Dans le contexte de crise sanitaire liée au COVID-19 et depuis l’entrée en application des mesures de confinement, le télétravail a permis à un nombre important d’entreprises de continuer d’offrir leurs services et de maintenir ainsi leurs salariés en activité.

Cette transition à marche accélérée vers le « home office » nécessite toutefois quelques précautions. Experts et autorités de régulation relayent en effet régulièrement les risques en termes de sécurité associés à l’usage des outils informatiques – professionnels ou personnels – dans un environnement de travail désormais « hors de contrôle ». Pour tempérer ces risques, le recours à un VPN est souvent plébiscité. Mais au-delà du bénéfice incontestable qu’il apporte pour sécuriser les flux de données, l’usage d’un VPN n’est pas neutre pour la vie privée des salariés. En fonction de la configuration retenue et des autres éléments du système d’information avec lesquels il est combiné, l’équilibre entre sécurisation des actifs de l’entreprise et protection des données personnelles du salarié peut sensiblement vaciller.

C’est la raison pour laquelle une attention particulière doit être accordée au choix de la configuration d’un VPN, en prenant en compte un ensemble d’éléments contextuels (secteur d’activité de l’entreprise, recours ou non au BYOD, besoin des salariés concernés …). Cet article se propose de mettre en lumière les différents paramétrages envisageables, leur impact sur la collecte de données personnelles et les règles à respecter pour garantir un usage du VPN en conformité avec le RGPD.

Le VPN: qu’est-ce que c’est ?

Un réseau privé virtuel, abrégé VPN (Virtual Private Network), a pour fonction de sécuriser les transmissions de données émises depuis un ordinateur vers Internet (navigation internet, envoi de mails), et/ou vers le réseau privé d’une entreprise (messagerie, intranet, serveurs, etc.) en faisant transiter ces transmissions par un tunnel [1] ou canal chiffré, sécurisé et donc inaccessibles à des tiers (hackers, logiciels malveillants, gouvernement, FAI).

Le VPN: pourquoi ?

Les salariés en télétravail ont très souvent recours au BYOD[2]. Bien qu’elle octroie une certaine agilité, cette pratique augmente les risques de violation de données pour l’entreprise, du fait de l’utilisation par les salariés de ressources informatiques (terminaux ou réseaux) peu ou mal sécurisées afin d’accéder au réseau interne de l’entreprise. On peut citer entre autres :

-L’utilisation d’un Wifi public;

-L’utilisation d’un Wifi à domicile avec un mot de passe faible, facilement accessible à des tiers ou avec une clé WEP;

-L’absence d’antivirus installé sur l’ordinateur personnel ;

-Le défaut de mise à jour de l’antivirus ou du système d’exploitation de l’ordinateur, etc.

L’intérêt du VPN est donc d’assurer a minima une sécurité des échanges entre l’ordinateur du salarié et l’environnement informatique interne de l’entreprise afin de limiter les risques de violation liés à l’utilisation par les salariés de ressources informatiques hors de contrôle du RSSI ou du DSI.

Cela étant, même lorsque le télétravailleur est équipé d’un ordinateur mis à sa disposition par l’entreprise, le VPN conserve son utilité. En effet, dans ce cas, la connexion internet utilisée reste une connexion domestique généralement plus fragile que celle utilisée en entreprise. Par ailleurs, lorsque l’usage des outils informatiques professionnels à des fins personnelles est déjà tolérée par la charte de bon usage du système d’information et/ou le règlement intérieur de l’entreprise, le contexte du télétravail tend à favoriser la porosité entre usage professionnel et usage personnel. Les salariés peuvent plus facilement « switcher » de l’un à l’autre, avec les risques que cela engendre.

Dans cette optique de protection, le VPN peut être configuré de différentes manières, selon les besoins métiers et les usages envisagés.

 Le VPN : quelles configurations possibles ?

