9 - Surveillance, TIC et gestion des données personnelles
Surveillance des télétravailleurs
Règles identiques à tous les salariés
Règles de forme et règles de fond
Le télétravailleur a les mêmes droits que le salarié qui exécute son travail dans les locaux de l’entreprise (c. trav. art. L. 1222-9).
De son côté, l’employeur a vis-à-vis des télétravailleurs les mêmes obligations « de droit commun » que celles qu’il a à l’égard de tout autre salarié (c. trav. art. L. 1222-10).
Les règles à respecter en matière de surveillance sont donc identiques pour les salariés en présentiel ou les salariés en télétravail. Deux types de règles doivent être respectés :
-et des règles de fond protégeant les droits et libertés des salariés, y compris ceux des télétravailleurs (voir § 9-7).
L'accord national interprofessionnel (ANI) du 26 novembre 2020 « pour une mise en œuvre réussie du télétravail » rappelle toutes ces règles (§ 3.1.3).
L'ANI télétravail du 26 novembre 2020 est reproduit dans les annexes.
Consultation du CSE avant l'installation du dispositif de surveillance
Au titre des formalités obligatoires, l'employeur doit, dans une entreprise d'au moins 50 salariés, informer et consulter le comité social et économique (CSE) sur les moyens ou techniques permettant un contrôle de l’activité des salariés, préalablement à la décision de mise en œuvre dans l’entreprise (c. trav. art. L. 2312-38). Ainsi, l'employeur informe et consulte le CSE au stade du projet.
L’employeur qui ne consulterait pas le CSE ne pourrait pas se servir de ce dispositif pour prouver la faute d’un salarié (cass. soc. 11 décembre 2019, n° 18-11792 FSPB).
Information préalable des salariés sur les dispositifs de contrôle
L'employeur doit consulter le CSE (voir § 9-2), mais il est également tenu d'informer les salariés. En effet, aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance (c. trav. art. L. 1222-4). L'employeur ne peut donc pas mettre en œuvre un dispositif de contrôle clandestin et, à ce titre, déloyal.
La preuve qui serait obtenue à partir d'un procédé clandestin serait inexploitable car illicite (cass. soc. 4 juillet 2012, n° 11-30266, BC V n° 208).
Information préalable des salariés en application du RGPD
Les salariés doivent être également informés en application de la loi informatique et libertés et du RGPD (loi 78-17 du 6 janvier 1978, JO du 7 ; règlt UE 2016/679 du 27 avril 2016, JOUE 4 mai). À ce titre, la CNIL préconise qu'ils soient informés, via une charte informatique (annexée ou non au règlement intérieur), une note individuelle ou une note de service, notamment des points suivants (« Les outils informatiques au travail », éd. 2018, www.cnil.fr) :
-des finalités poursuivies par le traitement de données personnelles, ici le dispositif de contrôle qui collecte et gère des données personnelles des salariés ;
-de la base légale du dispositif (ex. : obligation issue du code du travail ou intérêt légitime de l’employeur) ;
-des destinataires des données personnelles ;
-de la durée de conservation de ces données ;
-de leur droit d’opposition pour motif légitime ;
-de leurs droits d’accès et de rectification ;
-de la possibilité de faire une réclamation auprès de la CNIL.
Pour rappel, est une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale (loi 78-17 du 6 janvier 1978, art. 2, JO du 7 ; règlt UE 2016/679 du 27 avril 2016, art. 4, JOUE 4 mai).
Registre des activités de traitement et analyse d'impact des données
Les différents traitements de données personnelles permettant un contrôle de l'activité des salariés (ex. : système de contrôle des outils informatiques mis à disposition des salariés, dispositif de contrôle des horaires de travail) doivent être inscrits au registre des activités de traitement tenu par l’employeur (règlt UE 2016/679 du 27 avril 2016, art. 30, JOUE 4 mai).
De plus, les traitements ayant pour finalité de surveiller de manière constante l’activité des salariés concernés doit faire l'objet d'une analyse d'impact des données (AIPD) (règlt UE 2016/679 du 27 avril 2016, art. 35 ; décret 2018-687 du 1er août 2018, JO du 3).
Un traitement qui a pour finalité l’analyse des flux de courriels sortants afin de détecter d’éventuelles fuites d’information (dispositifs dits de « Data Loss Prevention ») doit faire l'objet d'une AIPD (CNIL, Référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion du personnel, www.cnil.fr).
