Par Olivier Proust et Sixtine Crouzet, Avocats
 
 

La surveillance des salariés en télétravail à l’heure du Covid-19.

La distanciation sociale et les mesures de confinement prises lors de la crise sanitaire actuelle ont généralisé le télétravail à de nombreux salariés. Le télétravail entraîne la collecte croissante de données personnelles concernant les salariés, celles-ci pouvant notamment être utilisées à des fins de cybersurveillance par les employeurs. D’où l’importance d’un rappel du droit applicable à la protection des données personnelles des salariés.

La distanciation sociale et les mesures de confinement prises lors de la crise sanitaire actuelle ont généralisé le télétravail à de nombreux salariés en France. Ce qui s’effectuait auparavant en physique, se passe désormais en ligne. Ainsi, les sociétés se voient forcées d’adopter de nouveaux outils (logiciels, plateformes, applications ou équipements informatiques) afin d’assurer une continuité de leurs activités et rassurer leurs clients et partenaires en s’efforçant d’adopter le mot d’ordre « business as usual ».

Cependant, ce passage soudain et d’une ampleur inédite du offline au online entraîne la collecte croissante de données personnelles concernant les salariés. Finie la réunion d’équipe hebdomadaire du mardi matin : celle-ci se déroulera désormais via une plateforme de vidéoconférences, et les pause-café s’effectueront via des applications de messagerie instantanée.

Or, les fonctionnalités offertes par ces différents outils présentent un impact certain sur la vie privée des salariés. En effet, certaines plateformes de vidéoconférences permettent aux organisateurs de mesurer l’attention des participants en temps réel. D’autres permettent d’enregistrer les réunions, à savoir, à la fois la voix des participants, mais aussi leur visage capturé via leur webcam, ainsi que les écrans partagés par les différents intervenants. D’autres sites permettent d’obtenir une retranscription automatique de ce qui a été dit. Enfin, de façon plus générale, certains employeurs pourront être tentés de vouloir surveiller leurs salariés à distance.

Quels que soient la technologie, les outils et les prestataires tiers utilisés, les employeurs doivent garder à l’esprit le Règlement Général sur la Protection des Données (RGPD), la Loi Informatique et Libertés ainsi que les dispositions de protection de la vie privée se trouvant dans le Code du travail.

La CNIL a d’ailleurs bâti sa doctrine en matière de surveillance des salariés en se fondant sur ces règles et en les complétant au fil des années et des évolutions technologiques. Ainsi, citons pêle-mêle les règles relatives au contrôle de l’utilisation d’Internet ou des messageries électroniques, à l’écoute et l’enregistrement des appels, ou encore à l’enregistrement vidéo ou la capture d’écran couplé à l’enregistrement des conversations téléphoniques sur le lieu de travail.

Pour autant, les principes et les règles en matière de protection de la vie privée des salariés restent les mêmes et doivent être respectés à tout moment par les entreprises lorsqu’elles mettent en place des traitements associés au télétravail de leurs salariés. Malgré l’urgence découlant de la crise actuelle, il est primordial que les entreprises prennent le temps d’analyser la conformité de leurs traitements de données personnelles au regard des règles applicables, y compris la conformité des prestataires de service tiers auxquels ils ont recours.

1. Principe de limitation des finalités : à quelle fin ?

Dans tous les cas, la finalité du traitement doit être déterminée, explicite et légitime. Or, certaines sociétés pourraient collecter, même sans le vouloir, un volume important de données, sans avoir prédéfini une finalité précise. De plus, comme soulevé plus haut, certaines entreprises pourraient vouloir mettre en place un suivi automatisé et systématique de la productivité de leurs salariés, notamment via un contrôle renforcé des heures effectivement travaillées. La légitimité de ces traitements doit faire l’objet d’une analyse attentive.

2. Principe de minimisation des données : quelles données collecter ?

Seules les données nécessaires à une finalité prédéfinie peuvent être collectées.

