Surveillance des télétravailleurs par l'employeur : une thématique de contrôle prioritaire en 2022 pour la CNIL. Par Jean-Marc Jauffret, Avocat.

Surveillance des télétravailleurs par l’employeur : une thématique de contrôle prioritaire en 2022 pour la CNIL.

Par Jean-Marc Jauffret, Avocat.

2181 lectures 1re Parution: 4.97  /5

Explorer : # surveillance des employés # télétravail # vie privée # cnil

Dans une communication du 15 février 2022 [1], la CNIL précise les trois thématiques prioritaires de son contrôle, en 2022 : prospection commerciale, cloud et surveillance du télétravail.
Dans cet article, nous nous limiterons à la surveillance du télétravail.

-

La CNIL constate tout d’abord que « le recours au télétravail massif a entraîné le développement d’outils spécifiques, parmi lesquels figurent des outils permettant aux employeurs d’assurer un suivi plus étroit des tâches et activités quotidiennes des salariés ».

Elle rappelle qu’elle a « largement communiqué sur les règles et bonnes pratiques à respecter pour assurer un juste équilibre entre vie privée au travail et contrôle légitime de l’activité des travailleurs » et « considère aujourd’hui nécessaire de vérifier sur le terrain la conformité des pratiques des employeurs ».

Nous nous permettons de reproduire de larges extraits du communiqué de la CNIL pour répondre, de manière sélective, aux questions suivantes :

1) Quelles sont les principaux droits et obligations de l’employeur en matière de contrôle de l’activité des télétravailleurs ?

A la question : « L’employeur » peut-il surveiller constamment ses salariés ? », la CNIL répond clairement : « non » et souligne qu’un contrôle du temps de travail des salariés doit avoir un objectif clairement défini et ne pas être utilisé à d’autres fins ; être proportionné et adéquat à cet objectif ; nécessiter une information préalable des personnes concernées (ne pas oublier l’obligation de consultation du CSE prévue par les articles L2312-37 et L2312-38 du CT).

La CNIL rappelle que l’employeur « ne doit pas utiliser d’outil de surveillance permanente » et elle précise :

« En tout état de cause, (…) si l’employeur peut contrôler l’activité de ses salariés, il ne peut les placer sous surveillance permanente, sauf dans des cas exceptionnels dûment justifiés au regard de la nature de la tâche.
Les exemples suivants n’apparaissent pas compatibles avec ces principes :
- la surveillance constante au moyen de dispositifs vidéo (tels qu’une webcam) ou audio. Il peut s’agir, par exemple, de la demande faite par un employeur à un employé de se mettre en visioconférence tout au long de son temps de travail pour s’assurer de sa présence derrière son écran ;
Un tel un système place les salariés sous surveillance permanente est excessif : il ne peut donc être mis en œuvre, qu’il s’agisse de poursuivre un objectif de sécurité ou un objectif de surveillance du temps de travail. Des moyens alternatifs moins intrusifs existent pour ce faire ;
- le partage permanent de l’écran et/ou l’utilisation de « keyloggers » (logiciels qui permettent d’enregistrer l’ensemble des frappes au clavier effectuées par une personne sur un ordinateur).
De tels procédés sont particulièrement invasifs et s’analysent en une surveillance permanente et disproportionnée des activités des employés.
- l’obligation pour le salarié d’effectuer très régulièrement des actions pour démontrer sa présence derrière son écran comme cliquer toutes les X minutes sur une application ou prendre des photos à intervalles réguliers ».

2) Quels sont les conseils de la CNIL (pour les employeurs) en matière de télétravail (rappel) ?

