📋 Sur cette page
Le télétravail a normalisé une pratique risquée : des employés traitent des données sensibles de clients depuis leur domicile, un café, ou un espace de coworking — souvent sans les protections qu'offre le bureau. Pour une PME québécoise, ça crée deux problèmes simultanés : un risque de sécurité réel, et une obligation légale sous la Loi 25 qui engage la responsabilité de l'employeur.
Ce guide est écrit pour les gestionnaires et propriétaires de PME, pas pour des experts en TI.
VPN d'entreprise vs VPN personnel : quelle différence?
La confusion entre ces deux types de VPN est fréquente — et coûteuse. Voici la distinction claire :
| Critère | VPN d'entreprise | VPN personnel (NordVPN, Mullvad…) |
|---|---|---|
| But principal | Accéder aux ressources internes de l'entreprise (fichiers, logiciels, intranet) | Chiffrer le trafic Internet général, masquer l'adresse IP |
| Accès aux données internes | Oui — c'est fait pour ça | Non — ne donne pas accès aux serveurs internes |
| Protection sur Wi-Fi public | Oui — tunnel chiffré vers l'entreprise | Oui — chiffrement général du trafic |
| Coût pour la PME | 15–40 $ CAD/mois par utilisateur (selon solution) | 3–8 $ CAD/mois par utilisateur |
| Exemples | OpenVPN, WireGuard, Cisco AnyConnect, Tailscale | NordVPN, Mullvad, ProtonVPN, ExpressVPN |
| Gestion IT requise | Oui — configuration côté serveur | Non — installation simple côté utilisateur |
Tailscale : le VPN d'entreprise accessible aux PME
Tailscale utilise WireGuard (protocole moderne et rapide) et s'installe en quelques minutes sans configuration de serveur complexe. Chaque appareil de l'entreprise obtient une adresse IP privée stable. Les employés se connectent comme s'ils étaient au bureau. Facturation : gratuit pour 3 appareils, environ 6 USD/mois par utilisateur au-delà.
Wi-Fi public et télétravail hors bureau
Le café du coin, l'hôtel, l'aéroport, la bibliothèque — tous ces réseaux Wi-Fi publics présentent le même problème : tout le monde y est connecté, et vos données transitent en clair si vous n'avez pas de protection.
Ce qui peut se passer sur un Wi-Fi public non sécurisé
- Attaque de l'homme du milieu (MITM) : un pirate sur le même réseau intercepte votre trafic non chiffré. Vos identifiants, courriels, et données clients peuvent être capturés.
- Faux point d'accès (evil twin) : un réseau Wi-Fi nommé « Café_gratuit » ou « Hôtel_invités » créé par un pirate. Vous vous connectez sans savoir que tout votre trafic passe par lui.
- Analyse passive : même sans attaque active, un observateur peut analyser les métadonnées de connexion pour identifier vos habitudes et outils.
Bonnes pratiques sur Wi-Fi public
- Toujours activer le VPN avant de se connecter à un réseau inconnu
- Activer le kill switch du VPN (coupe Internet automatiquement si le VPN se déconnecte)
- Préférer le partage de connexion depuis le téléphone cellulaire (hotspot 4G/5G) pour les tâches sensibles
- Ne jamais se connecter à des systèmes bancaires, RH ou CRM sur un Wi-Fi public sans VPN
- Désactiver la connexion automatique aux réseaux Wi-Fi connus sur les appareils de travail
Appareils personnels au travail (BYOD)
BYOD — « Bring Your Own Device » — est courant dans les PME qui ne fournissent pas d'ordinateur à leurs employés en télétravail. C'est compréhensible économiquement, mais ça crée des risques juridiques et techniques précis.
Risques du BYOD pour la PME
- L'appareil personnel peut contenir des logiciels malveillants ou être compromis
- Les données clients peuvent se retrouver mélangées aux données personnelles de l'employé
- En cas de départ de l'employé, récupérer ou effacer les données d'entreprise est difficile
- L'employeur a peu de contrôle sur les mises à jour de sécurité de l'appareil
Comment gérer le BYOD correctement
- Politique écrite : documentez clairement les exigences minimales pour un appareil personnel (antivirus, chiffrement du disque, système à jour)
- Conteneur séparé : utilisez des outils comme Microsoft Intune ou des profils de travail séparés sur Android pour isoler les données professionnelles
- VPN obligatoire : tout accès aux données d'entreprise doit passer par le VPN
- Gestionnaire de mots de passe : fournissez un compte d'entreprise sur Bitwarden ou 1Password — les employés ne doivent pas stocker les mots de passe professionnels dans leur navigateur personnel
Obligations de l'employeur sous la Loi 25 en télétravail
La Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) s'applique à toute organisation qui collecte des données sur des résidents du Québec — y compris les données traitées par des employés en télétravail.
