Depuis 2020, le monde entier vit au dépend de la crise sanitaire liée au Covid-19. Chaque société s’est vue adapter ses modes de travail, laissant place à un système hybride, partagé entre le travail au bureau et celui à la maison.

Afin de fixer un cadre légal, la Commission de Surveillance du Secteur Financer (CSSF) a instauré la circulaire 21/769 introduisant les règles à mettre en place au sein de chaque entité PSF. Bien qu’elle devait entrer en vigueur lors de l’annonce de fin de pandémie, elle entrera en application au 2 janvier prochain si de nouvelles mesures gouvernementales ne sont pas annoncées d’ici-là.

Vous souhaitez en savoir plus et évaluer votre compliance ? Nous vous expliquons tout !

Champ d’application

La circulaire 21/769 concerne toutes les entités régulées comprenant le secteur financier, les succursales à l’étranger d’entités luxembourgeoises et les succursales de pays hors de l’espace économique européen pour autant que ces pays d’origine aient également statué sur le télétravail ! Attention, si tel n’est pas le cas, les entités pourraient se réfugier derrière les notions légales de leur pays respectif ! Ne négligez donc pas cette étape !

Partie RH

Par sa circulaire, la CSSF demande à toutes les entités régulées de définir un cadre de gouvernance du télétravail. Il s’agit là d’un document, d’une politique qui définit le droit de télétravail, à qui elle s’adresse et les mesures pour y parvenir. Une partie concernant la sécurité encadrant les systèmes doit également être intégrée dans cette politique.

Attention, lorsqu’une entreprise déclenche un plan de désastre, ne pouvant ainsi plus exercer au sein de ses locaux, faire appel aux salles BCP d’entreprises tiers ne rentrent pas dans le cadre du télétravail.

Principes généraux

Les principes généraux, c’est maintenir les axes clés que le secteur financier nous demande. Nous entendons par là :

  • – Une confidentialité, une intégrité et une disponibilité des données et des systèmes d’informations. Le secteur financier doit être vigilant aux activités faites en télétravail. Les sociétés vont devoir décrire les tâches qu’elles vont autoriser et celles qui ne le seront pas. Il faudra également remplir le registre des activités critiques qui vont devoir être établies par les sociétés et les comités de direction.
  • – Une solution de télétravail ne requiert pas d’autorisation de la CSSF. En effet, cette circulaire est émise par la Commission pour que les PSF puissent respecter les règles relatives au télétravail ainsi qu’encadrer et donner les bonnes pratiques à mettre en place pour sécuriser l’espace de travail.
  • – Différencier les niveaux de privilèges accordés aux utilisateurs en indiquant clairement les niveaux de privilèges autorisés en télétravail.

Dispositions légales

Pour la circulaire 21/769, les entreprises régulées se doivent de faire du reporting. Tous les éléments rapportés permettront à la CSSF de certifier que les entités concernées concernent la circulaire mise en place.

Mais ce n’est pas tout. La circulaire nous imposent également de respecter la législation des pays, y compris les accords transfrontaliers. Lorsque vous allez construire vos gouvernances dans les entreprises, pensez à la méthode que vous allez utiliser pour renseigner ce télétravail et pour le contrôler. Vous devez tenir des registres de quantités de jours prestées en télétravail et vous assurer que les accords transfrontaliers ne soient pas dépassés.

Veillez toujours bien à renseigner à vos employés les accords actuels, les maximas à ne pas dépasser et à prévoir toutes ces dispositions dans les systèmes de gouvernance. Conseil : cette politique doit être partagée et acceptée par l’ensemble des employés. Il s’agira d’une annexe qui reprendra toutes les dispositions de la circulaire et qui sera jointe au contrat de travail préexistant.

Exigences de base

Dans la circulaire CSSF 21/769, les exigences sont essentielles et se doivent d’être respectées :

  • – Définir le nombre d’employés en télétravail et le lieu-dit : cela peut paraitre étonnant mais tout n’est pas assimilable à du télétravail. En effet, les congés, les formations et la maladie ne sont pas du télétravail. Il faut donc définir ce qu’est le télétravail et le lieu où l’employé peut l’exercer.

Dans un second temps, il est du devoir de l’employeur de vérifier que le lieu fixé est bien respecté.

Il est important de noter également que des exceptions peuvent être prévues dans la politique. Nous entendons par « exceptions » le fait que des VIP ou des membres de la direction peuvent être amenés à utiliser des dispositifs de télétravail dans d’autres lieux que leur domicile.

 

  • – Respecter le temps de travail : Télétravailler ne signifie pas que les employés sont asservis à leur employeur 24h/24 et 7j/7. Il faut indiquer les plages horaires dites de travail et celles destinées à la vie privée. Notons que le temps de travail au bureau est identique au temps de travail à la maison.