Dès le 12 mai 2020, la CNIL avait formulé des « Conseils de la CNIL pour mettre en place du télétravail » ; nous nous permettons d’en reproduire ci-dessous de larges extraits, car il est probable qu’en cas de contrôle, c’est le respect de ces exigences qui sera analysé par les contrôleurs :

Sécurisez votre système d’information :
- Editez une charte de sécurité dans le cadre du télétravail ou, dans le contexte actuel, au moins un socle de règles minimales à respecter, et communiquez ce document à vos collaborateurs suivant votre règlement intérieur.
Si vous devez modifier les règles de gestion de votre système d’information pour permettre le télétravail (changement des règles d’habilitation, accès des administrateurs à distance, etc.), mesurez les risques encourus et, au besoin, prenez les mesures nécessaires pour maintenir le niveau de sécurité.
- Equipez tous les postes de travail de vos salariés au minimum d’un pare-feu, d’un anti-virus et d’un outil de blocage de l’accès aux sites malveillants.
- Mettez en place un VPN pour éviter l’exposition directe de vos services sur Internet, dès que cela est possible. Activez l’authentification du VPN à deux facteurs si c’est possible.
- Mettez à disposition de vos salariés une liste d’outils de communications et de travail collaboratif appropriés au travail distant, qui garantissent la confidentialité des échanges et des données partagées. Favorisez des outils dont vous conservez la maîtrise et assurez-vous qu’ils fournissent au minimum une authentification et un chiffrement des communications conformes à l’état de l’art et que les données transitant ne sont pas réutilisées pour d’autres finalités (amélioration du produit, publicitaire, etc.). Certains logiciels grand public peuvent transmettre à des tiers les données sur leurs utilisateurs, et s’avèrent donc particulièrement inadaptés pour un usage en entreprise. En outre, la direction interministérielle du numérique (DINUM) déconseille l’usage de certains logiciels, tels que Zoom, pour échanger des informations non publiques et recommande d’autres solutions telles que Jitsi. Vous pouvez également vous appuyer sur la liste des produits certifiés Certification de Sécurité de Premier Niveau (CSPN) délivrée par l’ANSSI.

Si vos services sont accessibles depuis Internet :
- utilisez des protocoles garantissant la confidentialité et l’authentification du serveur destinataire, par exemple HTTPS pour les sites web et SFTP pour le transfert de fichiers, en utilisant les versions les plus récentes de ces protocoles ;
- appliquez les derniers correctifs de sécurité aux équipements et logiciels utilisés (VPN, solution de bureau distant, messagerie, vidéoconférence etc.). Consultez régulièrement le bulletin d’actualité CERT-FR pour être prévenu des dernières vulnérabilités sur les logiciels et des moyens pour s’en prémunir ;
- mettez en œuvre des mécanismes d’authentification à double facteur sur les services accessibles à distance pour limiter les risques d’intrusions ;
- consultez régulièrement les journaux d’accès aux services accessibles à distance pour détecter des comportements suspects ;
- ne rendez pas directement accessibles les interfaces de serveurs non sécurisées. De manière générale, limitez le nombre de services mis à disposition au strict minimum pour limiter les risques d’attaques.

3) Quelles sont les bonnes pratiques à suivre pour les salariés en télétravail (rappel) ?

Dès le 12 mai 2020, la CNIL recommandait aux salariés de suivre les règles suivantes, auxquelles le lecteur pourra aisément se référer sur le site :
- Suivez les instructions de votre employeur,
- Sécurisez votre connexion internet,
- Favorisez l’usage d’équipements fournis et contrôlés par votre entreprise,
- Si vous devez utiliser un ordinateur personnel, assurez-vous qu’il est suffisamment sécurisé,
- Si vous devez utiliser votre téléphone personnel, protégez vos données et limitez les accès,
- Communiquez en toute sécurité,
- Soyez particulièrement vigilant sur les tentatives d’hameçonnage.

Nous aurions pu ajouter un 4ème item sur le « BYOD », abréviation de l’expression anglaise « Bring Your Own Device » (en français : « Apportez Votre Equipement personnel de Communication »), qui désigne l’usage d’équipements informatiques personnels dans un contexte professionnel.

Le lecteur consultera : [2].

Après avoir précisé, sur les trois points ci-dessus, ce que nous semblent être les pratiques susceptibles d’être contrôlées, il est utile de répondre, plus brièvement, à deux autres interrogations :

4) Comment se passe un contrôle de la CNIL ?

Le site de la CNIL répond à plusieurs sous-interrogations sur ce point :
- Qui la CNIL peut-elle contrôler ?
- Comment la CNIL décide de faire un contrôle ?
- Quelle forme un contrôle de la CNIL peut-il prendre ?
- Qui réalise les missions de contrôle de la CNIL ?
- Que se passe-t-il avant un contrôle de la CNIL ?
- Que se passe-t-il pendant un contrôle de la CNIL ?
- Que se passe-t-il après un contrôle de la CNIL ?

