Télétravail dans le secteur financier

Circulaire CSSF 21/769

1. Principes de base

  • L’approbation de la CSSF n’est pas nécessaire pour mettre en œuvre le télétravail.
  • Le télétravail est organisé sous la responsabilité du Conseil d’Administration.
  • Le recours au télétravail ne doit pas porter atteinte à la bonne gouvernance et à l’environnement de contrôle de l’entité (principe des 4 yeux, tableaux de bords, KPI…).
  • Le recours au télétravail doit être conforme aux dispositions légales et réglementaires en vigueur au Luxembourg et à l’étranger (exemple : régime fiscal des frontaliers).
  • La Circulaire CSSF 21/769 encadre strictement l’utilisation des équipements privés pour l’exécution du télétravail.
  • La Circulaire ne traite pas des relations contractuelles entres les entités surveillées et leurs salariés, qui restent notamment régies par la Convention du 20 octobre 2020 relative au régime juridique du télétravail.

2. Définition du télétravail selon la Circulaire CSSF 21/769

La Circulaire CSSF 21/769 introduit des conditions cumulatives pour définir la notion de télétravail :

  1. Le travail doit être fourni au moyen de technologies de l’information et de la communication (TIC) sur accord préalable de l’employeur ;
  2. Le télétravail doit être effectué sur une base volontaire (il est conseillé de recueillir le consentement exprès et informé du salarié) ;
  3. Les tâches doivent être effectuées dans le cadre des heures de travail définies et dans un lieu prédéterminé différent des locaux de l’employeur.

Le travail doit être fournis dans le cadre de l’activité normale de la société. Toute tâche effectuée dans le cadre de l’activation d’un BCP/DRP ou dans des circonstances exceptionnelles (telles que la pandémie de la Covid-19) n’entre pas dans la définition de télétravail et n’est donc pas concernée par la Circulaire CSSF 21/769.

3. Administration centrale

Afin de respecter les exigences en matière d’administration centrale :

  • L’entité doit pouvoir démontrer que son siège reste le centre décisionnel ;
  • Au moins un Directeur Autorisé doit être présent au siège de la société à tout moment ;
  • Les fonctions clés doivent être représentées en présentiel quotidiennement ;
  • Le personnel doit être capable de se rendre dans les locaux de la société dans les plus brefs délais ;
  • The nombre de personnes opérant en télétravail de manière simultanée doit être limité ;
  • La durée de télétravail accordée à chaque personne doit être limitée ;
  • La continuité des activités critiques doit être assurée.

4. Politique et analyse de risques relatives au télétravail

L’entité surveillée doit effectuer une analyse des risques afin d’identifier les risques inhérents à la mise en œuvre du télétravail. Elle doit également mettre en œuvre des mesures d’atténuation visant à maintenir les risques résiduels dans des limites acceptables en fonction de son appétit au risque (Risk Appetite). L’analyse des risques et la mise en place des mesures d’atténuation doivent être formalisées et régulièrement revues par l’entité.

Le Conseil d’Administration doit formaliser une politique relative au télétravail qui doit être revue annuellement sur base de l’analyse des risques. Le point 32 de la Circulaire CSSF 21/769 indique une liste de minimis devant se retrouver dans cette politique.

5. Politique de sécurité

L’entité doit formaliser une politique de sécurité qui définit les principes et règles applicables dans le cadre du télétravail afin de protéger la confidentialité, l’intégrité et la disponibilité des données, informations et TIC. Cette politique doit être approuvée par le Conseil d’Administration.

Les droits d’accès accordés aux télétravailleurs doivent être en phase avec l’analyse de risques et la politique de sécurité. Ces droits d’accès doivent être revus au moins annuellement (semestriellement pour les utilisateurs privilégiés).

De plus, l’entité doit s’assurer qu’elle garde le contrôle sur les dispositifs permettant de se connecter à distance aux systèmes de TIC. Dans ce cadre, l’utilisation de dispositifs personnels doit être réservée aux activités à faible risque et doit faire l’objet d’une analyse de risques spécifique.

Les composants de l’infrastructure télétravail doivent, à tout moment, être sécurisés et contrôlés. Ainsi, des mécanismes doivent être mis en place par l’entité afin de détecter et bloquer toute connexion anormale. Une authentification à deux facteurs doit être également mise en place afin de se connecter à distance aux systèmes de TIC de la société.

6. Contrôles et sensibilisation relatifs au télétravail

L’entité doit conserver l’ensemble des éléments permettant de contrôler la conformité à la politique télétravail ainsi qu’à la Circulaire CSSF 21/769. Ces informations devront être mises à disposition de la CSSF sur demande.

Les fonctions de contrôle interne (compliance, gestion des risques, audit interne…) doivent inclure la revue de la conformité aux exigences relatives au télétravail au sein de leurs plans de travail pluriannuels. De plus, les rapports annuels de synthèse doivent inclure des éléments statistiques sur l’utilisation du télétravail ainsi qu’une mention des incidents significatifs qui ont eu lieu.

The bon fonctionnement de la chaîne de communication entre le dispositif distant et l’infrastructure de l’entreprise  ainsi que l’efficacité des mesures de sécurité mises en œuvre doivent être examinés par une fonction de contrôle de sécurité indépendante (responsable de la sécurité de l’information, audit interne ou tiers externe spécialisé) avant le lancement du télétravail et régulièrement par la suite. Des scan tests et des pénétration tests doivent également être effectués régulièrement.

De plus, l’entité doit mettre en place un processus de journalisation (logging) afin de s’assurer que toutes les connexions ainsi que les informations techniques relatives au télétravail sont enregistrées à des fins de contrôle de sécurité.

La sensibilisation du personnel aux risques et aux bonnes pratiques relatifs au télétravail doit également être assurée par l’entité via des formations périodiques, des newsletters ou d’autres communications.

Nos experts vous accompagnent

Politique télétravail - Analyse de risques - Mise en conformité - Questionnaire d'auto-évaluation

Découvrez nos autres publications :

News

Directive (UE) 2024/1640 (AMLD6)

La Directive (UE) 2024/1640 (AMLD6) réforme profondément les approches réglementaires, en se concentrant uniquement sur les responsabilités spécifiques des États membres, tandis que les obligations du secteur privé sont transférées au Règlement AMLR

More information
AMLR
News

Règlement (UE) 2024/1624 (AMLR)

Le Règlement (UE) 2024/1624, aussi connu sous le nom d’AMLR, ou de Règlement Unique, établit des exigences uniformes en matière de LBC/FT qui seront directement applicables dans tous les États membres.

More information
en_GBEnglish