Les salariés en télétravail sont soumis, sauf exception, aux mêmes droits et devoirs que les salariés exécutant leur contrat de travail au sein d’un établissement de l’employeur.
Or, suite aux « ordonnances Macron » et à la loi de ratification n° 2018-217 du 29 mars 2018, la mise en œuvre du télétravail a été fortement simplifiée.

Le législateur traite désormais sous un régime unique le télétravail régulier et le télétravail occasionnel. En outre, il n’impose plus la rédaction de clauses dédiées dans le contrat de travail et privilégie le cadre de la négociation collective – facultative, pour fixer le cadre conventionnel de ce mode d’exécution du contrat de travail.

Sans aller jusqu’à consacrer un droit au télétravail, le législateur exige désormais que le refus de l’employeur soit motivé. Nous le verrons, le RGPD peut ici fournir un argument objectif et concret au soutien d’un tel refus.

En cas d’accord, un simple échange de mails entre employeur et salarié peut suffire pour entériner le principe du télétravail, même si une telle pratique est très vivement déconseillée en raison des nombreuses opportunités de contestations (sur la durée du travail, les horaires de disponibilité, la prise en charge des frais ou encore la fréquence du recours au télétravail).

A l’heure de la sensibilisation globale de tous les professionnels au traitement des données personnelles, il convient d’étudier le cas particulier des travailleurs à distance pour dégager les responsabilités de chacun et l’influence du RGPD sur la mise en œuvre du télétravail que l’on voulait récemment simplifier.
Pour mémoire, l’article 4 du Règlement européen définit le responsable du traitement comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ».

Ainsi, l’employeur est sans conteste le responsable du traitement des données personnelles.

1. Les données personnelles du salarié en télétravail.

Les données personnelles en jeu sont avant tout celles du télétravailleur lui-même.
L’article 88 du Règlement Général sur la Protection des Données permet aux Etats membres de prévoir, par la loi ou au moyen de conventions collectives, des « règles plus spécifiques pour assurer la protection des droits et libertés en ce qui concerne le traitement des données à caractère personnel des employés dans le cadre des relations de travail ».
Les objectifs poursuivis peuvent être, outre le recrutement et l’exécution du contrat de travail, le contrôle du temps de travail ou encore l’exercice du droit disciplinaire.

La loi n° 2018-493 du 20 juin 2018, transposant le RGPD dans l’ordre interne, n’a pas fait usage de cette faculté et les principes du nouveau texte doivent s’articuler avec la construction légale et prétorienne du droit du travail français.

Rappelons tout d’abord que, si le consentement est au cœur des principes posés par le RGPD, la relation spécifique entre employeur et salarié aboutit à écarter ce principe à plusieurs titres.
En effet, les données sont recueillies par l’employeur pour l’exécution d’un contrat (ce qui constitue l’une des exceptions posées par le Règlement).

En outre, l’employeur a l’obligation légale de recueillir nombre d’informations au sujet de ses salariés pour les déclarer aux organismes sociaux, les rémunérer ou leur faire bénéficier de différents acquis sociaux.

L’intérêt légitime de l’employeur peut également motiver le traitement des données personnelles des salariés dans un cadre plus global de politique de ressources humaines et de gestion.

Certains ont pu objecter par ailleurs que le consentement du salarié au traitement de ses données personnelles par l’employeur ne peut être libre et éclairé en raison du lien de subordination entre les parties. Toutefois ce raisonnement aboutit à contester la validité d’un grand nombre d’avenants contractuels conclus dans pareil contexte et, le Règlement européen permettant d’écarter cette problématique, nous ne retiendrons pas cette lecture.

Le salarié, en acceptant un socle contractuel à plusieurs strates (normes transnationales, européennes, françaises, légales et réglementaires ou conventionnelles), accepte de permettre à l’employeur de collecter et traiter des données qui lui sont personnelles.

A défaut de devoir recueillir l’accord du salarié, l’employeur devra en revanche lui fournir une information conforme aux dispositions de l’article 12 du Règlement européen :
« d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples[…]. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens. »

Il n’en ira pas autrement pour le salarié en télétravail, ce qui vient réintroduire la nécessité d’un écrit en dépit de la simplification opérée par les « ordonnances Macron ». Outre les informations nécessaires à l’exécution du contrat de travail, l’employeur pourra valablement recueillir les informations spécifiquement nécessaires à la modalité du télétravail.