Inscription dans le règlement intérieur
Certains dispositifs de contrôle des salariés sont à inscrire dans le règlement intérieur, dans la mesure où ceux-ci s’apparentent à des règles générales et permanentes relatives à la discipline susceptibles de donner lieu à des sanctions disciplinaires. Dans ce cas, la procédure spécifique de modification du règlement intérieur doit être respectée, en plus des étapes ici décrites (circ. DGT 2008-22 du 19 novembre 2008).
Respect des libertés et de la vie privée
L’employeur ne peut apporter aux droits des salariés et à leurs libertés individuelles et collectives des restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir, ni proportionnées au but recherché (c. trav. art. L. 1121-1).
Tout système de surveillance des salariés doit donc répondre à ces deux conditions. Quel que soit le dispositif de contrôle mis en place, la vie privée des salariés doit également être respectée (c. civ. art. 9).
Dispositifs pouvant être mis en place ou pas
Interdiction des dispositifs de surveillance constante et permanente
Aucun dispositif ne doit conduire à une surveillance constante et permanente de l’activité du salarié, en particulier du télétravailleur, sauf dans des cas exceptionnels dûment justifiés au regard de la nature de la tâche (« Les questions-réponses de la CNIL sur le télétravail », www.cnil.fr).
Les dispositifs suivants sont illicites :
-les keyloggers qui permettent d’enregistrer à distance toutes les actions accomplies sur un ordinateur, sauf circonstance exceptionnelle liée à un fort impératif de sécurité (Document questions/réponses, « Télétravail en période de covid-19 », www.travail-emploi.gouv.fr) ;
-demander à un salarié de se mettre en visioconférence tout au long de son temps de travail pour s’assurer de sa présence derrière son écran (« Les questions-réponses de la CNIL sur le télétravail », www.cnil.fr) ;
-le partage permanent de l'écran (« Les questions-réponses de la CNIL sur le télétravail », www.cnil.fr) ;
-l’obligation pour le salarié d’effectuer très régulièrement des actions pour démontrer sa présence derrière son écran comme cliquer toutes les x minutes sur une application ou prendre des photos à intervalles réguliers (« Les questions-réponses de la CNIL sur le télétravail », www.cnil.fr).
Dispositifs pouvant être mis en place
Le recours à la webcam ou à des appels téléphoniques est possible mais il ne doit pas conduire à une surveillance excessive (voir § 9-8).
Selon la CNIL, l'employeur peut, par exemple, mettre en place un contrôle de la réalisation par objectifs pour une période donnée. Ces objectifs devraient être raisonnables, susceptibles d’être objectivement quantifiés, et contrôlables à des intervalles réguliers (« Les questions-réponses de la CNIL sur le télétravail », www.cnil.fr).
Toujours selon la CNIL, un compte rendu régulier du salarié est également un moyen de contrôle de l’activité pouvant être mis en place.
Dispositif de contrôle du temps de travail
L'employeur contrôle le temps de travail, en particulier celui des télétravailleurs (voir §§ 7-11 et s.).
Usage des TIC et gestion des données personnelles conformes au RGPD
Obligation d'assurer la sécurité des données personnelles y compris en cas de télétravail
L'employeur doit assurer la sécurité et préserver la confidentialité des données personnelles qu'il traite (ex. : données personnelles des clients, des salariés en présentiel ou en télétravail) (règlt UE 2016/679 du 27 avril 2016, art. 5 ; loi 78-17 du 6 janvier 1978, art. 4, JO du 7). À ce titre, il doit empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès notamment au moment de leur collecte, durant leur transmission et leur conservation (référentiel gestion du personnel, § 10).
Adoption d'une charte sécurité dédiée au télétravail
La CNIL conseille les employeurs pour les aider à respecter leurs obligations à l'égard des données personnelles (voir § 9-11), en particulier en cas de télétravail.
Elle leur recommande notamment d'élaborer une charte de sécurité dédiée au télétravail (« Les conseils de la CNIL pour mettre en place du télétravail », www.cnil.fr). À notre sens, l'employeur peut élaborer cette charte en la distinguant de sa charte informatique ou choisir de l'incorporer à sa charte informatique. Pour rappel, l'adoption d'une charte informatique relève des mesures de sécurité des données personnelles que la CNIL invite à mettre en place (CNIL, référentiel gestion du personnel, § 10).
La CNIL conseille aussi les télétravailleurs, en les invitant notamment à respecter la charte sécurité dédiée au télétravail quand elle existe (« Salariés en télétravail : quelles sont les bonnes pratiques à suivre ? », www.cnil.fr).