Pour notre part, nous retiendrons, à titre d’exemple, la réponse à la question : Quelle forme un contrôle de la CNIL peut-il prendre ?

« (…) La Commission peut effectuer des contrôles pouvant prendre 4 formes différentes :
- Le contrôle sur place : une délégation de la CNIL se rend directement au sein des locaux d’un responsable de traitement ou d’un sous-traitant afin de mener des investigations portant sur des traitements de données à caractère personnel,
- L’audition sur convocation : un courrier est adressé au responsable de traitement ou au sous-traitant afin que des représentants de l’organisme se présentent, à une date donnée, dans les locaux de la Commission. Ces représentants devront répondre à des questions portant sur le(s) traitement(s) objet des vérifications et, le cas échéant, rendre possible un accès aux ressources informatiques de l’organisme,
- Le contrôle en ligne : les agents de la CNIL effectuent des vérifications, depuis les locaux de la CNIL, en consultant notamment des données librement accessibles ou rendues accessibles directement en ligne, y compris par imprudence, négligence ou du fait d’un tiers. Ces vérifications sont effectuées à partir d’un service de communication au public en ligne (par exemple, sur un site internet, une application mobile ou un produit connecté) et peuvent, le cas échéant, être réalisées sous une identité d’emprunt,
- Le contrôle sur pièces : les agents de la CNIL adressent un courrier accompagné d’un questionnaire destiné à évaluer la conformité des traitements mis en œuvre par un responsable de traitement ou un sous-traitant. L’organisme visé par le contrôle doit communiquer à la Commission ses réponses en y joignant tout document utile permettant de les justifier.

Chacune de ces modalités de contrôle peut être utilisée de manière complémentaire. Ainsi, la CNIL pourra par exemple initier ses vérifications en ligne et les poursuivre sur place. Un contrôle sur pièces pourra également être opéré préalablement à un contrôle sur place.

Tout contrôle, à l’exception du contrôle sur pièces, nécessite la rédaction d’un procès-verbal au sein duquel les agents de la CNIL consignent, de manière factuelle, l’ensemble des informations qui ont été portées à leur connaissance pendant le contrôle ainsi que les constatations qu’ils ont effectuées ».

5) Quelles sont les sanctions prononcées par la CNIL ?

Le site de la CNIL présente le tableau des sanctions prononcées en 2021.

Le lecteur consultera sur ce point : [3].

Jean-Marc Jauffret,
Avocat au barreau de Lyon
[jm.jauffret.avocat chez free.fr]
www.jmjauffretavocat.fr

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

1 vote

Cet article est protégé par les droits d'auteur pour toute réutilisation ou diffusion (plus d'infos dans nos mentions légales).

Notes de l'article:

A lire aussi :

Explorer : # surveillance des employés # télétravail # vie privée # cnil

  1. Dans la même rubrique
  2. Les Actualités juridiques
  3. Droit du numérique et des TIC
  4. Respect de la vie privée et protection des données personnelles

Les droits des personnes concernées sur leurs données personnelles. Par Debora Cohen, Avocat.

28 avril 2025

Vote électronique : la CNIL dévoile ses exigences de sécurité pour 2025. Par Gerard Haas, Avocat.

16 avril 2025

Vers une atteinte à la vie privée généralisée ? Par Victor Cabras, Juriste.

14 avril 2025

Lutte contre le narcotrafic et protection des données personnelles : quel équilibre ? Par Sonia Bernonville, Avocate.

25 mars 2025

Responsabilité complexe en cas de fuite de données, piratage et usurpation d’identité d’origine interne : analyse approfondie et stratégies contentieuses. Par Aurélie Duron Harmand, Avocat et Mehdi Mankouri, Elève-Avocat.

11 mars 2025

Empreinte neuronale et souveraineté cognitive : vers un cadre juridique pour la protection des données mentales. Par Zakaria Garno, Professeur.

25 avril 2025

Village de la justice et du Droit

Bienvenue sur le Village de la Justice.

