures et de règlements internes, régissant ces aspects, en instruisant également le travailleur sur l’utilisation des équipements de travail et sur la sécurité de l’entreprise et la protection des données personnelles ».

L’Autorité garante pour la protection des données personnelles, par l’arrêté n° 17 du 23 janvier 2020, qui sanctionne une université italienne pour ne pas avoir protégé de manière adéquate la confidentialité des données d’identification de deux sujets, les lanceurs d’alerte, qui avaient signalé de potentiels comportements illicites, a réitéré l’existence d’une obligation, pour l’employeur « Responsable du traitement » (aux termes de l’article 4 du Règlement UE 2016/679, le « RGPD ») de mettre en œuvre des mesures techniques et organisationnelles adaptées pour garantir la protection des données personnelles traitées (cf. Newsletter du garant n° 462 du 18 février 2020).

De manière plus spécifique, à l’époque des faits, l’Université, pour répondre aux obligations de protection adéquate du salarié qui signale des conduites illicites au sein de l’environnement de travail (le « lanceur d’alerte » introduit dans le droit italien par le décret législatif n° 165 du 30 mars 2001), avait choisi d’utiliser une solution technologique. Dans ce cas, pour garantir la protection de l’acquisition et de la gestion des signalements des comportements illicites, l’Université avait recours à l’utilisation d’une plateforme logicielle fournie par un sujet tiers extérieur à l’organisation de l’Université en elle-même.

Pendant une modification avec mise à jour simultanée du logiciel, un phénomène dit d’écrasement des autorisations d’accès s’est produit, ce qui a entraîné l’exposition des données personnelles des deux lanceurs d’alerte, sur certains moteurs de recherche accessibles et visualisables par quiconque effectuait une recherche sur Internet.

Face à quoi, l’Université a notifié l’Autorité garante pour la protection des données personnelles d’une violation, appelée data breach, par laquelle elle dénonçait la dispersion des données personnelles courantes des deux lanceurs d’alerte sur le réseau public, rendues de cette manière potentiellement consultables par tous. 

L’activité d’instruction, mise en œuvre par l’Autorité garante de la protection des données personnelles, a relevé que l’Université n’avait pas adopté certains moyens techniques et organisationnels, destinés à garantir « les exigences de sécurité et de confidentialité propres à la gestion des données dans le cadre de procédures de lancement d’alerte », en ne prévoyant pas, notamment, une procédure correcte pour le contrôle des accès, qui aurait dû limiter le traitement des données au personnel autorisé.

En effet, l’Université s’était limitée à s’approprier les mesures de sécurité choisies par le fournisseur du logiciel. Toutefois, les mesures de sécurité susmentionnées n’étaient ni adaptées ni adéquates, puisque qu’elles ne prévoyaient pas de moyens comme le chiffrage ou l’adoption d’un protocole de communication sécurisée des informations, permettant ainsi la violation de la confidentialité et de l’intégrité des données personnelles traitées et la conservation et l’accessibilité inadaptées de celles-ci.

En particulier, l’Autorité garante pour la protection des données personnelles a affirmé que « Concernant l’application en question, compte tenu de la nature, de l’objet et des finalités du traitement, ainsi que du risque élevé pour les droits et les libertés des personnes fournissant le signalement, la solution adoptée par l’Université ne peut être considérée comme une mesure technique adaptée pour garantir la confidentialité et l’intégrité des données traitées, ainsi que l’authenticité du site web visualisé par les sujets qui l’utilisent aussi bien comme canal d’envoi des signalements (employés, étudiants, etc.) que comme instrument de gestion de celles-ci (RPCT et ses éventuels collaborateurs ».

Cliquez ici pour continuer à lire l’article.