Accueil //Blog //RGPD //DPO //Concilier sécurité des données et activité des salariés dans l’entreprise
Crédits photo : Lagos Techie, Unsplash

Chaque entreprise met à disposition de ses salariés des moyens physiques et numériques d’exercer son activité (matériel informatique, cloud, accès aux locaux de l’entreprise…). Cette mise à disposition doit être encadrée et les nouvelles technologies permettent de gérer cette surveillance notamment à distance. L’employeur dispose d’un pouvoir de contrôle de l’activité des salariés.

Le contrôle de l’activité des salariés peut se justifier par deux raisons :

  • D’une part, afin de limiter les risques d’abus d’une utilisation trop personnelle d’internet par les salariés impactant de fait leur efficacité
  • D’autre part, afin de préserver la sécurité des données et d’éviter toute fuite de données qui serait préjudiciable à l’entreprise comme aux salariés

Ce dernier point relève en effet d’une obligation imposée par l’article 32 du RGPD : la sécurité des données personnelles. En effet, les ressources informatiques utilisées par les salariés constituent des sources majeures de vulnérabilité face aux risques de contaminations et d’intrusions malveillantes. Une fuite de données peut donc parfaitement trouver son origine dans la négligence d’un salarié, par exemple lors de l’utilisation de sa messagerie professionnelle.

La mise en place d’outils de cybersurveillance est donc nécessaire afin d’assurer la sécurité des données personnelles. Cependant, la mise en place de tels dispositifs doit se faire en adéquation avec les dispositions du Code du Travail et la Règlementation relative à la protection des Données Personnelles pour que le contrôle puisse s’exercer dans le strict respect des droits des salariés.

Afin de concilier vie privée des salariés et sécurité des données personnelles, Data Legal Drive, vous propose de revenir sur les règles applicables en matière de contrôle de l’activité.

L’encadrement par le droit du travail

Le Code du Travail dispose que « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché » [1].

Ce principe de respect de la vie privée des salariés doit donc guider l’employeur dans la mise en place des outils de contrôle. De fait, l’employeur a plusieurs obligations :

  • Une obligation de loyauté : L’article L. 1222-4 du Code du travail dispose qu’aucune information concernant un salarié ne peut être collectée par un dispositif qui n’aurait pas été porté à la connaissance de ce dernier. Par conséquent, l’existence de tels dispositifs doit obligatoirement être portée à la connaissance des salariés.
  • Une obligation d’information et de consultation des instances représentatives du personnel : L’article L. 2312-38 al. 3 du Code du Travail impose à l’employeur d’informer et de consulter le CSE préalablement à la mise en œuvre de tout dispositif permettant un contrôle de l’activité des salariés pendant le temps de travail.

En outre, la Cour de Cassation est allée plus loin que le Code du Travail dans un arrêt du 11 décembre 2019[2] en considérant que l’employeur doit informer et consulter le CSE quant à la mise en place du dispositif de contrôle des salariés quand bien même le contrôle n’en est pas la finalité première et exclusive.

Pour rappel, le défaut de consultation du CSE fait encourir à l’employeur un risque de condamnation pénal pour délit d’entrave.

[1] Art. L. 1121-1 du Code du Travail

[2] Cass. Soc, 11 décembre 2019 n°18-11.792

L’encadrement par le RGPD

L’entrée en vigueur du RGPD est venue compléter les dispositions du Code du Travail et, de fait, apporter une protection supplémentaire à la vie privée des salariés.

En effet, l’article 30 du RGPD impose au responsable de traitement (ici, l’employeur) de tenir un registre des activités de traitement. Dès lors, tout dispositif de contrôle permettant un traitement de données personnelles des salariés doit obligatoirement apparaître dans le registre des traitements [1].

L’article 35 du RGPD pose également l’obligation, pour le responsable de traitement, d’effectuer une analyse d’impact lorsqu’un traitement de données personnelles est susceptible « d’engendrer un risque élevé pour les droits et libertés des personnes physiques » [2].

Afin de préciser les contours de cette obligation, la CNIL a précisé qu’il est nécessaire que soit menée une analyse d’impact les « traitements ayant pour finalité de surveiller de manière constante l’activité des employés concernés ». Cette obligation s’explique par le fait que de tels traitements entraînent une surveillance systématique concernant des personnes dites « vulnérables » (à savoir, les salariés).

Par exemple, la mise en place d’un dispositif de vidéosurveillance nécessite donc que soit préalablement réalisée une analyse d’impact.

