Articles

La question du contrôle de l’activité des télétravailleurs par des outils logiciels de n’est pas une question nouvelle : la cybersurveillance sur les lieux de travail avait déjà donné lieu à un rapport de la CNIL en 2002[1]. Dans le dernier rapport de la CNIL (sur l’activité en 2019), on relève notamment que 10% des plaintes à la CNIL concernent la surveillance des salariés

En France, le contrôle de l’activité des salariés est un droit de l’employeur qui découle de son pouvoir de direction. Cette règle a été affirmée à de multiples reprises par la Cour de Cassation.

Ce droit n’est pas sans limite, bien entendu. Il est limité par les droits et libertés des salariés tels qu’ils sont prévus par le code du travail, la loi informatique et liberté et depuis le 25 mai 2018 par le Règlement Général sur la Protection des Données ou RGPD, ainsi que par des droits fondamentaux, dont l’article 9 du code civil, relatif à la protection de l’intimité de la vie privée. Comme le rappelle fréquemment la Cour de cassation, le salarié a droit, même au temps et au lieu de travail, au respect de l’intimité de sa vie privée. Il convient donc, dans chaque situation, de rechercher un équilibre entre, d’une part, l’exercice, par l’employeur, de son droit de contrôle et, d’autre part, l’exercice, par les salariés, de leurs droits et libertés.

Le confinement mis en place dans le cadre du plan de lutte contre la COVID-19 a été à l’origine d’un passage massif et inédit au télétravail à domicile. le code du travail permettant à l’employeur d’imposer, en cas de risque épidémique, le télétravail aux salariés dont les fonctions permettent le télétravail. Certaines entreprises ont pu craindre que ce passage un peu précipité au télétravail n’engendre une sorte de décrochage des salariés ou, en tout cas, une baisse de productivité ou, de manière plus générale, un non-respect, par les salariés, de leurs obligations contractuelles.

Il convient de conserver présent à l’esprit que le télétravail ne modifie pas, en principe, les obligations des salariés en ce qui concerne leur temps de travail ; cela suppose, d’ailleurs, que l’employeur définisse très clairement les plages horaires pendant lesquelles le salarié est disponible afin qu’il puisse respecter son droit à la déconnexion.

Dans ce contexte, certains employeurs ont pu être tenté, tout d’abord, d’utiliser les fonctionnalités des outils de visioconférence… en contrôlant, par exemple, la présence des salariés à leur poste au moyen de leur webcam ou en enregistrant la totalité des échanges pendant les sessions de visioconférence. Mais d’autres employeurs ont pu souhaiter aller plus loin, en utilisant des outils permettant d’exercer à distance une surveillance plus approfondie.

Il existe différents outils comme TERAMIND, INTERGUARD, ACTIVETRAK, qui permettent d’analyser avec beaucoup de précision la pratiquement totalité des opérations de traitement effectuées au moyen de l’ordinateur utilisé par le salarié dans le cadre du télétravail à domicile, qu’il s’agisse d’un ordinateur mis à disposition par l’employeur ou de l’ordinateur personnel du salarié. Ces outils dit de « monitoring » ont, semble-t-il, été assez largement utilisés par les entreprises… si l’on en croit les déclarations des éditeurs eux-mêmes.

Quelles sont les conditions de légalité, en France, de l’utilisation de ces outils ?

Tout d’abord il faut écarter l’idée selon laquelle l’utilisation de ces outils serait par principe, de manière générale, légale ou illégale. Ce ne sont que des outils, dont l’utilisation doit être adaptée et proportionnée à la nécessité de contrôler l’activité à distance des salariés, que ce soit pour des raisons tenant à la sécurité des données (qui dépend de la nature des données elles-mêmes) ou pour contrôler la productivité et/ou la performance des salariés.

Si on raisonne globalement, indépendamment de chaque cas particulier, quelles sont les conditions à respecter pour que l’utilisation de ces outils reste dans les limites de la légalité ?

Premièrement, leur utilisation doit être parfaitement transparente, c’est-à-dire qu’elle doit donner lieu à une information individuelle, de chaque salarié[2], et collective – c’est-à-dire qu’il convient d’informer et de consulter le comité social économique… Cette exigence de transparence résulte à la fois du code du travail, de la LIL et RGPD.

Au regard de la jurisprudence de la Cour de cassation en matière sociale, les salariés doivent être informés des périodes pendant lesquelles ils sont susceptibles d’être écoutés ou enregistrés.

Deuxièmement, s’agissant d’un traitement de données ayant pour but la surveillance des salariés, ce traitement doit doit être licite[3] c’est-à-dire fondé sur une base légale valable au sens du RGPD. On considère que le salarié se trouve dans une situation de dépendance qui exclut le consentement comme une base légale valable, celui-ci ne pouvant être considéré comme libre. La base légale de ce traitement ayant pour but la surveillance des salariés et/ou la protection des données peut être :

  • l’exécution du contrat de travail
  • ou (plus fréquemment) l’intérêt légitime… pour autant que, dans ce dernier cas, les droits et libertés du salarié ne soient pas supérieurs à l’intérêt de l’entreprise, ce qui s’apprécie au cas par cas.

Troisièmementet c’est peut-être la condition que la plus délicate à réunir – ce traitement doit respecter le principe de minimisation selon lequel l’entreprise, le responsable de traitement, ne doit collecter et traiter que des données personnelles strictement nécessaires… L’on voit bien que si l’on utilise toutes les fonctionnalités d’un outil de monitoring[4], il y a un risque assez important de collecte excessive de données, peu important que les autres conditions aient été respectées.