Le principe de proportionnalité est primordial.
Par exemple, est-il nécessaire d’enregistrer systématiquement les réunions par vidéoconférences ou de collecter les chats des salariés pour organiser des évènements virtuels ?
De même, est-il nécessaire de collecter des données relatives à la durée et à la fréquence des pauses des salariés pour surveiller leur temps de travail ?
Quelles données sont nécessaires pour assurer la sécurité du système d’information de l’entreprise (par ex. activation de la webcam, enregistrement des mouvements de la souris, captures d’écran) ?
Enfin, la minimisation des données peut être mise en place via les principes de protection des données dès la conception et par défaut.

3. Principe de licéité : quelle base juridique utiliser ?

La mise en place de nouveaux traitements nécessite de déterminer au préalable la base juridique la plus appropriée. Il est déconseillé en principe de recourir au consentement des salariés qui est difficilement « libre », du fait du déséquilibre présent dans les relations salarié-employeur. La nécessité de l’exécution du contrat de travail des salariés pourrait s’appliquer car il s’agit dans ce cas de donner aux salariés les conditions nécessaires pour continuer de travailler. Autrement, l’intérêt légitime des employeurs pourrait être une base juridique à explorer. L’analyse doit s’effectuer au cas par cas, en fonction des spécificités de chaque traitement, de l’atteinte aux droits et libertés des salariés, de leurs attentes raisonnables et des garanties qui sont mises en œuvre pour respecter les droits des salariés.

4. Principe de transparence : comment informer les salariés ?

L’information est d’autant plus importante que, contrairement aux caméras de vidéosurveillance, la surveillance électronique n’est pas visible à l’œil nu.

L’information des salariés doit être individuelle (art. 13 et 14 du RGPD mais aussi art. L 1222-4 du Code du travail). Ainsi, la politique de confidentialité applicable aux salariés doit refléter l’évolution des pratiques des entreprises et informer sur les nouveaux traitements mis en place (notamment la finalité, la base juridique, les destinataires des données, la durée de conservation). Ces changements, en fonction de leur importance, doivent être clairement portés à l’attention des salariés via un moyen de communication approprié (par ex. sur l’intranet, par email).

L’information est également collective : l’information préalable du Comité social et économique est requise par le Code du Travail (art. L2312-38 et L2312-8), concernant les traitements automatisés de gestion du personnel et toute modification de ceux-ci. Ce comité doit également être préalablement informé et consulté sur « les moyens ou les techniques permettant un contrôle de l’activité des salariés » et sur « l’introduction de nouvelles technologies, tout aménagement important modifiant les conditions de santé et de sécurité ou les conditions de travail ». A cet égard, la Cour de cassation a récemment confirmé l’arrêt d’une cour d’appel ayant ordonné la suspension de l’utilisation d’un nouveau logiciel RH de gestion du temps de travail qui avait été mis en place sans consulter et informer préalablement le comité compétent, en violation du Code de travail en vigueur à l’époque.

5. Principes d’intégrité et de confidentialité : comment assurer la continuité de la sécurité ?

Le télétravail change profondément la donne en matière de sécurité des données, du fait notamment de l’utilisation d’équipements personnels à des fins professionnelles et des accès à distance au système d’information de l’entreprise.
La CNIL a d’ailleurs très récemment mis à jour sa fiche sur le BYOD(Bring your own device) du fait de la crise sanitaire actuelle, avec des recommandations en matière de sécurité. Elle a par ailleurs publié des lignes directrices sur le télétravail qui s’adressent directement aux salariés mais également aux employeurs, pour une sécurité adaptée.

De plus, les recommandations sur le "nomadisme numérique" de l’ANSSI listent des bonnes pratiques en matière de sécurisation des accès distants, de confidentialité et d’intégrité des données et d’authentification des utilisateurs. Les entreprises se voient dans la nécessité de mettre en place des mesures de sécurité adaptées et de mettre à jour leurs chartes de sécurité et autres documentations internes (par ex. celle spécifique au télétravail ou au BYOD).

Par ailleurs, les risques de violation de données se sont dernièrement accrus, puisque les pirates informatiques essayent de profiter de la vulnérabilité actuelle des entreprises. Les entreprises doivent notamment s’attendre à une augmentation des emails frauduleux de type phishing ou spams et doivent donc rester vigilantes et attirer l’attention de leurs salariés sur ces risques. Rappelons que la perte, la destruction ou l’accès non autorisé aux données, que ce soit de manière accidentelle ou illicite, constituent une violation des données à caractère personnel qui requiert une notification à la CNIL, voire dans certains cas aux personnes concernées.

