La question du contrôle de l’activité des télétravailleurs par des outils logiciels de n’est pas une question nouvelle : la cybersurveillance sur les lieux de travail avait déjà donné lieu à un rapport de la CNIL en 2002[1]. Dans le dernier rapport de la CNIL (sur l’activité en 2019), on relève notamment que 10% des plaintes à la CNIL concernent la surveillance des salariés
En France, le contrôle de l’activité des salariés est un droit de l’employeur qui découle de son pouvoir de direction. Cette règle a été affirmée à de multiples reprises par la Cour de Cassation.
Ce droit n’est pas sans limite, bien entendu. Il est limité par les droits et libertés des salariés tels qu’ils sont prévus par le code du travail, la loi informatique et liberté et depuis le 25 mai 2018 par le Règlement Général sur la Protection des Données ou RGPD, ainsi que par des droits fondamentaux, dont l’article 9 du code civil, relatif à la protection de l’intimité de la vie privée. Comme le rappelle fréquemment la Cour de cassation, le salarié a droit, même au temps et au lieu de travail, au respect de l’intimité de sa vie privée. Il convient donc, dans chaque situation, de rechercher un équilibre entre, d’une part, l’exercice, par l’employeur, de son droit de contrôle et, d’autre part, l’exercice, par les salariés, de leurs droits et libertés.
Le confinement mis en place dans le cadre du plan de lutte contre la COVID-19 a été à l’origine d’un passage massif et inédit au télétravail à domicile. le code du travail permettant à l’employeur d’imposer, en cas de risque épidémique, le télétravail aux salariés dont les fonctions permettent le télétravail. Certaines entreprises ont pu craindre que ce passage un peu précipité au télétravail n’engendre une sorte de décrochage des salariés ou, en tout cas, une baisse de productivité ou, de manière plus générale, un non-respect, par les salariés, de leurs obligations contractuelles.
Il convient de conserver présent à l’esprit que le télétravail ne modifie pas, en principe, les obligations des salariés en ce qui concerne leur temps de travail ; cela suppose, d’ailleurs, que l’employeur définisse très clairement les plages horaires pendant lesquelles le salarié est disponible afin qu’il puisse respecter son droit à la déconnexion.
Dans ce contexte, certains employeurs ont pu être tenté, tout d’abord, d’utiliser les fonctionnalités des outils de visioconférence… en contrôlant, par exemple, la présence des salariés à leur poste au moyen de leur webcam ou en enregistrant la totalité des échanges pendant les sessions de visioconférence. Mais d’autres employeurs ont pu souhaiter aller plus loin, en utilisant des outils permettant d’exercer à distance une surveillance plus approfondie.
Il existe différents outils comme TERAMIND, INTERGUARD, ACTIVETRAK, qui permettent d’analyser avec beaucoup de précision la pratiquement totalité des opérations de traitement effectuées au moyen de l’ordinateur utilisé par le salarié dans le cadre du télétravail à domicile, qu’il s’agisse d’un ordinateur mis à disposition par l’employeur ou de l’ordinateur personnel du salarié. Ces outils dit de « monitoring » ont, semble-t-il, été assez largement utilisés par les entreprises… si l’on en croit les déclarations des éditeurs eux-mêmes.
Quelles sont les conditions de légalité, en France, de l’utilisation de ces outils ?
Tout d’abord il faut écarter l’idée selon laquelle l’utilisation de ces outils serait par principe, de manière générale, légale ou illégale. Ce ne sont que des outils, dont l’utilisation doit être adaptée et proportionnée à la nécessité de contrôler l’activité à distance des salariés, que ce soit pour des raisons tenant à la sécurité des données (qui dépend de la nature des données elles-mêmes) ou pour contrôler la productivité et/ou la performance des salariés.
Si on raisonne globalement, indépendamment de chaque cas particulier, quelles sont les conditions à respecter pour que l’utilisation de ces outils reste dans les limites de la légalité ?
Premièrement, leur utilisation doit être parfaitement transparente, c’est-à-dire qu’elle doit donner lieu à une information individuelle, de chaque salarié[2], et collective – c’est-à-dire qu’il convient d’informer et de consulter le comité social économique… Cette exigence de transparence résulte à la fois du code du travail, de la LIL et RGPD.
Au regard de la jurisprudence de la Cour de cassation en matière sociale, les salariés doivent être informés des périodes pendant lesquelles ils sont susceptibles d’être écoutés ou enregistrés.
Deuxièmement, s’agissant d’un traitement de données ayant pour but la surveillance des salariés, ce traitement doit doit être licite[3] c’est-à-dire fondé sur une base légale valable au sens du RGPD. On considère que le salarié se trouve dans une situation de dépendance qui exclut le consentement comme une base légale valable, celui-ci ne pouvant être considéré comme libre. La base légale de ce traitement ayant pour but la surveillance des salariés et/ou la protection des données peut être :
- l’exécution du contrat de travail
- ou (plus fréquemment) l’intérêt légitime… pour autant que, dans ce dernier cas, les droits et libertés du salarié ne soient pas supérieurs à l’intérêt de l’entreprise, ce qui s’apprécie au cas par cas.