Enfin, les articles 12 et 13 du RGPD imposent également à l’employeur une obligation de transparence dans l’information. Dès lors, l’employeur qui met en place des dispositifs de contrôle de l’activité des salariés doit également informer les salariés :

  • Des finalités poursuivies
  • De la base légale (par exemple, l’intérêt légitime de l’employeur)
  • De l’identité du responsable de traitement
  • De l’identité des destinataires des données
  • De la durée de conservation des données
  • De leurs droits d’opposition, d’accès et de rectification
  • De la possibilité d’introduire une réclamation auprès d’une autorité de contrôle

[1] Art.30 du RGPD par la CNIL

[2] Art.35 du RGPD par la CNIL

Crédits photo : Towfiqu Barbhuiya, Unsplash

La marge de manœuvre de l’employeur dans la mise en place d’outils de contrôle

Plusieurs dispositifs peuvent être mise en œuvre par l’employeur afin de contrôler l’activité des salariés sur le lieu de travail. Cependant, la CNIL et la jurisprudence en droit du travail ont eu l’occasion, à plusieurs reprises, de préciser la marge de manœuvre de l’employeur dans l’utilisation de certains outils.

En voici un panorama :

L’interdiction formelle d’outils de surveillance permanente

Si l’employeur a le droit de contrôler l’activité de ses salariés, il lui est cependant interdit de les placer en situation de surveillance permanente. En effet, à l’heure du recours massif au télétravail dû au contexte sanitaire actuel, la CNIL a eu l’occasion de rappeler l’interdiction de certains dispositifs en raison de leur caractère fortement intrusif.

L’employeur a dès lors interdiction de recourir à :

  • Toute surveillance constante au moyen de dispositifs vidéo, notamment en demandant aux salariés de garder leur caméra activée pendant le temps de travail
  • L’utilisation de keyloggers, logiciels espions permettant d’enregistrer l’ensemble des frappes au clavier et mouvements de souris effectuées par le salarié

Le contrôle des connexions internet

L’utilisation d’internet par les salariés à des fins personnelles, bien que possible, doit être effectuée de manière raisonnable, et ne concerne que des sites internet dont le contenu n’est pas contraire à l’ordre public.

L’employeur a donc tout à fait la possibilité de contrôler l’accès à internet par ses salariés, notamment en consultant les historiques et les favoris de ces derniers. En outre, la Cour de Cassation a également eu l’occasion de rappeler que les connexions internet des salariés à des fins personnels pendant le temps de travail peuvent être sanctionnées si celle-ci sont abusives. En effet, elles peuvent tout à fait constituer une faute grave justifiant un licenciement.

Enfin, dans un souci de sécurité des données, l’employeur peut également mettre en place un logiciel de filtrage afin de restreindre la navigation et bloquer l’accès aux sites non autorisés.

Le contrôle des e-mails envoyés et reçus

La consultation des e-mails reçus sur la boite mail professionnelle du salarié fait partie des prérogatives de contrôle de l’employeur. Cependant, il a été rappelé à plusieurs reprises en jurisprudence que les e-mails spécifiquement identifiés comme « personnels » ne peuvent pas être lus par l’employeur.

La Cour de Cassation a également rappelé que l’employeur ne peut pas accéder aux e-mails envoyés et reçus depuis la boite électronique personnelle du salarié, quand bien même ceux-ci auraient été rédigés sur l’ordinateur professionnel du salarié[1].

Le recours à la vidéosurveillance

Le recours à la vidéosurveillance par l’employeur est possible, et se justifie par la nécessité d’assurer la sécurité des biens et des personnes sur le lieu de travail.

L’employeur qui met en place un dispositif de vidéosurveillance doit, dès lors, respecter les prérogatives du Code du Travail et du RGPD détaillées ci-dessus. Afin d’assurer une information claire des salariés, l’employeur doit prévoir un affichage dans les locaux informant de l’existence du dispositif de vidéosurveillance.

Cependant, l’utilisation de la vidéosurveillance n’est pas illimitée. La CNIL a eu l’occasion de rappeler que l’employeur doit limiter les zones filmées par les caméras de surveillance aux entrées et sorties du bâtiment, aux issues de sources ou les zones dans lesquelles sont stockées des biens de valeurs.

Cependant il ne peut pas filmer les employés sur le poste de travail sauf circonstances particulières, par exemple dans le cadre d’un employé manipulant de l’argent.

De plus, certaines zones ne doivent sous aucun prétexte être filmées. Cette interdiction s’applique :

  • Aux zones de pauses et / ou de repos des salariés
  • Aux toilettes
  • Aux locaux syndicaux

Enfin, l’employeur doit définir et respecter la durée de conservation des images, cette durée n’excédant en principe pas un mois.

[1] Cour de cassation, 26 Janvier 2016, n°14-15.360

À lire aussi