De son côté, l'ANI télétravail du 26 novembre 2020 rappelle la responsabilité de l'employeur en matière de sécurité des données personnelles (voir § 9-10 et le texte de l'ANI en annexe) (ANI du 26 novembre 2020, § 3.1.4). Comme la CNIL, il invite les employeurs à établir un socle de consignes minimales à respecter en télétravail, s’agissant de l’usage des outils numériques et de la protection des données, et à communiquer ce document à l’ensemble des salariés.
En résumé, les employeurs sont invités à adopter une charte informatique dédiée aux télétravailleurs, ou à compléter leur charte informatique générale sur ce point, pour :
-fixer les règles d'usage des TIC et, de fait, les informer des restrictions d'usage des équipements ou outils informatiques et des sanctions encourues en cas de non-respect des règles applicables ;
-rappeler les dispositions légales et les règles propres à l’entreprise relatives à la protection des données personnelles et à leur confidentialité.
Si le télétravailleur utilise un outil personnel, les restrictions d'usage des équipements ou outils informatiques ne concernent que leur usage à des fins professionnelles (voir § 9-13).
Si l'employeur veut donner une portée contraignante à sa charte, et pouvoir sanctionner le salarié qui ne la respecterait pas, il l'adopte en suivant les règles applicables au règlement intérieur (CNIL, référentiel gestion du personnel, § 10).
Il est également recommandé aux employeurs de mettre à la disposition des salariés des outils de communications et de travail collaboratif appropriés au travail distant, qui garantissent la confidentialité des échanges et des données partagées (ANI télétravail, § 3.1.4 ; « Salariés en télétravail : quelles sont les bonnes pratiques à suivre ? », www.cnil.fr).
Utilisation par les télétravailleurs de leur équipement personnel
L'accord collectif relatif au télétravail, la charte télétravail ou encore, l'employeur et le salarié en cas de télétravail de gré à gré, peuvent prévoir que le télétravailleur utilise son équipement personnel (ex. : téléphone portable, ordinateur, tablette), mais cela ne doit pas être une obligation selon le ministère du Travail (Document questions/réponses, « Télétravail en période de covid-19 », www.travail-emploi.gouv.fr).
L'usage d'équipements informatiques personnels dans un contexte professionnel est connu sous l’acronyme de « BYOD » qui est l’abréviation de l’expression anglaise « Bring Your Own Device » (en français : « Apportez Votre Équipement personnel de Communication » ou AVEC) (« Les questions-réponses de la CNIL sur le télétravail », www.cnil.fr).
La CNIL rappelle que la réglementation en matière de protection des données personnelles impose que le niveau de sécurité et de confidentialité des données personnelles traitées soit le même, quel que soit l’équipement utilisé. L’employeur reste en effet responsable de la sécurité des données personnelles de son entreprise, y compris lorsqu’elles sont stockées sur des terminaux dont il n’a pas la maîtrise physique ou juridique, mais dont il a autorisé l’utilisation pour accéder aux ressources informatiques de l’entreprise (« Les questions-réponses de la CNIL sur le télétravail », www.cnil.fr).
Par ailleurs, la CNIL souligne que si l’employeur est en principe libre d’accéder aux données présentes sur l’équipement professionnel confié au salarié, qui sont présumées avoir un caractère professionnel, ce n’est pas le cas pour les données figurant sur l’équipement personnel de ses salariés. En effet, les dossiers et fichiers présents sur l’ordinateur professionnel des salariés ont nécessairement un caractère professionnel quand ils ne les ont pas identifiés comme personnels. Il en résulte que l’employeur a légitimement accès à ces fichiers, sans qu’il soit nécessaire que le salarié concerné soit présent (cass. soc. 18 octobre 2006, nos 04-47400 et 04-48025, BC V n° 308 ; cass. soc. 21 octobre 2009, n° 07-43877, BC V n° 226 ; cass. soc. 15 décembre 2009, n° 07-44264, BC V n° 284).
Pour rappel, un salarié ne peut pas empêcher volontairement son employeur d’accéder à son ordinateur professionnel (ex. : grâce à un procédé de cryptage). Un tel comportement peut justifier, selon les circonstances, un licenciement pour faute grave (cass. soc. 18 octobre 2006, n° 04-48025, BC V n° 308).
