Formation RGPD Salariés 2026

Bonnes pratiques au quotidien

Module 4 / 5

Module 4 : Bonnes pratiques 16 min de lecture

4.3 Clean desk, écrans verrouillés et télétravail

Les violations de données ne viennent pas toujours de cyberattaques sophistiquées. Un dossier oublié à l'imprimante, un écran déverrouillé en pause-déjeuner ou un appel sensible passé dans un train suffisent. Tour d'horizon des bonnes pratiques physiques et du télétravail.

1

La « clean desk policy » : un bureau rangé est un bureau sûr

La politique du « bureau propre » consiste à ne laisser visible aucun document sensible en dehors de son utilisation immédiate. Issue des standards ISO 27001, elle est aujourd'hui généralisée dans les entreprises.

À faire
  • Ranger les documents dans un meuble fermé à clé en fin de journée
  • Récupérer immédiatement les impressions à l'imprimante partagée
  • Détruire au broyeur les documents devenus inutiles (pas la corbeille)
  • Verrouiller le tiroir contenant le portable lors d'une absence prolongée
  • Stocker badges, tokens et clés USB de manière sécurisée
À éviter
  • Laisser des fiches de paie en évidence sur le bureau
  • Coller le mot de passe sur l'écran ou le clavier
  • Empiler les CV de candidats à la vue de tous
  • Oublier des documents à la photocopieuse, l'imprimante ou le scanner
  • Jeter dans la corbeille des documents nominatifs sans destruction
Le piège de la corbeille papier

Un document jeté dans une corbeille à papier classique reste accessible et lisible. Pour des documents nominatifs (RH, médicaux, financiers), broyeuse à coupe croisée ou contenants verrouillés dédiés à la destruction sécurisée. La CNIL sanctionne régulièrement des entreprises pour des documents abandonnés en clair dans les poubelles.

2

Verrouillage de l'écran : le réflexe de base

Quitter son poste sans verrouiller revient à laisser sa boîte mail, son CRM, son ERP ouverts à n'importe qui. La règle est simple : quitter le poste = verrouiller, même pour 30 secondes.

Windows

Windows + L

macOS

Ctrl + + Q

Linux (GNOME)

Super + L

Verrouillage automatique

À paramétrer côté poste (ou imposé par la GPO de l'entreprise) : verrouillage automatique après 5 à 10 minutes d'inactivité. C'est une mesure technique recommandée par la CNIL au titre de l'article 32 RGPD (sécurité du traitement).

3

Télétravail : étendre le périmètre de sécurité

À domicile ou en mobilité, le salarié devient lui-même « gardien » de la sécurité des données. La CNIL et l'ANSSI publient des recommandations dédiées (« Télétravail en sécurité »).

À domicile
  • Travailler dans un espace dédié, hors regard des proches
  • Sécuriser le Wi-Fi domestique (WPA2/WPA3, mot de passe fort)
  • Utiliser le VPN d'entreprise pour toute connexion au SI
  • Verrouiller la session à chaque pause
  • Ne pas imprimer de documents sensibles sur l'imprimante familiale
  • Ranger l'ordinateur quand il n'est pas utilisé
En mobilité
  • Filtre de confidentialité sur l'écran (train, avion, open space)
  • Pas de conversation sensible en visioconférence dans un lieu public
  • Casque audio pour les appels confidentiels
  • Pas de Wi-Fi public sans VPN
  • Ne pas laisser le matériel sans surveillance (vol — matériel + données)
  • Disque dur chiffré (BitLocker, FileVault, LUKS) obligatoire
Le syndrome du wagon-bureau

Les espionnages industriels en gare TGV ou en aéroport sont documentés. Une simple photo prise par-dessus l'épaule du voisin peut révéler des informations stratégiques ou des données personnelles. Le filtre de confidentialité est une mesure peu coûteuse et très efficace.

4

Départ et arrivée : moments à risque

L'arrivée d'un nouveau collaborateur et le départ d'un ancien sont des moments critiques. La CNIL recommande des procédures formalisées.

À l'arrivée (onboarding)
  • Charte informatique signée avant tout accès
  • Création des comptes au principe du moindre privilège
  • Sensibilisation RGPD/cybersécurité dès l'intégration
  • Remise du matériel et inventaire signé
Au départ (offboarding)
  • Révocation de tous les accès le jour J (badge, comptes, VPN)
  • Restitution du matériel (PC, téléphone, clés, badges)
  • Effacement sécurisé du matériel avant réaffectation
  • Transfert / suppression de la boîte mail selon politique

Synthèse du chapitre

  • Clean desk : aucun document sensible visible en l'absence du salarié
  • Verrouillage de l'écran à chaque sortie du poste (Windows + L)
  • Télétravail : VPN, espace dédié, filtre de confidentialité, disque chiffré
  • Départs : révocation immédiate des accès le jour J
RGPD pour Salariés