Cyber-risques et DUERP : intégrer le risque numérique
On parle souvent de cybersécurité pour protéger les données. Reste l'autre face du numérique : son effet sur la santé des salariés. Hyperconnexion, stress post-attaque, difficulté à déconnecter relèvent aussi du DUERP. Voici comment les évaluer.
En 30 secondes
Le risque numérique en bref
- Le cyber-risque pour la santé se distingue de la cybersécurité : il concerne l'impact du numérique sur les salariés, pas la protection des données.
- Il se situe entre deux familles déjà au DUERP : risques psychosociaux et travail sur écran.
- Principaux facteurs : hyperconnexion, surcharge, difficulté à déconnecter, stress post-cyberattaque, technostress, isolement.
- Le droit à la déconnexion est un thème de négociation obligatoire dès 50 salariés (L.2242-17).
- Même une TPE est concernée : l'évaluation se fait simplement, avec des mesures concrètes.
- Le télétravail amplifie ces risques et doit être traité spécifiquement.
Ne pas confondre
Cybersécurité et cyber-risque pour la santé : deux sujets
Quand on dit « cyber-risque », on pense d'abord à la cybersécurité : protéger les systèmes, sauvegarder les données, se prémunir contre les rançongiciels. C'est un enjeu majeur, relevant de l'informatique et du RGPD. Mais ce n'est pas le sujet du DUERP.
Le DUERP, lui, s'intéresse à l'effet du numérique sur la santé des salariés. Deux angles donc, à ne pas confondre. La cybersécurité protège l'entreprise et ses données. Le cyber-risque au sens de la prévention protège la santé physique et mentale des personnes qui travaillent avec ces outils, et qui subissent les incidents quand ils surviennent.
Une cyberattaque illustre bien le croisement des deux. Côté sécurité, on traite la faille, on restaure les données. Côté santé, on gère le stress des équipes qui travaillent en mode dégradé, la pression de la reprise, parfois la culpabilité du salarié qui a cliqué sur le mauvais lien. Le DUERP couvre cette seconde dimension.
Les facteurs
Six facteurs de risque numérique pour la santé
Hyperconnexion et surcharge informationnelle
Messagerie qui déborde, notifications permanentes, sollicitations multiples en parallèle. Le cerveau ne décroche jamais, l'attention se fragmente, la charge mentale grimpe. C'est l'un des facteurs de RPS les plus répandus dans les métiers de bureau.
Difficulté à se déconnecter
Mails consultés le soir, le week-end, en congés. La frontière entre vie professionnelle et vie personnelle s'efface. L'absence de coupure réelle empêche la récupération et nourrit l'épuisement professionnel.
Stress post-cyberattaque
Une attaque par rançongiciel ou un piratage paralyse l'activité, parfois plusieurs jours. Les salariés subissent la pression de la reprise, la perte de données, la culpabilité d'avoir cliqué. L'impact psychologique d'un incident cyber est réel et durable.
Pression du phishing et de la vigilance permanente
Devoir se méfier de chaque email, de chaque lien, sous peine de compromettre toute l'entreprise. Cette vigilance continue, doublée de la peur de l'erreur, pèse sur la charge mentale du travail quotidien sur écran.
Technostress et obsolescence des outils
Logiciels qui changent, outils mal maîtrisés, mises à jour incessantes. Le sentiment de ne plus suivre, de perdre du temps avec la technique plutôt que sur son métier, génère frustration et perte de sens.
Isolement numérique
Le tout-écran et le tout-distanciel peuvent appauvrir les relations humaines. Réunions en visio à la chaîne, échanges réduits à des messages : le lien social, facteur protecteur contre les RPS, s'érode.
Ces facteurs croisent deux familles déjà présentes au DUERP : les risques psychosociaux et le travail sur écran. Le risque numérique n'est pas une catégorie isolée : c'est une lecture transversale de ces deux familles à l'ère du tout-connecté.
Le levier légal
Le droit à la déconnexion, outil de prévention
Le droit à la déconnexion est entré dans le Code du travail avec la loi Travail de 2016. Dans les entreprises d'au moins 50 salariés, il fait partie des thèmes de la négociation annuelle obligatoire (article L.2242-17). L'objectif : garantir le respect des temps de repos et de congé, et préserver la vie personnelle et familiale.
En dessous de 50 salariés, il n'y a pas d'obligation de négocier. Mais l'obligation générale de sécurité demeure : l'employeur doit protéger la santé de ses salariés, ce qui inclut prévenir la surcharge numérique et l'épuisement. Une charte simple, quelques règles claires, suffisent souvent à poser un cadre protecteur.