Ce que la Loi 25 impose aux employeurs
- Responsable de la protection des renseignements personnels : toute entreprise doit désigner une personne responsable — même dans une PME de 5 personnes. Dans une petite PME, c'est souvent le propriétaire.
- Évaluation des facteurs relatifs à la vie privée (ÉFVP) : toute nouvelle façon de traiter des données (ex : accès distant, nouveau logiciel en nuage) doit faire l'objet d'une évaluation des risques pour la vie privée.
- Mesures de sécurité adéquates : vous devez démontrer que des mesures raisonnables ont été prises pour protéger les données, y compris dans le contexte du télétravail. « On faisait confiance à nos employés » n'est pas une défense suffisante.
- Déclaration obligatoire des incidents : si une violation de données se produit (ex : un employé en télétravail dont l'ordinateur est piraté et qui contenait des données clients), vous devez le déclarer à la Commission d'accès à l'information (CAI) dans les 72 heures si l'incident présente un risque de préjudice sérieux.
- Politique de confidentialité : vos contrats de travail et politiques internes doivent refléter les obligations de protection des données.
Liste de vérification pour gestionnaires de PME
🔐 Infrastructure et outils
- VPN d'entreprise déployé et obligatoire pour l'accès aux données internes
- Authentification à deux facteurs (2FA) activée sur tous les comptes professionnels
- Gestionnaire de mots de passe d'entreprise fourni à tous les employés
- Antivirus/EDR installé sur tous les appareils de travail (y compris BYOD si permis)
- Chiffrement du disque activé sur tous les appareils (BitLocker, FileVault)
- Sauvegardes automatiques et testées régulièrement
📋 Politiques et documentation (Loi 25)
- Politique de télétravail écrite incluant exigences de sécurité
- Responsable de la protection des renseignements personnels désigné
- Politique BYOD documentée si les appareils personnels sont permis
- Procédure de déclaration d'incident documentée (72h à la CAI)
- Formation des employés sur le hameçonnage et les bonnes pratiques
- Inventaire des données personnelles traitées à distance
- Évaluation des facteurs relatifs à la vie privée (ÉFVP) pour les nouveaux outils
👤 Bonnes pratiques pour les employés
- Ne jamais travailler sur un Wi-Fi public sans VPN actif
- Verrouiller l'écran lors de toute absence du poste de travail
- Ne pas partager les identifiants professionnels avec des proches
- Signaler immédiatement tout courriel suspect ou incident de sécurité
- Ne pas utiliser des comptes personnels (Gmail, Dropbox) pour des fichiers professionnels
- Mettre à jour le système et les logiciels dès que les mises à jour sont disponibles
Questions fréquentes
Mon employé qui travaille de la maison est-il couvert par la Loi 25?
Oui. La Loi 25 s'applique à toute organisation qui collecte des renseignements personnels sur des résidents du Québec, peu importe où travaillent physiquement les employés. Si votre employé traite des données clients depuis son domicile, votre entreprise demeure responsable de la sécurité de ces données. Une violation causée par le manque de précautions en télétravail engage votre responsabilité.
Quelle est la différence entre un VPN d'entreprise et un VPN personnel comme NordVPN?
Un VPN d'entreprise crée un tunnel chiffré vers les serveurs internes de l'entreprise — il donne accès aux fichiers partagés, logiciels internes, imprimantes. Un VPN personnel chiffre votre trafic Internet général et masque votre adresse IP, mais ne donne pas accès aux ressources internes. Les deux peuvent coexister, mais ont des usages distincts.
Mon employeur peut-il me demander d'utiliser mon ordinateur personnel pour le travail?
Oui, mais ça crée des obligations supplémentaires. Si vous utilisez votre appareil personnel (BYOD), l'employeur doit s'assurer que cet appareil est sécurisé pour traiter des données sensibles — antivirus approuvé, chiffrement du disque, VPN d'entreprise obligatoire. Cette politique doit être documentée par écrit.