Dans quasiment toutes les entreprises aujourd’hui, les employeurs collectent les données personnelles de leurs salariés. Ces données servent à diverses choses : contrôler le travail effectif des salariés, organiser leur temps de travail, respecter les obligations légales (déclarations sociales par exemple) liées aux contrats de travail…
Si la pratique est reconnue par la loi, de nombreux garde-fous sont instaurés, en théorie, pour limiter tout abus de la part des employeurs et s’assurer que la vie privée des salariés reste bien protégée.
Qu’appelle-t-on « données personnelles » ?
En France, c’est la Commission nationale de l’informatique et des libertés (CNIL) qui est chargé de surveiller l’exploitation des données personnelles. Elle prend appui sur les dispositions du règlement général sur la protection des données (RGPD).
Le RGPD définit au niveau européen la notion de données à caractère personnel. Il s’agit de l’ensemble des données — éléments physiques, physiologiques, génétiques, psychiques, économiques, culturels et même sociaux — qui se rapportent à une personne physique existante. Par conséquent, une « donnée personnelle » permet d’identifier une personne, directement ou indirectement, que ce soit par un nom, un numéro ou tout identifiant propre à l’identité de la personne, une adresse IP, une photo, un agissement spécifique, etc.
Dispositifs de surveillance et respect de la vie privée
Paradoxalement, les données personnelles des employés ne sont pas toujours bien respectées.
Pourtant, les employeurs doivent veiller au respect de la vie privée de leurs employés (article 9 du Code civil).
L’usage de dispositifs de surveillance ne doit pas être abusif, mais proportionné au but recherché.
Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché.
Article L.1121-1 du Code du travail
Le fait de porter volontairement atteinte à la vie privée d’autrui au moyen d’un procédé quelconque est puni d’un an d’emprisonnement et de 45 000 € d’amende :
1° En captant, enregistrant ou transmettant, sans le consentement de leur auteur, des paroles prononcées à titre privé ou confidentiel ;
2° En fixant, enregistrant ou transmettant, sans le consentement de celle-ci, l’image d’une personne se trouvant dans un lieu privé ;
3° En captant, enregistrant ou transmettant, par quelque moyen que ce soit, la localisation en temps réel ou en différé d’une personne sans le consentement de celle-ci.
Article 226-1 du Code pénal
Conditions à respecter dans la mise en place de la surveillance des salariés
Avant toute mise en place d’un dispositif de surveillance des salariés, deux étapes incontournables : l’information des salariés et la consultation des représentants du personnel.
Information des salariés à propos de la surveillance
Aucun dispositif ne peut servir à la collecte des informations personnelles d’un salarié s’il n’a pas été préalablement porté à sa connaissance. L’information des salariés est donc une obligation à la charge de l’employeur. Elle vise notamment les systèmes de vidéosurveillance, les autocommutateurs téléphoniques, les systèmes de badgeuse de contrôle des entrées et sorties, etc.
Le RGPD exige que chaque salarié soit individuellement informé de l’existence de traitements contenant des données personnelles. L’information est transmise par une note ou un courriel, par voie d’affichage, au travers d’une publication dans un journal interne, etc.
Par ailleurs, le salarié a le droit d’accéder à ses informations personnelles collectées. Il peut en faire la demande à tout moment.
Enfin, les données collectées ne peuvent être conservées de façon permanente par l’employeur. Elles le sont seulement pendant la présence du salarié dans l’entreprise. Certaines données échappent cependant à cette règle : par exemple, les bulletins de paie et les documents ayant servi au contrôle du temps de travail peuvent être conservés pendant 5 ans.
Consultation des représentants du personnel à propos de la surveillance
En dehors de l’information individuelle de chaque salarié, l’employeur est également tenu de consulter les représentants du personnel sur les moyens ou techniques permettant un contrôle de l’activité des salariés. Cette consultation est obligatoire à chaque fois que de nouvelles technologies doivent être utilisées, et plus seulement quand ces technologies sont susceptibles d’avoir des conséquences sur l’emploi, la qualification, la rémunération et la formation.
Contrôles pouvant être exercés par les employeurs
La surveillance informatique et téléphonique
Lorsque l’employeur met à disposition du salarié un matériel informatique à utiliser dans le cadre de ses missions, il a le droit d’y accéder et de contrôler les fichiers qui y sont stockés. Toutefois, si un fichier est identifié comme « personnel » par le salarié, l’employeur ne peut y accéder.
De même, l’employeur peut consulter les SMS que le salarié reçoit sur un téléphone professionnel mis à sa disposition. Ici encore, si un SMS est identifié comme personnel, l’employeur ne peut y accéder.
Il accède aux documents de travail dans les mêmes conditions.
Le contrôle d’internet
L’employeur peut contrôler le réseau internet qu’il met à disposition des salariés pour l’exécution de leurs travaux. Il peut mettre en place des dispositifs de filtrage permettant d’en limiter l’accès.
L’usage d’internet est présumé avoir un caractère professionnel. Par conséquent, l’employeur peut contrôler les connexions établies par le salarié sur des sites internet pendant son temps de travail et ce, même hors de la présence du salarié.
Les utilisations du réseau internet professionnel à des fins personnelles sont généralement tolérées, mais le salarié ne doit pas en abuser. Dans une décision rendue le 18/3/2009, la Cour de cassation a retenu qu’un usage excessif d’internet à des fins non professionnelles constituait une faute grave du salarié, rendant impossible son maintien dans l’entreprise (41 heures de connexion durant un seul mois !).
L’accès à la boîte de messagerie électronique
Comme pour les SMS, l’employeur peut accéder aux courriels que reçoit le salarié dans sa messagerie professionnelle. Mais il ne peut accéder à un email s’il est identifié comme personnel (voir notre article), car le respect de la vie privée implique en particulier le secret des correspondances. Et ce, même si l’employeur a interdit un usage personnel de l’adresse électronique professionnelle mise à disposition du salarié.
L’employeur peut mettre en place des outils de contrôle de la messagerie dans un but de sécurité, de prévention ou de contrôle de l’encombrement des réseaux. Mais, dans ce cas, le logiciel de contrôle de la messagerie doit être déclaré à la CNIL.
Les employeurs vérifient rarement que leurs sous-traitants, notamment informatiques, respectent les données personnelles de leurs clients mais également de leurs employés (par des dispositifs d’anonymisation par exemple). Cependant, très souvent, un hébergeur ou un fournisseur de système informatique internet en SAAS (système logiciel hébergé à distance) a généralement mis en place ce qu’il faut pour respecter la réglementation sur les données personnelles des salariés. Si vous voulez le vérifiez, demandez comment sont gérés par exemple les logs de connexion aux différents outils utilisés.
La fouille des salariés
L’employeur a la possibilité de pratiquer la fouille des salariés. Mais cette fouille doit être proportionnée au but recherché : pour rechercher des objets volés ou pour des raisons de sécurité.
Normalement, la fouille liée à la recherche d’objets volés relève de la seule compétence des officiers de police judiciaire. Toutefois, dans un contexte de disparitions renouvelées et rapprochées d’objets ou de matériels appartenant à l’entreprise, l’employeur peut organiser une fouille de sacs des salariés.
Il faut toutefois recueillir le consentement des salariés afin d’éviter des plaintes ultérieures.