Un VPN peut être configuré de 2 manières différentes :

  • 1ère option :  seuls les flux en direction du réseau interne de l’entreprise – et donc à usage professionnels – sont sécurisés par le VPN (envoi de mails, utilisation de l’intranet, accès au Cloud interne, etc.). Les usages personnels tels que la consultation de la messagerie personnelle, de réseaux sociaux ou de sites de E-commerce par exemple ne seront pas protégés.

Dans cette configuration, l’accès aux sites web durant une période d’utilisation professionnelle de l’ordinateur portable ne pourront pas être filtrés ou logués par l’entreprise.

  • 2ème option : tous les flux passent par le VPN. Dans ce cas de figure, tous les flux générés par l’ordinateur (professionnels ou personnels) transiteront par le VPN.

Ainsi, chaque accès de l’ordinateur à Internet se fera en 2 étapes :

étape 1 : passer à travers le VPN jusqu’au réseau de l’entreprise

étape 2 :ressortir vers Internet depuis le réseau de l’entreprise

L’entreprise peut alors avoir accès à l’ensemble des logs de connexion des salariés et potentiellement restreindre au moyen de filtres les accès à certains sites par le biais d’un proxy.

Si ces configurations permettent d’améliorer la sécurité réseau interne de l’entreprise, elles soulèvent toutefois des questions relatives à la nature et au volume de données personnelles collectées.

Le VPN : quel impact sur la protection des données personnelles des salariés ?

La promesse du VPN est, communément, de garantir la confidentialité en empêchant l’accès des tiers à des informations sur la nature et l’origine des flux. Mais dans un contexte d’utilisation professionnelle, le principe de confidentialité des flux rencontre certaines limites en fonction de la configuration choisie.

Option 1 : seuls les flux en direction du réseau interne de l’entreprise sont sécurisés par le VPN

Avec cette configuration, l’entreprise ne logue que les flux en direction des ressources informatiques internes. Les connexions aux sites Web publics ne font l’objet d’aucun filtrage ou de logs, ce qui permet au salarié de garder le contrôle et la responsabilité de son usage privé.

Du point de vue de la protection des données, cette configuration permet d’atteindre un équilibre appréciable entre la protection de la vie privée du salarié et l’intérêt légitime de l’employeur tiré des impératifs de sécurité de l’entreprise. En effet, le salarié conserve la confidentialité de ses usages d’ordre privé tandis que l’entreprise maintient via le VPN la sécurité de son environnement informatique en bloquant les accès non autorisés.

L’inconvénient majeur pour l’entreprise est qu’elle n’a, dans ce cas de figure, pas la possibilité d’effectuer un filtrage des URLs pendant les horaires de travail.

Il résulte de ce qui précède que le VPN ainsi configuré semble mieux convenir à une organisation du télétravail basée sur le BYOD, du fait de l’usage mixte des outils informatiques que cette pratique implique. L’entreprise n’étant pas propriétaire des ordinateurs utilisés, il est aisément concevable que son contrôle sur l’utilisation de ceux-ci soit limité. Cette configuration permet en effet d’assurer, dans une certaine mesure, un cloisonnement entre usage privé et usage professionnel.

Option 2 : tous les flux passent par le VPN, y compris les flux vers le web public

Avec cette configuration du VPN, l’ensemble des flux émis par l’ordinateur du salarié transite par le réseau privé de l’entreprise. De ce fait tous les accès, aussi bien aux ressources internes qu’au web public, sont logués.

Cette configuration a pour principal avantage de renforcer la sécurité de l’environnement informatique de l’entreprise en permettant la journalisation des logs ­- limités aux adresses IP et heures de connexion ­­- de l’ensemble des flux émanant de l’ordinateur. Pour l’employeur, l’enjeu est ici est de rendre auditables – i.e. contrôlables a posteriori – les logs recueillis par le firewall afin de faciliter, en cas de violation de données, l’identification de la source des dommages et la circonscription du champ de ces derniers, même si, là encore, il ne disposera pas de la faculté de filtrer ou d’avoir une visibilité sur les URLs consultées par les salariés.