Ainsi, si une prise en charge des frais est convenue entre les parties – nous rappelons à cet égard que l’Accord National Interprofessionnel du 19 juillet 2005 conserve son rôle supplétif et que l’employeur reste tenu d’une obligation générale de fournir aux salariés les moyens d’exécuter leurs obligations, l’employeur aura un intérêt légitime à demander au salarié de justifier de certaines informations relatives à son domicile ou au tiers lieu qu’il a choisi d’occuper pour travailler.

Dans un souci de sécurité informatique, les données personnelles traitées par l’employeur peuvent également comprendre des informations très précises sur le matériel informatique du salarié s’il utilise son propre ordinateur, ou sur la nature du réseau Internet qu’il utilise dans le cadre du télétravail (type de connexion à son domicile, bande passante, protocoles de sécurité de son fournisseur d’accès ou informations similaires sur l’espace de coworking utilisé).

Responsable du traitement au sens du Règlement européen, l’employeur doit garantir aux salariés l’exercice effectif de leurs droits tels que le droit d’accès aux informations les concernant (dans les limites que nous avons déjà exposées) mais aussi la protection de ces données, indépendamment du choix du télétravail – simple modalité d’exécution du contrat.

A cet égard, notons que la mise en œuvre du télétravail suggère fortement la nécessité d’une analyse d’impact au sens de l’article 35 du Règlement européen.

En effet, le télétravail peut permettre une surveillance automatique en ce que l’employeur peut déterminer quand le salarié est connecté au réseau de l’entreprise. L’employeur peut également localiser le télétravailleur – au moins en sachant s’il se connecte depuis son domicile ou un tiers lieu. Ces données peuvent être sensibles et/ou à large échelle selon les cas. En outre, ces données croisées peuvent permettre de retracer l’emploi du temps et les déplacements du salariés, le tout par l’usage des nouvelles technologies. Pour finir, l’employeur a la possibilité d’utiliser ces données aux fins d’exercer son pouvoir disciplinaire et donc, d’exclure le salarié du bénéfice d’un contrat.

Bien que ne constituant qu’une modalité d’exercice du contrat de travail, le télétravail a donc des conséquences directes sur les obligations de l’employeur en matière de protection des données personnelles des salariés.

2. Les données personnelles traitées en télétravail.

La sécurité des données personnelles dans le cadre du télétravail interroge immédiatement sur le partage des responsabilités entre l’employeur et le travailleur à distance.

Or, le responsable du traitement des données personnelles reste l’employeur, en application de la définition de l’article 4 du Règlement européen.

Pour autant, le salarié peut engager sa responsabilité en cas de non-respect des dispositions d’une charte informatique, d’une clause de confidentialité ou d’une charte du télétravail, mais cette responsabilité ne sera effective qu’entre les parties au contrat de travail et inopposable à la victime éventuelle d’une fuite de données.

De même, en cas d’amende prononcée par la CNIL, seul l’employeur sera tenu par la condamnation pécuniaire et il ne disposera d’aucune action récursoire ou même comparable contre son salarié fautif le cas échéant.

Pour mémoire, l’article L.1331-2 du code du travail dispose :
« Les amendes ou autres sanctions pécuniaires sont interdites.
Toute disposition ou stipulation contraire est réputée non écrite. »

L’employeur doit donc redoubler d’efforts pour assurer la sécurité des données personnelles qu’il permet à ses salariés de traiter, lorsque ces salariés travaillent hors les murs.

Ces efforts peuvent se traduire par une formation spéciale des salariés optant pour le télétravail. Une telle formation devra couvrir les aspects techniques et juridiques du traitement des données personnelles, de façon à permettre à tout télétravailleur d’adopter les bonnes pratiques – qu’il travaille depuis son domicile, dans un espace de coworking ou en itinérance totale.

Cette formation ne permettra pas pour autant de faire l’économie d’un support écrit rappelant les bonnes pratiques enseignées, ce qui plaide en faveur de la mise en place d’une charte du télétravail au sein de l’entreprise – en dépit de son caractère facultatif entériné par la loi du 20 juin 2018.

Ladite charte pourra en outre fixer comme condition objective d’accès au télétravail le suivi de la formation interne dédiée à la sécurité des données.

Une autre condition objective d’acceptation ou de refus par l’employeur, de la modalité du télétravail pour un salarié donné, pourra être la nature et la quantité des données personnelles traitées par le candidat au télétravail.