Le droit ne suffit pas sans la pratique. Afficher un droit à la déconnexion que personne n'applique aggrave le sentiment d'injonction contradictoire. L'exemplarité de l'encadrement (ne pas envoyer de mails le soir, ne pas attendre de réponse immédiate hors horaires) pèse plus qu'une charte.
RPS et travail sur écran déjà dans votre DUERP
Pour les métiers de bureau et de service, DUERP Gestion intègre par défaut les risques psychosociaux et le travail sur écran dans ses modèles. Vous partez de cette base solide et ajoutez, là où c'est pertinent, le volet numérique : hyperconnexion, déconnexion, exposition aux incidents cyber.
Service exceptionnellement gratuit (au lieu de 39 €), sans inscription.
Questions fréquentes
Risque numérique : ce qu'on nous demande
Les questions des dirigeants sur l'intégration du cyber-risque pour la santé au DUERP.
Le risque numérique doit-il vraiment figurer au DUERP ?
Oui, dès lors qu'il affecte la santé des salariés. Le DUERP couvre la santé physique et mentale. L'hyperconnexion, la difficulté à se déconnecter, le stress lié aux outils numériques et aux incidents cyber sont des facteurs de risques psychosociaux et de fatigue, à évaluer comme les autres. Le support numérique ne les sort pas du champ de l'évaluation des risques.
Quelle différence entre cyber-risque pour la santé et cybersécurité ?
Ce sont deux sujets distincts mais liés. La cybersécurité protège les données et les systèmes de l'entreprise (technique, RGPD, informatique). Le cyber-risque au sens du DUERP concerne l'impact des outils et incidents numériques sur la santé des salariés (stress, hyperconnexion, charge mentale). Une cyberattaque relève des deux : sécurité des systèmes ET santé des équipes qui la subissent.
Le droit à la déconnexion est-il obligatoire ?
Dans les entreprises d'au moins 50 salariés, le droit à la déconnexion fait partie des thèmes de la négociation annuelle obligatoire (article L.2242-17 du Code du travail). En dessous de ce seuil, il n'y a pas d'obligation de négocier, mais l'employeur reste tenu de protéger la santé de ses salariés, ce qui inclut de prévenir la surcharge numérique. Une charte ou des règles simples sont recommandées quelle que soit la taille.
Comment évaluer le risque numérique dans une TPE ?
Sans complexité excessive. Repérez les situations à risque : volume de mails, sollicitations hors horaires, dépendance à un outil critique, exposition au phishing. Évaluez leur fréquence et leur impact. Prévoyez des mesures simples : règles de messagerie, plages sans réunion, sauvegarde des données, sensibilisation au phishing. Inscrivez le tout au DUERP, dans la rubrique des risques psychosociaux ou du travail sur écran.
Le télétravail aggrave-t-il les cyber-risques pour la santé ?
Souvent, oui. À distance, l'hyperconnexion et la difficulté à déconnecter sont accentuées, le lien social plus ténu, l'exposition aux failles de sécurité parfois plus forte (réseau domestique, matériel personnel). Le DUERP doit traiter le télétravail spécifiquement, y compris sur son volet numérique. Voir notre article dédié au DUERP et télétravail.
Quelles mesures concrètes contre l'hyperconnexion ?
Plusieurs leviers simples : plages horaires sans envoi de mails, désactivation des notifications hors temps de travail, réunions sans écran, droit explicite de ne pas répondre le soir et le week-end, formation à la gestion de la messagerie. Le plus efficace est de poser des règles claires et de les faire respecter, à commencer par l'exemplarité de l'encadrement.
Sources
Références utilisées
- Code du travail · Article L.2242-17
Droit à la déconnexion dans la négociation annuelle obligatoire (entreprises d'au moins 50 salariés).
- Code du travail · Article L.4121-1
Obligation générale de protection de la santé physique et mentale des travailleurs.
- INRS · Risques psychosociaux
Cadre des RPS, dont relèvent l'hyperconnexion, la surcharge et le technostress.
- INRS · Travail sur écran
Fatigue visuelle, posturale et mentale liée au travail sur écran.
Dernière vérification des références : 16 juin 2026.
Un DUERP qui couvre aussi le numérique
Risques psychosociaux et travail sur écran intégrés, base à compléter pour votre réalité numérique. Exceptionnellement gratuit (au lieu de 39 €), sans inscription.