#PSF
06/08/2020
Depuis 2020, le monde entier vit au dépend de la crise sanitaire liée au Covid-19. Chaque société s’est vue adapter ses modes de travail, laissant place à un système hybride, partagé entre le travail au bureau et celui à la maison.
Afin de fixer un cadre légal, la Commission de Surveillance du Secteur Financer (CSSF) a instauré la circulaire 21/769 introduisant les règles à mettre en place au sein de chaque entité PSF. Bien qu’elle devait entrer en vigueur lors de l’annonce de fin de pandémie, elle entrera en application au 2 janvier prochain si de nouvelles mesures gouvernementales ne sont pas annoncées d’ici-là.
Vous souhaitez en savoir plus et évaluer votre compliance ? Nous vous expliquons tout !
La circulaire 21/769 concerne toutes les entités régulées comprenant le secteur financier, les succursales à l’étranger d’entités luxembourgeoises et les succursales de pays hors de l’espace économique européen pour autant que ces pays d’origine aient également statué sur le télétravail ! Attention, si tel n’est pas le cas, les entités pourraient se réfugier derrière les notions légales de leur pays respectif ! Ne négligez donc pas cette étape !
Par sa circulaire, la CSSF demande à toutes les entités régulées de définir un cadre de gouvernance du télétravail. Il s’agit là d’un document, d’une politique qui définit le droit de télétravail, à qui elle s’adresse et les mesures pour y parvenir. Une partie concernant la sécurité encadrant les systèmes doit également être intégrée dans cette politique.
Attention, lorsqu’une entreprise déclenche un plan de désastre, ne pouvant ainsi plus exercer au sein de ses locaux, faire appel aux salles BCP d’entreprises tiers ne rentrent pas dans le cadre du télétravail.
Principes généraux
Les principes généraux, c’est maintenir les axes clés que le secteur financier nous demande. Nous entendons par là :
Dispositions légales
Pour la circulaire 21/769, les entreprises régulées se doivent de faire du reporting. Tous les éléments rapportés permettront à la CSSF de certifier que les entités concernées concernent la circulaire mise en place.
Mais ce n’est pas tout. La circulaire nous imposent également de respecter la législation des pays, y compris les accords transfrontaliers. Lorsque vous allez construire vos gouvernances dans les entreprises, pensez à la méthode que vous allez utiliser pour renseigner ce télétravail et pour le contrôler. Vous devez tenir des registres de quantités de jours prestées en télétravail et vous assurer que les accords transfrontaliers ne soient pas dépassés.
Veillez toujours bien à renseigner à vos employés les accords actuels, les maximas à ne pas dépasser et à prévoir toutes ces dispositions dans les systèmes de gouvernance. Conseil : cette politique doit être partagée et acceptée par l’ensemble des employés. Il s’agira d’une annexe qui reprendra toutes les dispositions de la circulaire et qui sera jointe au contrat de travail préexistant.
Exigences de base
Dans la circulaire CSSF 21/769, les exigences sont essentielles et se doivent d’être respectées :
Dans un second temps, il est du devoir de l’employeur de vérifier que le lieu fixé est bien respecté.
Il est important de noter également que des exceptions peuvent être prévues dans la politique. Nous entendons par « exceptions » le fait que des VIP ou des membres de la direction peuvent être amenés à utiliser des dispositifs de télétravail dans d’autres lieux que leur domicile.
En tant que service provider, nous avions à cœur d’opter pour une solution efficace, offrant une meilleure gestion, un contrôle et un audit de toutes les connexions sur l’infrastructure du client. Wallix Bastion répond à ses besoins et permet un respect sans faille de la circulaire CSSF 21/769.
Dans le même esprit, gérer les périphériques et respecter le secret professionnel ainsi que les exigences en matière de protection des données sont des points tout aussi importants à ne pas négliger.
C’est pourquoi, le Conseil d’Administration des entités surveillées est tenu de tenir une politique complète et précise encadrant le télétravail au niveau :
Attention, la politique de télétravail doit être revue et validée chaque année par la Direction.
Les entités surveillées doivent conserver les preuves permettant le contrôle du respect des obligations découlant de la politique de télétravail (à la disposition de la CSSF).
En interne, les rapports annuels doivent comprendre toute anomalie qui se seraient passées en télétravail, inclure les statistiques et le rapport doit être validé par la direction.
Sensibilisation aux risques
Ce point est essentiel pour le bon fonctionnement du télétravail. Chaque employeur doit veiller à ce que tous les membres de son personnel soient sensibilisés aux risques et aux pratiques du télétravail. C’est annuel, obligatoire et ça couvre tous les risques techniques et organisationnels auxquels les entreprises pourraient faire face.
Rsecure met en place des formations en ligne de sensibilisation qui permettent de former les équipes en adoptant les bons comportements.
Dispositifs d’accès à utiliser
L’entreprise doit garder la main sur les dispositifs d’accès à distance pour éviter tout problème. L’entité surveillée doit veiller à ce que les sessions à distance soient chiffrées (par exemple : utilisation de Citrix), et que le support d’enregistrement soit crypté. Il est également interdit d’utiliser des supports externes (stocker des données sur une clé USB ou autre). Enfin, la dernière interdiction mais certainement pas la moindre, il est formellement interdit aux employés d’envoyer des messages sur des messageries privées (Yahoo, Gmail…) en y incluant des informations sur l’entreprise.
Veillez donc bien à vérifier le contenu de vos messages pour y repérer des informations potentiellement sensibles !
Rsecure a mis en place une interface web dotée d’un outil de self-assessment qui permet de s’auto-évaluer en matière de compliance. L’idée est simple, chaque entreprise doit répondre à une série de questions concernant :
Une fois le questionnaire complété, un rapport vous est automatiquement envoyé avec les points d’attention concernant l’adhérence à cette circulaire. Par exemple, nous retrouvons les catégories de questions auxquelles l’entreprise a répondues ainsi que le niveau de maturité sur le contrôle, sur le document et sur le risque moyen (image ci-dessous).
Bien que tout ceci ne concerne principalement que les PSF, les bonnes pratiques de la circulaire 21/769 peuvent s’appliquer à toutes les entreprises.
Besoin de plus d’informations sur la ciculaire 21/769 ?
Revoir le webinaire