Il est fort probable que ce motif de refus du télétravail se généralise dans certains secteurs.

En théorie, il est possible selon la configuration de l’entreprise, de faire coïncider charte informatique et charte du télétravail, les deux documents empruntant fortement l’un à l’autre.

Toutefois, dès lors qu’elle existe, la charte du télétravail doit impérativement comporter les mentions obligatoires désormais prévues à l’article L.1222-9 du code du travail. Il est fortement déconseillé de réunir dans un support unique des dispositions aussi variées que les conditions de retour à une exécution du contrat de travail sans télétravail, les modalités de décompte du temps de travail à distance et les protocoles de sécurité applicables à la réception et à l’envoi d’emails ou à l’usage des services de messagerie instantanée internes.

De plus, la charte informatique a davantage vocation à être annexée au règlement intérieur de l’entreprise, contrairement à la charte du télétravail dont la vocation première est de créer des droits plutôt que de poser des limites.

La charte du télétravail peut néanmoins valablement renvoyer de manière expresse aux dispositions de la charte informatique, sous réserve du respect des procédures d’entrée en vigueur de ces actes – notamment en termes de consultation des institutions représentatives du personnel.

Pour mémoire, les chartes informatiques doivent déjà prévoir de longue date les conditions d’utilisation des outils informatiques pour les télétravailleurs. En effet, l’Accord National Interprofessionnel du 19 juillet 2005 l’imposait déjà en son article 5.

L’employeur devra également mettre en place des protocoles de maintenance du matériel et des logiciels utilisés (maintenance évolutive et corrective).

La charte du télétravail pourrait valablement imposer aux télétravailleurs de rendre le matériel informatique disponible pour des audits de sécurité réguliers (en ligne le cas échéant) diligentés par les services informatiques de l’employeur.

Le choix du « Bring Your Own Device », renommé par certains « Bring Your Own Disaster », est d’autant plus délicat à l’heure de la responsabilisation accrue de chacun des acteurs de la protection des données personnelles. Il ne faut pas pour autant le disqualifier, notamment en ce qu’il n’affecte pas les responsabilités en cas de fuite des données et ne suffirait pas à établir la responsabilité de l’employeur en cas de violation de données personnelles.

La charte devra encore sensibiliser les télétravailleurs aux obligations de l’employeur en sa qualité de responsable de traitement. Il y sera donc fait mention, notamment et non exclusivement, de l’obligation impérieuse d’alerter l’employeur en cas de violation des données à caractère personnel pour lui permettre d’alerter à son tour la CNIL et la personne concernée, comme l’exigent les articles 33 et 34 du Règlement européen.

Outre la formation et les développements pédagogiques à insérer dans la charte du télétravail et/ou la charte informatique, l’employeur doit encore informer le télétravailleur du contrôle qu’il exercera sur le traitement des données par le salarié.

Ce contrôle doit concrétiser un équilibre entre la protection des données personnelles en jeu, le respect de la vie privée du salarié et l’exercice du pouvoir de direction de l’employeur.

En conclusion.

Que les données personnelles soient celles des salariés ou des tiers, l’employeur est responsable du traitement au sens du Règlement européen et ne peut invoquer la faute d’un salarié pour se dégager de toute responsabilité.

Il lui appartient donc de prendre toutes les mesures nécessaires, a fortiori en présence de télétravailleurs, pour assurer la sécurité des données à caractère personnel dont il est responsable.
La mise en œuvre du télétravail suggère fortement que soit menée une analyse d’impact.

En outre, le télétravail nécessite une adaptation de la charte informatique, ce qui n’est pas nouveau mais surtout, la mise en place d’une charte du télétravail adaptée aux exigences du RGPD, en dépit du caractère initialement facultatif de ladite charte.

Malgré le choix du législateur dans la loi de ratification des ordonnances, la charte du télétravail nous semblait déjà indispensable pour poser les bases d’un régime unifié du télétravail au sein de l’entreprise, sous la forme d’un outil auquel salariés et employeurs pourront se référer ensuite par un simple échange de mails.

Avec le Règlement Général sur la protection des données, cette charte du télétravail nous semble non plus de facto, mais de jure, obligatoire pour respecter les obligations incombant à l’employeur / responsable de traitement.

Jérémie Giniaux-Kats, Avocat associé du cabinet Metalaw http://metalaw-firm.com/