 

  • – Présence d’un membre de la Direction : La circulaire impose d’avoir une part représentative de la Direction. Un membre doit être présent sur le site en permanence. La CSSF prend cependant en compte la notion de distance pour laquelle elle accepte une présence limitée. Elle souhaite pouvoir rencontrer la direction à tout moment dans un délai de plus ou moins une heure. Si notre domicile ou celui de la direction est espacé de plus d’une heure, il est du devoir de l’entreprise de mettre en place une rotation pour garantir un effectif d’au moins 50% en présentiel de la direction.

 

  • – Assurer les activités critiques en tout temps : ces activités étant souvent assurées par le management et celui-ci devant être présent au moins à hauteur de 50%, les activités devraient donc être couvertes sans problème. Néanmoins, il faut prévoir les cas complexes et gérer les traitements de fond grâce à des analyses de risques destinées à définir les activités non-autorisées en télétravail. C’est un document que toutes les entités doivent avoir en plus de la politique de base mise en place.

 

  • – Faire du reporting (essentiel sur base annuelle) : Où en sont les analyses de risques, les gap analysis, comment l’entité va mesurer les activités critiques, comment s’assurer que la politique est bien respectée ?

 

  • – Eviter les perturbations : prévoir le cadre du télétravail de l’employé et s’assurer qu’il a tout ce qu’il faut chez lui pour travailler correctement. Encadrer l’employé pour qu’il se sente comme au bureau. S’assurer que le dispositif est correct et fonctionnel.

 

  • – Assurer une responsabilité en présentiel.

 

Télétravail

 

Sécurité informatique, ou comment protéger son entité pour être conforme à la circulaire ?

En tant que service provider, nous avions à cœur d’opter pour une solution efficace, offrant une meilleure gestion, un contrôle et un audit de toutes les connexions sur l’infrastructure du client. Wallix Bastion répond à ses besoins et permet un respect sans faille de la circulaire CSSF 21/769.

Dans le même esprit, gérer les périphériques et respecter le secret professionnel ainsi que les exigences en matière de protection des données sont des points tout aussi importants à ne pas négliger.

C’est pourquoi, le Conseil d’Administration des entités surveillées est tenu de tenir une politique complète et précise encadrant le télétravail au niveau :

  • – Des activités en télétravail,
  • – Des activités au bureau,
  • – Du nombre d’employés en télétravail,
  • – Des fonctions stratégiques,
  • – De la présence de la direction autorisée,
  • – …

Attention, la politique de télétravail doit être revue et validée chaque année par la Direction.

Les entités surveillées doivent conserver les preuves permettant le contrôle du respect des obligations découlant de la politique de télétravail (à la disposition de la CSSF).

En interne, les rapports annuels doivent comprendre toute anomalie qui se seraient passées en télétravail, inclure les statistiques et le rapport doit être validé par la direction.

Sensibilisation aux risques

Ce point est essentiel pour le bon fonctionnement du télétravail. Chaque employeur doit veiller à ce que tous les membres de son personnel soient sensibilisés aux risques et aux pratiques du télétravail.  C’est annuel, obligatoire et ça couvre tous les risques techniques et organisationnels auxquels les entreprises pourraient faire face.

Rsecure met en place des formations en ligne de sensibilisation qui permettent de former les équipes en adoptant les bons comportements.

Dispositifs d’accès à utiliser

L’entreprise doit garder la main sur les dispositifs d’accès à distance pour éviter tout problème. L’entité surveillée doit veiller à ce que les sessions à distance soient chiffrées (par exemple : utilisation de Citrix), et que le support d’enregistrement soit crypté. Il est également interdit d’utiliser des supports externes (stocker des données sur une clé USB ou autre). Enfin, la dernière interdiction mais certainement pas la moindre, il est formellement interdit aux employés d’envoyer des messages sur des messageries privées (Yahoo, Gmail…) en y incluant des informations sur l’entreprise.

Veillez donc bien à vérifier le contenu de vos messages pour y repérer des informations potentiellement sensibles !

Comment évaluer la compliance de mon entreprise ? Le rapport 21/769 ! 

Rsecure a mis en place une interface web dotée d’un outil de self-assessment qui permet de s’auto-évaluer en matière de compliance. L’idée est simple, chaque entreprise doit répondre à une série de questions concernant :

  • – Les exigences en matière des risques liés aux TICs & de sécurité,
  • – Le respect d’autres dispositions légales,
  • – Les exigences de base,
  • – La disposition d’organisation interne et de contrôle interne.

Une fois le questionnaire complété, un rapport vous est automatiquement envoyé avec les points d’attention concernant l’adhérence à cette circulaire. Par exemple, nous retrouvons les catégories de questions auxquelles l’entreprise a répondues ainsi que le niveau de maturité sur le contrôle, sur le document et sur le risque moyen (image ci-dessous).

Rsecure

Bien que tout ceci ne concerne principalement que les PSF, les bonnes pratiques de la circulaire 21/769 peuvent s’appliquer à toutes les entreprises.

Vous souhaitez recevoir plus d’informations sur la circulaire ou vous avez une question ? N’hésitez pas à nous envoyer sales@rcube.lu et à revoir notre webinaire : https://bit.ly/3nOttiG