Le 1er site de la communauté du droit: Avocats, juristes, fiscalistes, notaires, commissaires de Justice, magistrats, RH, paralegals, RH, étudiants... y trouvent services, informations, contacts et peuvent échanger et recruter. *

Aujourd'hui: 156 340 membres, 27873 articles, 127 257 messages sur les forums, 2 750 annonces d'emploi et stage... et 1 600 000 visites du site par mois en moyenne. *


FOCUS SUR...

• Assemblées Générales : les solutions 2025.

• Avocats, être visible sur le web : comment valoriser votre expertise ?




Tous les Articles publiés

Populaires en ce moment

Annonces d'Emploi

Forum

Formations à venir

LES HABITANTS

Membres

Professionnels du droit et autres inscrits

PROFESSIONNELS DU DROIT

Previous Next

 

Agir en faveur de l’accès au droit

 

Collectif d'avocats et de médiateurs

 

Bien plus que du droit.

 

Réseau de cabinets d’avocats indépendants

 

Association pour la prévention positive des cyberviolences

 

 

Procédure d’appel, procédure civile, conseil, contentieux, modes amiables

 

Réseau de professionnels du Droit

 

Cabinet d'avocat

 

Cabinet d'Avocats

 

Facilite l'accès aux professions du Droit

Solutions

Previous Next

 

Editeur juridique

 

Maintenance informatique spécialisée pour les professionnels du droit

 

1er service entièrement en ligne pour externaliser vos appels

 

Editeur juridique et de solutions de gestion pour les métiers du droit

 

Lettre recommandée électronique

 

Destruction et recyclage de documents confidentiels

 

Traducteurs assermentés

 

AI-powered Contract Management

 

Aides et Conseils à l'installation des avocats.

 

Logiciels de conformité, risques et éthique

 

Association de gestion et de comptabilité pour Avocats

 

Logiciels pour professionnels du droit.

 

Créateur de confiance juridique

 

Offres pour les métiers du droit

 

Solutions d'informations pour professionnels du droit.

Formateurs

Previous Next

 

Des formations spécialisées

 

Cabinet juridique et organisme de formation

 

Formations courtes ou longues à destination des professionnels du droit

 

L’école des nouveaux juristes !

 

Se former aux métiers du Droit

 

La Compétence juridique se recrute !

 

Se former est une chance !

 

Formation, recherche et innovation

Nouvelles parutions

Robert Badinter

Robert Badinter - L’œuvre d’un juste

« Un jour, je vous parlerai de la Justice...»

LexisNexis Presse

La Semaine Juridique - Édition Générale

Accédez à votre actualité juridique chaque semaine sous la plume d’auteurs de renom !

A côté du droit !

Sélection Liberalis du week-end : « Le Dernier Sacre » à la Galerie des Gobelins à Paris. 

Les coups de coeur des libraires juridiques (épisode 2).

Sélection Liberalis spécial Jour ferié : le Paradox Museum Paris.

Régulièrement nous partageons ici avec vous quelques images du net...

A voir et à Écouter... sur le Village de la justice:

- [Documentaire] Engagées, un an dans les coulisses du métier d’avocat.
- Comment bien utiliser le Village de la justice pour vos publications d’articles juridiques ?
- [Vidéo] Entretien avec Rémy Heitz, procureur général de la Cour de cassation dans l’émission Fenêtres sur cours.
- Dans les coulisses des directions juridiques de Decathlon et Bolloré Transport & Logistics.

Le Village de la justice est le 1er site de la communauté des métiers du Droit, en accès libre, créé en 1997 (en savoir plus). Avocats, juristes d'entreprises et salariés, magistrats, étudiants, notaires, huissiers, fiscalistes, RH, experts et conseils etc, y trouvent de nombreuses informations et participent à la communauté, s'informent, établissent leur réseau, recrutent... Le premier Réseau du droit ! > Découvrez notre philosophie et fonctionnement ici.

Edité par Legi Team
Editeur - Publicité
Fil RSS général du Village
Gestion des cookies - RGPD
Mentions légales - CGV - CGU
RSE
Plan du Village de la Justice
Nous écrire

Copyright © Village de la justice et auteurs publiés ici.