Télétravail dans le secteur financier

Circulaire CSSF 21/769

1. Principes de base

L’approbation de la CSSF n’est pas nécessaire pour mettre en œuvre le télétravail.
Le télétravail est organisé sous la responsabilité du Conseil d’Administration.
Le recours au télétravail ne doit pas porter atteinte à la bonne gouvernance et à l’environnement de contrôle de l’entité (principe des 4 yeux, tableaux de bords, KPI…).
Le recours au télétravail doit être conforme aux dispositions légales et réglementaires en vigueur au Luxembourg et à l’étranger (exemple : régime fiscal des frontaliers).
La Circulaire CSSF 21/769 encadre strictement l’utilisation des équipements privés pour l’exécution du télétravail.
La Circulaire ne traite pas des relations contractuelles entres les entités surveillées et leurs salariés, qui restent notamment régies par la Convention du 20 octobre 2020 relative au régime juridique du télétravail.

2. Définition du télétravail selon la Circulaire CSSF 21/769

La Circulaire CSSF 21/769 introduit des conditions cumulatives pour définir la notion de télétravail :

Le travail doit être fourni au moyen de technologies de l’information et de la communication (TIC) sur accord préalable de l’employeur ;
Le télétravail doit être effectué sur une base volontaire (il est conseillé de recueillir le consentement exprès et informé du salarié) ;
Les tâches doivent être effectuées dans le cadre des heures de travail définies et dans un lieu prédéterminé différent des locaux de l’employeur.

Le travail doit être fournis dans le cadre de l’activité normale de la société. Toute tâche effectuée dans le cadre de l’activation d’un BCP/DRP ou dans des circonstances exceptionnelles (telles que la pandémie de la Covid-19) n’entre pas dans la définition de télétravail et n’est donc pas concernée par la Circulaire CSSF 21/769.

3. Administration centrale

Afin de respecter les exigences en matière d’administration centrale :

L’entité doit pouvoir démontrer que son siège reste le centre décisionnel ;
Au moins un Directeur Autorisé doit être présent au siège de la société à tout moment ;
Les fonctions clés doivent être représentées en présentiel quotidiennement ;
Le personnel doit être capable de se rendre dans les locaux de la société dans les plus brefs délais ;
Le nombre de personnes opérant en télétravail de manière simultanée doit être limité ;
La durée de télétravail accordée à chaque personne doit être limitée ;
La continuité des activités critiques doit être assurée.

4. Politique et analyse de risques relatives au télétravail

L’entité surveillée doit effectuer une analyse des risques afin d’identifier les risques inhérents à la mise en œuvre du télétravail. Elle doit également mettre en œuvre des mesures d’atténuation visant à maintenir les risques résiduels dans des limites acceptables en fonction de son appétit au risque (Risk Appetite). L’analyse des risques et la mise en place des mesures d’atténuation doivent être formalisées et régulièrement revues par l’entité.

Le Conseil d’Administration doit formaliser une politique relative au télétravail qui doit être revue annuellement sur base de l’analyse des risques. Le point 32 de la Circulaire CSSF 21/769 indique une liste de minimis devant se retrouver dans cette politique.

5. Politique de sécurité

L’entité doit formaliser une politique de sécurité qui définit les principes et règles applicables dans le cadre du télétravail afin de protéger la confidentialité, l’intégrité et la disponibilité des données, informations et TIC. Cette politique doit être approuvée par le Conseil d’Administration.

Les droits d’accès accordés aux télétravailleurs doivent être en phase avec l’analyse de risques et la politique de sécurité. Ces droits d’accès doivent être revus au moins annuellement (semestriellement pour les utilisateurs privilégiés).

De plus, l’entité doit s’assurer qu’elle garde le contrôle sur les dispositifs permettant de se connecter à distance aux systèmes de TIC. Dans ce cadre, l’utilisation de dispositifs personnels doit être réservée aux activités à faible risque et doit faire l’objet d’une analyse de risques spécifique.

Les composants de l’infrastructure télétravail doivent, à tout moment, être sécurisés et contrôlés. Ainsi, des mécanismes doivent être mis en place par l’entité afin de détecter et bloquer toute connexion anormale. Une authentification à deux facteurs doit être également mise en place afin de se connecter à distance aux systèmes de TIC de la société.

6. Contrôles et sensibilisation relatifs au télétravail

L’entité doit conserver l’ensemble des éléments permettant de contrôler la conformité à la politique télétravail ainsi qu’à la Circulaire CSSF 21/769. Ces informations devront être mises à disposition de la CSSF sur demande.

Les fonctions de contrôle interne (compliance, gestion des risques, audit interne…) doivent inclure la revue de la conformité aux exigences relatives au télétravail au sein de leurs plans de travail pluriannuels. De plus, les rapports annuels de synthèse doivent inclure des éléments statistiques sur l’utilisation du télétravail ainsi qu’une mention des incidents significatifs qui ont eu lieu.

Le bon fonctionnement de la chaîne de communication entre le dispositif distant et l’infrastructure de l’entreprise ainsi que l’efficacité des mesures de sécurité mises en œuvre doivent être examinés par une fonction de contrôle de sécurité indépendante (responsable de la sécurité de l’information, audit interne ou tiers externe spécialisé) avant le lancement du télétravail et régulièrement par la suite. Des scan tests et des pénétration tests doivent également être effectués régulièrement.

De plus, l’entité doit mettre en place un processus de journalisation (logging) afin de s’assurer que toutes les connexions ainsi que les informations techniques relatives au télétravail sont enregistrées à des fins de contrôle de sécurité.

La sensibilisation du personnel aux risques et aux bonnes pratiques relatifs au télétravail doit également être assurée par l’entité via des formations périodiques, des newsletters ou d’autres communications.

Nos experts vous accompagnent

Politique télétravail - Analyse de risques - Mise en conformité - Questionnaire d'auto-évaluation

Obtenir une offre

Découvrez nos autres publications :

News

Rapport d’activités CSSF 2021 (GFI)

La CSSF a publié son rapport sur les activités et initiatives effectuées durant l’année 2021. Cet article résume la section relative aux Gestionnaires de fonds d’investissement (GFI).

30 novembre 2022

News

Rapport d’activités CSSF 2021 (PSF)

La CSSF a publié son rapport sur les activités et initiatives effectuées durant l’année 2021. Cet article résume la section relative aux PSF spécialisés et de support.

29 novembre 2022

Circulaire CSSF

Renforcement des règles d’externalisation

La Circulaire CSSF 22/806 consiste à mettre en application les lignes directrices de l’EBA relatives aux accords d’externalisation

26 septembre 2022

Vous souhaitez rester informé ?

Suivez-nous sur Linkedin !

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.

Necessary

Toujours activé

Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.

Cookie	Durée	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Functional

Performance

Analytics

Others

French