Enfin, lors de la conclusion d’un contrat avec les prestataires sous-traitants, une attention particulière devra être apportée aux mesures de sécurité mises en place, conformément à l’article 28 du RGPD.

6. Principe de responsabilité : comment former les salariés ?

Les salariés manipulant des données doivent, plus que jamais, être formés à l’utilisation des nouveaux outils de télétravail. Si une politique interne de gestion de données existe, celle-ci doit être mise à jour avec des recommandations pratiques adaptées. Par exemple, ces recommandations pourraient expliquer comment utiliser de nouveaux outils, tels que les outils de vidéoconférence. Ainsi, des directives claires sur quand et sous quelles conditions enregistrer le contenu des vidéoconférences éviteraient un enregistrement et un partage systématiques de celles-ci.

7. Analyse d’impact relative à la protection des données (AIPD).

En plus des principes énoncés ci-dessus, une analyse d’impact sur la protection des données personnelles doit être menée lorsqu’un traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes » (art. 35 du RGPD). En pratique, une analyse d’impact doit être effectuée lorsqu’au moins deux des neuf critères identifiés par le CEPDsont remplis.

Concrètement, les critères suivants sont susceptibles d’être remplis par un traitement de surveillance des salariés : (1) surveillance systématique, (2) données concernant des personnes vulnérables (à savoir, les salariés), (3) usage innovant (utilisation d’une nouvelle technologie), ou encore (4) évaluation/scoring (y compris le profilage) concernant par exemple le rendement au travail des salariés.

La CNIL considère que les traitements ayant pour finalité de « surveiller de manière constante l’activité des employés concernés » requièrent automatiquement l’établissement d’une analyse d’impact.

8. Le respect des droits des salariés.

L’information individuelle des salariés sur les nouvelles pratiques de l’entreprise doit également rappeler l’existence de leurs droits sur les données personnelles les concernant (par ex. les droits d’accès et d’opposition).

Le travail à son domicile privé et le recours à des équipements personnels à des fins professionnelles peuvent amener les salariés à s’interroger sur l’utilisation de ces données par leurs employeurs. Ainsi, il est dès lors primordial que les entreprises puissent garantir la continuité et la bonne gestion des demandes des personnes par les parties prenantes au sein de l’entreprise (IT, RH, Délégué à la Protection des Données, etc.), malgré les mesures de confinement. Cette procédure doit également s’adapter aux nouvelles données collectées. Ainsi, les données personnelles collectées dans le cadre du télétravail doivent être intégrées dans les réponses aux droits d’accès. De plus, si un traitement de profilage est mis en place pour surveiller les salariés sur le fondement de l’intérêt légitime de l’employeur, ces derniers peuvent exercer leur droit d’opposition « pour des raisons tenant à [leur] situation particulière » (art. 21 du RGDP). Si des décisions sont prises uniquement sur la base d’un profilage entièrement automatisé produisant « des effets juridiques [les]concernant ou [les] affectant de manière significative de façon similaire », les salariés ont droit de ne pas y être soumis (art. 22(1) du RGPD).

En conclusion, les traitements associés au télétravail doivent faire l’objet d’une attention accrue des entreprises, dans la mesure où ils s’accompagnent de la possibilité de collecter un grand volume de données concernant les salariés. Même en ces temps de crise, la CNIL veille et continuera de veiller à l’application du RGPD et de la Loi Informatique et Libertés.
Pour l’instant, elle n’a pas annoncé d’exceptions dans la mise en œuvre ou les contrôles de conformité au RGDP du fait des circonstances actuelles.

Olivier Proust (associé) et Sixtine Crouzet (collaboratrice), avocats au Barreau de Paris et de Bruxelles (Liste E)
olivier.proust chez fieldfisher.com (https://www.fieldfisher.com/en/people/olivier-proust)
sixtine.crouzet chez fieldfisher.com (https://www.fieldfisher.com/en/people/sixtine-crouzet)

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

4 votes

A lire aussi dans la même rubrique :

LES HABITANTS

Membres
PROFESSIONNELS DU DROIT
Solutions
Formateurs