Pour le salarié en revanche, cette configuration est moins avantageuse car elle amenuise la confidentialité de son activité personnelle. En effet, le firewall enregistrera les adresses IP et les heures de connexion de tous les flux, qu’ils soient d’ordre personnel ou professionnel. Pour tempérer l’effet « délétère » de cette configuration sur la protection de la vie privée, il peut donc être conseillé de l’assortir de plusieurs mesures permettant au salarié de regagner une certaine maîtrise sur son outil de travail :

  • Configurer le VPN de manière à ce qu’il soit désactivé par défaut sur le poste de travail

  • Autoriser le salarié à désactiver le VPN a minima en dehors de ses horaires de travail.

Si l’adresse IP et l’heure de connexion ne représentent pas, de manière générale, des données hautement personnelles de nature à compromettre la vie privée des personnes, une utilisation détournée de ces données à d’autres fins que celle de garantir la sécurité reste possible. On pourrait imaginer, par exemple, que les horaires de de connexion au réseau interne soient utilisés comme outil de contrôle du respect des heures de travail.

Certaines entreprises désireuses d’améliorer la sécurité souhaitent se doter d’options supplémentaires de filtrage et de logs d’URL. Pour cela, ces dernières pourraient étoffer leur dispositif réseau en y ajoutant un Proxy.

Option 3 : tous les flux passent par le VPN et par un proxy, y compris les flux vers le web public.

Le Proxy, installé au niveau du réseau privé, a pour fonction de réceptionner tous les flux émis par les ordinateurs des salariés sous VPN et rediriger ces requêtes vers les URLs sollicitées en affichant une adresse IP différente de l’adresse initiale.

Cette fonctionnalité de centralisation et de redirection des requêtes permet dès lors de savoir quelles demandes ont été émises depuis les ordinateurs des salariés, et potentiellement bloquer certaines de ces requêtes en les opposant à des règles de filtrage préétablies par l’entreprise.

Si l’ajout d’un proxy renforce considérablement la sécurité du système d’information de l’entreprise en empêchant l’accès à certains sites ­­(ou inversement en n’autorisant que des sites de confiance), pour le salarié en revanche, la conséquence est double. D’une part, l’ensemble de son activité sur le web pourra être loguée et consultée par l’entreprise – y compris les URLs consultées voire les identifiants/mots de passe de compte utilisateur – et, d’autre part, ce dernier devra se plier, à tout le moins pendant les heures de travail, aux restrictions de navigation imposées par l’entreprise.

Par conséquent, ces deux fonctionnalités amenuisent sensiblement la sphère de confidentialité et de liberté des salariés, de sorte que l’option 3 doit en principe être exclue lorsque le salarié a recours à son ordinateur personnel pour le télétravail.

De manière générale, le recours à un type quelconque de VPN pour des salariés en télétravail doit s’opérer après une juste balance des intérêts entre le respect de la vie privée des salariés et les impératifs de sécurité de l’entreprise. La mise à disposition d’outils professionnels ou, a contrario, le recours au BYOD, sont aussi des éléments à considérer afin de ne pas porter d’atteinte excessive au droit à la vie privée du salarié (qui ne cesse pas d’exister pendant les horaires de travail) et à l’autre droit fondamental que constitue désormais l’accès à internet.

Enfin, en tout état de cause, il reste primordial pour les entreprises souhaitant adopter le VPN dans le cadre du télétravail de respecter les obligations et bonnes pratiques découlant du RGPD.