Troisièmement – et c’est peut-être la condition que la plus délicate à réunir – ce traitement doit respecter le principe de minimisation selon lequel l’entreprise, le responsable de traitement, ne doit collecter et traiter que des données personnelles strictement nécessaires… L’on voit bien que si l’on utilise toutes les fonctionnalités d’un outil de monitoring[4], il y a un risque assez important de collecte excessive de données, peu important que les autres conditions aient été respectées.
Quatrièmement – et c’est justement la question de l’appréciation du risque pour les droits et libertés des salariés – dès lors qu’il s’agit d’un traitement qui conduit à une surveillance systématique des personnes concernées, considérées comme « vulnérables » dans la mesure où elles sont dans un état de dépendance, le RGPD, tel qu’il est interprété par la CNIL, impose la réalisation d’une étude d’impact sur la vie privée[5]. Même si le passage au télétravail à domicile a été précipité le 17 mars dernier, les employeurs auraient dû, le plus tôt possible, réaliser cette étude d’impact avant de mettre en œuvre la surveillance à distance. La CNIL met du reste à disposition un outil gratuit en ligne, dénommé outil PIA, dont une nouvelle version a été publiée au mois d’avril.
Cinquièmement, les données collectées dans le cadre du « monitoring » ou de ce que l’on dénommait la cybersurveillance ne peuvent être conservées longtemps. Rappelons que les données de vidéosurveillance – avec une finalité assez proche – ne peuvent être conservées, sauf procédure contentieuse ou disciplinaire, que 30 jours.
Sauf texte imposant une durée spécifique ou justification particulière, la CNIL considère, par exemple, que les enregistrements peuvent être conservés jusqu’à six mois au maximum. Les documents d’analyse peuvent quant à eux être conservés jusqu’à un an.
Sixièmement, s’il y a un délégué à la protection des données, celui-ci doit être associé à la mise en œuvre des écoutes ou des enregistrements des appels ou, plus généralement, du dispositif de surveillance (CNIL).
Septièmement, il faut savoir que les salariés qui télétravaillent à domicile disposent, dans certains cas, d’un doit spécifique d’opposition au traitement.
C’est-à-dire lorsque que :
- la surveillance ne peut être considérée comme nécessaire à l’exécution du contrat… en d’autres termes qu’elle est fondée sur l’intérêt légitime de l’entreprise,
- que le traitement est susceptible de conduire à une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou l’affectant de manière significative de façon similaire (cas de scoring ou de profilage ayant des conséquences directes, sans appréciation humaine, sur la rémunération ou la carrière)[6].
Huitièmement, le dispositif mis en place ne doit pas porter atteinte au secret des correspondances (analyse des messages d’une boîte à lettre électronique personnelle distincte de la messagerie professionnelle dont la salariée disposait pour les besoins de son activité)[7].
CAS PARTICULIERS
Certains usages sont invalidés par la CNIL.
L’employeur ne peut pas mettre en place un dispositif d’écoute ou d’enregistrement permanent ou systématique, sauf texte légal (par exemple pour les services d’urgence).
Ainsi, la CNIL considère que quelle que soit la finalité poursuivie, une capture d’écran est susceptible de n’être ni pertinente ni proportionnée puisqu’il s’agit d’une image figée d’une action isolée de l’employé, qui ne reflète pas fidèlement son travail.
La CNIL considère également que compte tenu des impacts et risques de détournement et de surveillance associés à ces dispositifs, le couplage des enregistrements téléphoniques avec l’image (capture d’écran ou vidéo) des actions de l’employé est disproportionné lorsqu’il est utilisé pour d’autres finalités que la formation, telles que l’évaluation du personnel, la lutte contre la fraude interne, etc. L’employeur doit alors utiliser des moyens alternatifs à ce type de dispositif.
Par ailleurs, l’écoute en temps réel et l’enregistrement sonore des appels sur le lieu de travail peuvent être réalisés en cas de nécessité reconnue et doivent être proportionnés aux objectifs poursuivis (par ex. formation).
Pascal ALIX, avocat à la Cour, DPO externe, lead auditor (certification EUROPRIVACY – RGPD)
[1] le 11 février 2002
[2] Article L. 1222-4 CT : Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance.
[3] Au sens de l’article 6 du RGPD
[4] Monitoring de l’usage des logiciels et des applications (lesquelles, combien de temps, etc.), de la navigation sur le réseau internet (quel site – typologie, pro/non-pro, etc.) de l’utilisation de la messagerie (combien d’e-mail, quels destinataires, etc.) quels documents ont été scannés et imprimés, l’utilisation des réseaux sociaux (temps, etc.), jusqu’à l’enregistrement de la frappe sur le clavier et à l’enregistrement avec une fréquence déterminée des écrans affiché par le moniteur ou de la voix.
[5] Article 35 du RGPD
[6] Article 22 du RGPD
[7] Cour de cassation, chambre sociale, 23 octobre 2019, pourvoi n° 17-28448