Selon la CNIL, le recours au BYOD est une « décision qui doit être prise après avoir mis en balance les intérêts et les inconvénients présentés par cet usage qui brouille la frontière entre vie personnelle et vie professionnelle » (« Les questions-réponses de la CNIL sur le télétravail », www.cnil.fr).
Le Groupement d’Intérêt Public Action contre la Cybermalveillance (GIP ACYMA) recommande aux employeurs de privilégier autant que possible pour le télétravail l’utilisation de moyens mis à disposition, sécurisés et maîtrisés par l’entreprise (« Recommandations de sécurité informatique pour le télétravail en situation de crise », www.cybermalveillance.gouv.fr).
Visioconférence, respect du RGPD et de la vie privée
De manière générale, la CNIL recommande aux employeurs de ne pas imposer l’activation de leur caméra aux salariés en télétravail qui participent à des visioconférences. Cette recommandation découle du principe de minimisation des données, inscrit dans le RGPD (règlt UE 2016/679 du 27 avril 2016, art. 5.1 c, JOUE 4 mai). Selon ce principe, les données traitées doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». Or, selon la CNIL, dans la plupart des cas, une participation via le micro est suffisante (« Les questions-réponses de la CNIL sur le télétravail », www.cnil.fr).
Bien que la diffusion de l’image puisse participer à la convivialité dans une période d’éloignement de ses collègues, il peut y avoir une atteinte au droit au respect de la vie privée, tout particulièrement, en cas de télétravail à domicile, aux autres personnes présentes au domicile. Dès lors, un salarié doit pouvoir en principe refuser la diffusion de son image lors d’une visioconférence en mettant en avant les raisons tenant à sa situation particulière. Seules des circonstances très particulières, dont il appartiendrait à l’employeur de justifier, pourraient selon la CNIL rendre nécessaire la tenue de la visioconférence à visage découvert.
La CNIL conseille les utilisateurs des outils de visioconférence (« Covid-19 : les conseils de la CNIL pour utiliser les outils de visioconférence », www.cnil.fr).
Quiz Surveillance, TIC et gestion des données personnelles
Testez vos connaissances !
Ce quiz vous permet de déterminer l’étendue de vos connaissances sur la surveillance, les TIC et la gestion des données personnelles dans le contexte du télétravail.
QUESTIONS
1. L'employeur qui met en place un dispositif de contrôle des salariés en télétravail doit préalablement consulter le CSE.
Vrai / Faux
2. L'employeur qui met en place un dispositif de contrôle des salariés en télétravail n'a pas à en informer les salariés.
Vrai / Faux
3. L’employeur peut surveiller en permanence les télétravailleurs.
Vrai / Faux
4. L’employeur peut fixer des objectifs de travail sur une période donnée au salarié et contrôler à intervalles réguliers qu’ils ont bien été effectués.
Vrai / Faux
5. Le salarié peut utiliser son équipement personnel pour télétravailler.
Vrai / Faux
6. L'employeur peut imposer l'activation de leur caméra aux salariés en télétravail lorsqu'ils participent à des visioconférences.
Vrai / Faux
RÉPONSES
1. L'employeur qui met en place un dispositif de contrôle des salariés en télétravail doit préalablement consulter le CSE.
Vrai. L'information et la consultation du CSE sur les moyens techniques de contrôle de l'activité des salariés s'imposent dans les entreprises d'au moins 50 salariés. Voir § 9-2.
2. L'employeur qui met en place un dispositif de contrôle des salariés en télétravail n'a pas à en informer les salariés.
Faux. Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n'a pas été porté à sa connaissance. Voir § 9-3.
3. L’employeur peut surveiller en permanence les télétravailleurs.
Faux. L’employeur ne peut pas exercer une surveillance constante, permanente, de ses salariés, sauf dans des circonstances vraiment exceptionnelles et qu’il faudrait alors justifier. Voir § 9-8.
4. L’employeur peut fixer des objectifs de travail sur une période donnée au salarié et contrôler à intervalles réguliers qu’ils ont bien été effectués.
Vrai. Le contrôle du télétravailleur est ici proportionné. Voir § 9-9.
5. Le salarié peut utiliser son équipement personnel pour télétravailler.
Vrai. Ce n'est pas une obligation mais une possibilité convenue avec l'employeur. Voir § 9-13.
6. L'employeur peut imposer l'activation de leur caméra aux salariés en télétravail lorsqu'ils participent à des visioconférences.
Faux. La CNIL déconseille de le faire et considère qu'une participation via le micro est suffisante. Voir § 9-14.
