Peut-on surveiller l’activité des salariés en télétravail ?
Le télétravail constitue un moyen permettant le maintien par les entreprises de leur activité. Cette modalité d’organisation du travail a proliféré avec la pandémie du Covid-19. Elle ne saurait toutefois être efficace sans la possibilité pour l’employeur de surveiller l’activité des salariés. Cette option fait partie du pouvoir d’encadrement et de contrôle de l’exécution des missions confiées aux salariés dont est doté tout employeur.
Afin d’atteindre cet objectif, l’employeur recourt à des outils spécifiques. Ces dispositifs collectent des données à caractère personnel. Leur utilisation ne doit toutefois pas porter atteinte aux droits et libertés des salariés. Un certain nombre de règles doivent dès lors être respectées afin d’éviter une surveillance excessive et de permettre une protection effective des données collectées.
Utiliser les dispositifs de surveillance de manière conforme
Comme tout traitement de données personnelles, le recours à ces dispositifs de surveillance doit se faire dans le respect des obligations sur les données personnelles.
- Les données des salariés doivent être traitées de manière licite, loyale et transparente : une information claire et facilement accessible doit être transmise aux salariés préalablement au recours à ces outils. Aussi, les données doivent être traitées conformément aux règles sur la protection des données personnelles et ne doivent être collectées et obtenues de manière déloyale.
- Le recours à ces outils doit être proportionné à l’objectif poursuivi : dans le cadre du principe de limitation des finalités, les données ne doivent être utilisées que pour une finalité bien définie et ne doivent pas être traitées pour une finalité distincte de celle prévue initialement.
- Seules les données nécessaires pour atteindre l’objectif défini doivent être collectées et traitées : en application des principes de minimisation des données et de limitation de la conservation, la collecte ne doit pas concerner des données qui ne sont pas nécessaires dans le cadre du contrôle du travail du salarié et les données recueillies ne doivent être traitées que pendant la durée nécessaire pour atteindre l’objectif poursuivi.
- Les données doivent être sécurisées : des mesures de sécurité adaptées doivent être mises en place. Ces mesures doivent être suffisantes et permettre de limiter, voire d’éviter tout risque. Seules les personnes autorisées doivent pouvoir ainsi accéder aux données collectées via ces dispositifs.
- Les droits des salariés doivent être respectées : les salariés disposent d’un certain nombre de droits qu’ils peuvent exercer auprès de l’employeur. La demande reçue doit être analysée au cas par cas afin de déterminer si le salarié bénéficie ou pas du droit concerné. Par exemple, le salarié a le droit de demander la suppression de ses données dans certains cas spécifiques tels que lorsque les données à caractère personnel ne sont plus nécessaires au regard des finalités, la personne concernée retire le consentement sur lequel est fondé le traitement, la personne concernée s’oppose au traitement et il n’existe pas de motif légitime impérieux pour le traitement, les données à caractère personnel ont fait l’objet d’un traitement illicite, etc…
- Documenter la conformité : en application du principe d’accountability introduit par le RGPD, le recours à ces dispositifs ne nécessite pas une autorisation de la CNIL. L’employeur est tenu d’assurer la conformité des données personnelles et doit être en mesure de démontrer la conformité du traitement. Ce traitement doit certes être inscrit dans le registre des traitements et une analyse d’impact doit être réalisée dans le cas où le traitement concerné est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes.
Ne pas surveiller les salariés de manière constante
Le contrôle des salariés ne doit pas se faire de manière permanente. La surveillance constante des salariés est en effet interdite sauf dans des cas bien précis où cette surveillance peut être tolérée au vu de la nature de la mission.
Le recours à ces outils doit en effet être limité à l’objectif recherché. Par exemple, le fait de demander à un salarié de se connecter à une visioconférence pendant tout le temps de son travail constitue une surveillance excessive et non conforme aux principes de protection des données personnelles. Le dispositif utilisé ne doit pas non plus être intrusif. Ainsi, le fait de recourir à un outil permettant d’enregistrer l’ensemble des frappes du clavier des salariés est une pratique non conforme.
Dans cette perspective, la CNIL a sanctionné l’entreprise Uniontrad Company d’une amende de 20 000 euros[1] pour avoir mis en place des caméras plaçant les salariés sous surveillance permanente et constante. Elle admet que « l’utilisation d’un dispositif de vidéosurveillance conduisant à placer des salariés sous une surveillance permanente n’apparaît pas justifiée et doit être considérée comme manifestement disproportionnée et excessive au regard de la finalité déclarée ».
De même, l’autorité de contrôle a sanctionné l’entreprise Spartoo d’une amende de 250 000 euros[2] en raison notamment du manquement au principe de minimisation des données. L’enregistrement intégral et permanent des appels téléphoniques reçus par les salariés a été considéré comme étant excessif au regard de la finalité qu’est l’évaluation de ceux-ci par la société.
Les entreprises mettant en place ces traitements doivent revoir leurs pratiques et veiller au bon respect des exigences applicables en la matière.
La CNIL a d’ailleurs choisi de prioriser cette année ce sujet sur les outils de surveillance utilisés dans le cadre du télétravail[3]. Porter une attention particulière à ces questions se justifie au vu des risques qui existent pour les personnes concernées.
Sources :
[1] Délibération SAN-2019-006 du 13 juin 2019