VPN et RGPD : vade-mecum des règles et bonnes pratiques

  • Le droit à l’information: l’installation d’un VPN (assortie ou non d’un Proxy) doit être accompagnée par une information complète des salariés (et des IRP, le cas échéant) sur la nature des données collectées, les finalités de cette collecte, les droits dont ils disposent, les destinataires de ces données (etc.) conformément à l’article 13 du RGPD. L’information des salariés peut par exemple être délivrée via une « charte du télétravail ».
  • La délimitation et le strict respect des finalités de traitement : avant la mise en place effective d’un VPN, il incombe à l’employeur de déterminer les finalités poursuivies par ce biais. S’agit-il seulement de protéger les actifs de l’entreprise accessibles à distance ou bien s’agit-il aussi de limiter les risques d’un usage abusif des outils professionnels à des fins personnelles pendant les heures de travail ? Une fois déterminées et portées à la connaissance des salariés, la ou les finalités doivent être respectées. Toute utilisation des données pour d’autres finalités incompatibles avec les finalités initiales constituerait un détournement de finalité.
  • La minimisation: comme exposé précédemment, la configuration du VPN et son couplage éventuel avec d’autres éléments du système d’information influent sur la nature et le volume de données personnelles collectées. La nécessité de collecter certaines données, telles que les URLs consultées, doit donc être dûment évaluée et établie au regard du secteur d’activité de l’entreprise, de la sensibilité des données (personnelles ou non) accessibles sur le réseau interne, de la fonction du salarié concerné …
  • L’accountability: l’utilisation d’un VPN professionnel imposée par l’employeur constitue un traitement de données qui doit, à ce titre, être mentionné au registre des traitements (soit de manière autonome, soit en étant intégré à une activité de traitement plus large telle que la gestion du dispositif de télétravail).
  • L’encadrement des sous-traitants: lorsque l’administration du réseau est externalisée, il convient de s’assurer que le prestataire présente des garanties suffisantes s’agissant des mesures techniques et organisationnelles mises en œuvre et qu’il soit soumis à des contraintes contractuelles appropriées (article 28 RGPD).
  • La sensibilisation des collaborateurs: lorsque l’administration du réseau est internalisée, il convient de s’assurer que les administrateurs soient sensibilisés à la protection des données et soumis à une clause de confidentialité renforcée. Pour tous les autres salariés, la mise en place du VPN peut être couplée à une sensibilisation à l’hygiène informatique au sens large et à l’intérêt de l’activation d’un VPN en particulier.
  • La traçabilité: toute action sur le système informatique de l’entreprise doit faire l’objet d’une journalisation afin de prévenir et faciliter la gestion des incidents[4]. Les journaux de logs/d’évènements ainsi constitués doivent pouvoir être audités et conservés dans des conditions permettant d’en garantir la sécurité[5] (notamment en empêchant les accès illégitimes), sans que cette conservation puisse excéder 6 mois (sauf risque important ou obligation légale).
  • Le cloisonnement des usages professionnels et personnels: lorsque le salarié utilise son ordinateur personnel (BYOD), le VPN doit être désactivé par défaut et ne doit être activé que par une action positive, volontaire et éclairée du salarié. Lorsque le salarié utilise son ordinateur professionnel, une activation par défaut du VPN peut être envisagée à condition qu’il dispose de la faculté de le désactiver manuellement si un usage personnel résiduel est toléré par l’entreprise. Si l’ordinateur utilisé n’est destiné qu’à des fins professionnelles et que les risques associés à l’activité de l’entreprise le justifient (secteur bancaire, médical…), il pourrait être considéré comme légitime de priver le salarié de la possibilité de désactiver le VPN.

Léah Perez, Docteur en droit ,DPO certifiée et Responsable du service conformité

Luc Vanwaelscappel, Co-fondateur d’Alkivi

Joseph Gboko, Consultant en protection des données


[1]Paquets TCP/IP

[2] Abréviation de l’expression en anglais « Bring Your Own Device » », qui désigne l’usage d’équipements informatiques personnels dans un contexte professionnel.

[4] https://www.cnil.fr/fr/securite-tracer-les-acces-et-gerer-les-incidents

[5] https://www.ssi.gouv.fr/guide/recommandations-de-securite-pour-la-mise-en-oeuvre-dun-systeme-de-journalisation/