Télétravail dans le secteur financier
Exigences en matière de télétravail
- Professionnels soumis à la surveillance prudentielle de la CSSF
- 9 avril 2021 : Publication de la Circulaire CSSF 21/769
- 31 mars 2022 : Mise à jour de la Circulaire CSSF 21/769 par la Circulaire CSSF 22/804
- 1er juillet 2022 : Entrée en vigueur de la Circulaire CSSF 21/769 telle que modifiée
1. Principes de base
- L’approbation de la CSSF n’est pas nécessaire pour mettre en œuvre le télétravail.
- Le télétravail est organisé sous la responsabilité du Conseil d’Administration.
- La possibilité de travailler en dehors des locaux de l’employeur doit être prévue dans le contrat de travail.
- Le recours au télétravail ne doit pas porter atteinte à la bonne gouvernance et à l’environnement de contrôle de l’entité (principe des 4 yeux, tableaux de bords, KPI…).
- Le recours au télétravail doit être conforme aux dispositions légales et réglementaires en vigueur au Luxembourg et à l’étranger (exemple : régime fiscal des frontaliers).
- La Circulaire CSSF 21/769 telle que modifiée encadre strictement l’utilisation des équipements privés pour l’exécution du télétravail.
- La Circulaire ne traite pas des relations contractuelles entres les entités surveillées et leurs salariés, qui restent notamment régies par la Convention du 20 octobre 2020 relative au régime juridique du télétravail.
2. Définition du télétravail selon la Circulaire CSSF 21/769 telle que modifiée
La Circulaire CSSF 21/769 telle que modifiée introduit des conditions cumulatives pour définir la notion de télétravail :
- Le travail doit être fourni au moyen de technologies de l’information et de la communication (TIC) sur accord préalable de l’employeur ;
- Le télétravail doit être effectué sur une base volontaire (il est conseillé de recueillir le consentement exprès et informé du salarié) ;
- Les tâches doivent être effectuées dans le cadre des heures de travail définies et dans un lieu prédéterminé différent des locaux de l’employeur.
Toute tâche effectuée dans le cadre de l’activation d’un BCP/DRP n’entre pas dans la définition de télétravail et n’est donc pas concernée par la Circulaire CSSF 21/769 telle que modifiée.
3. Administration centrale
Afin de respecter les exigences en matière d’administration centrale :
- L’entité doit pouvoir démontrer que son siège reste le centre décisionnel ;
- Au moins un Directeur Autorisé doit être présent au siège de la société à tout moment ;
- Les fonctions clés doivent être représentées en présentiel quotidiennement ;
- Le personnel doit être capable de se rendre dans les locaux de la société dans les plus brefs délais ;
- The nombre de personnes opérant en télétravail de manière simultanée doit être limité ;
- La durée de télétravail accordée à chaque personne doit être limitée ;
- La continuité des activités critiques doit être assurée.
4. Politique et analyse de risques relatives au télétravail
L’entité surveillée doit effectuer une analyse des risques afin d’identifier les risques inhérents à la mise en œuvre du télétravail. Elle doit également mettre en œuvre des mesures d’atténuation visant à maintenir les risques résiduels dans des limites acceptables en fonction de son appétit au risque (Risk Appetite). L’analyse des risques et la mise en place des mesures d’atténuation doivent être formalisées et régulièrement revues par l’entité.
Le Conseil d’Administration doit formaliser une politique relative au télétravail qui doit être revue annuellement sur base de l’analyse des risques. Le point 32 de la Circulaire CSSF 21/769 telle que modifiée indique une liste de minimis devant se retrouver dans cette politique.
5. Politique de sécurité
L’entité doit formaliser une politique de sécurité qui définit les principes et règles applicables dans le cadre du télétravail afin de protéger la confidentialité, l’intégrité et la disponibilité des données, informations et TIC. Cette politique doit être approuvée par le Conseil d’Administration.
Les droits d’accès accordés aux télétravailleurs doivent être en phase avec l’analyse de risques et la politique de sécurité. Ces droits d’accès doivent être revus au moins annuellement (semestriellement pour les utilisateurs privilégiés).
De plus, l’entité doit s’assurer qu’elle garde le contrôle sur les dispositifs permettant de se connecter à distance aux systèmes de TIC. Dans ce cadre, l’utilisation de dispositifs personnels doit être réservée aux activités à faible risque et doit faire l’objet d’une analyse de risques spécifique.
Les composants de l’infrastructure télétravail doivent, à tout moment, être sécurisés et contrôlés. Ainsi, des mécanismes doivent être mis en place par l’entité afin de détecter et bloquer toute connexion anormale. Une authentification à deux facteurs doit être également mise en place afin de se connecter à distance aux systèmes de TIC de la société.
6. Contrôles et sensibilisation relatifs au télétravail
L’entité doit conserver l’ensemble des éléments permettant de contrôler la conformité à la politique télétravail ainsi qu’à la Circulaire CSSF 21/769 telle que modifiée. Ces informations devront être mises à disposition de la CSSF sur demande.
Les fonctions de contrôle interne (compliance, gestion des risques, audit interne…) doivent inclure la revue de la conformité aux exigences relatives au télétravail au sein de leurs plans de travail pluriannuels. De plus, les rapports annuels de synthèse doivent inclure des éléments statistiques sur l’utilisation du télétravail ainsi qu’une mention des incidents significatifs qui ont eu lieu.
The bon fonctionnement de la chaîne de communication entre le dispositif distant et l’infrastructure de l’entreprise ainsi que l’efficacité des mesures de sécurité mises en œuvre doivent être examinés par une fonction de contrôle de sécurité indépendante (responsable de la sécurité de l’information, audit interne ou tiers externe spécialisé) avant le lancement du télétravail et régulièrement par la suite. Des scan tests et des pénétration tests doivent également être effectués régulièrement.
De plus, l’entité doit mettre en place un processus de journalisation (logging) afin de s’assurer que toutes les connexions ainsi que les informations techniques relatives au télétravail sont enregistrées à des fins de contrôle de sécurité.
La sensibilisation du personnel aux risques et aux bonnes pratiques relatifs au télétravail doit également être assurée par l’entité via des formations périodiques, des newsletters ou d’autres communications.
7. Modifications apportées par la Circulaire CSSF 22/804
La date d’entrée en vigueur de la Circulaire CSSF 21/769 telle que modifiée est fixée au premier juillet 2022.
La notion de « conditions de travail générales normales » a été supprimée. La Circulaire CSSF 21/769 telle que modifiée reste donc applicable en situation de pandémie ou en d’autres circonstances exceptionnelles ayant des répercussions similaires sur les conditions de travail générales.
Nos experts vous accompagnent
Découvrez nos autres publications :
Autorité de Lutte contre le Blanchiment de Capitaux (ALBC)
Le 19 juin 2024, le règlement du Parlement européen et du Conseil établissant l’ALBC (AMLA pour Anti Money Laundering Authority en Anglais) a été publié dans le Journal Officiel de l’Union Européenne.
Directive (UE) 2024/1640 (AMLD6)
La Directive (UE) 2024/1640 (AMLD6) réforme profondément les approches réglementaires, en se concentrant uniquement sur les responsabilités spécifiques des États membres, tandis que les obligations du secteur privé sont transférées au Règlement AMLR
Règlement (UE) 2024/1624 (AMLR)
Le Règlement (UE) 2024/1624, aussi connu sous le nom d’AMLR, ou de Règlement Unique, établit des exigences uniformes en matière de LBC/FT qui seront directement applicables dans tous les États membres.