Quatrièmementet c’est justement la question de l’appréciation du risque pour les droits et libertés des salariés – dès lors qu’il s’agit d’un traitement qui conduit à une surveillance systématique des personnes concernées, considérées comme « vulnérables » dans la mesure où elles sont dans un état de dépendance, le RGPD, tel qu’il est interprété par la CNIL, impose la réalisation d’une étude d’impact sur la vie privée[5]. Même si le passage au télétravail à domicile a été précipité le 17 mars dernier, les employeurs auraient dû, le plus tôt possible, réaliser cette étude d’impact avant de mettre en œuvre la surveillance à distance. La CNIL met du reste à disposition un outil gratuit en ligne, dénommé outil PIA, dont une nouvelle version a été publiée au mois d’avril.

Cinquièmement, les données collectées dans le cadre du « monitoring » ou de ce que l’on dénommait la cybersurveillance ne peuvent être conservées longtemps. Rappelons que les données de vidéosurveillance – avec une finalité assez proche – ne peuvent être conservées, sauf procédure contentieuse ou disciplinaire, que 30 jours.

Sauf texte imposant une durée spécifique ou justification particulière, la CNIL considère, par exemple, que les enregistrements peuvent être conservés jusqu’à six mois au maximum. Les documents d’analyse peuvent quant à eux être conservés jusqu’à un an.

Sixièmement, s’il y a un délégué à la protection des données, celui-ci doit être associé à la mise en œuvre des écoutes ou des enregistrements des appels ou, plus généralement, du dispositif de surveillance (CNIL).

Septièmement, il faut savoir que les salariés qui télétravaillent à domicile disposent, dans certains cas, d’un doit spécifique d’opposition au traitement.

C’est-à-dire lorsque que :

  • la surveillance ne peut être considérée comme nécessaire à l’exécution du contrat… en d’autres termes qu’elle est fondée sur l’intérêt légitime de l’entreprise,
  • que le traitement est susceptible de conduire à une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou l’affectant de manière significative de façon similaire (cas de scoring ou de profilage ayant des conséquences directes, sans appréciation humaine, sur la rémunération ou la carrière)[6].

Huitièmement, le dispositif mis en place ne doit pas porter atteinte au secret des correspondances (analyse des messages d’une boîte à lettre électronique personnelle distincte de la messagerie professionnelle dont la salariée disposait pour les besoins de son activité)[7].

CAS PARTICULIERS

Certains usages sont invalidés par la CNIL.

L’employeur ne peut pas mettre en place un dispositif d’écoute ou d’enregistrement permanent ou systématique, sauf texte légal (par exemple pour les services d’urgence).

Ainsi, la CNIL considère que quelle que soit la finalité poursuivie, une capture d’écran est susceptible de n’être ni pertinente ni proportionnée puisqu’il s’agit d’une image figée d’une action isolée de l’employé, qui ne reflète pas fidèlement son travail.

La CNIL considère également que compte tenu des impacts et risques de détournement et de surveillance associés à ces dispositifs, le couplage des enregistrements téléphoniques avec l’image (capture d’écran ou vidéo) des actions de l’employé est disproportionné lorsqu’il est utilisé pour d’autres finalités que la formation, telles que l’évaluation du personnel, la lutte contre la fraude interne, etc. L’employeur doit alors utiliser des moyens alternatifs à ce type de dispositif.

Par ailleurs, l’écoute en temps réel et l’enregistrement sonore des appels sur le lieu de travail peuvent être réalisés en cas de nécessité reconnue et doivent être proportionnés aux objectifs poursuivis (par ex. formation).

Pascal ALIX, avocat à la Cour, DPO externe, lead auditor (certification EUROPRIVACY – RGPD)

[1] le 11 février 2002

[2] Article L. 1222-4 CT : Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance.

[3] Au sens de l’article 6 du RGPD

[4] Monitoring de l’usage des logiciels et des applications (lesquelles, combien de temps, etc.), de la navigation sur le réseau internet (quel site – typologie, pro/non-pro, etc.) de l’utilisation de la messagerie (combien d’e-mail, quels destinataires, etc.) quels documents ont été scannés et imprimés, l’utilisation des réseaux sociaux (temps, etc.), jusqu’à l’enregistrement de la frappe sur le clavier et à l’enregistrement avec une fréquence déterminée des écrans affiché par le moniteur ou de la voix.

[5] Article 35 du RGPD

[6] Article 22 du RGPD

[7] Cour de cassation, chambre sociale, 23 octobre 2019, pourvoi n° 17-28448

Lire la suite

Le règlement général sur la protection des données (RGPD) considère l’enfant comme une personne concernée particulièrement vulnérable[1], méritant une protection spécifique[2] du fait de son incapacité à comprendre les risques qu’entraine un traitement de ses données personnelles.

Le législateur européen a introduit une distinction entre les mineurs de plus de 16 ans et les mineurs de moins de 16 ans.  Les premiers pouvant consentir seul à un traitement réalisé dans le cadre d’un « offre directe de services de la société de l’information »[3], à savoir un service payant fourni en ligne[4]. La loi française elle, opère cette distinction à l’âge de 15 ans[5]. En dessous de cet âge, le consentement doit être donné par les titulaires de l’autorité parentale ou conjointement avec eux[6] . Pour l’ensemble des traitements ne ressortissant pas des services de la société de l’information[7], le consentement ne semble pas borné par cette limite d’âge.

Lorsque l’on aborde la notion d’enfant cependant, une autre question se pose, relative celle-ci à l’exercice des droits de ce dernier.

Les mineurs peuvent-il exercer les droits des articles 15 et suivants du RGPD en tant que personnes concernées ?

Le Chapitre III du RGPD, « Droit de la personne concernée », qui se borne à faire référence à : « une personne physique identifiée ou identifiable [8] », n’évoque pas la question des droits des mineurs à cet égard.

Sachant que ces droits sont éminemment personnels et ne peuvent être exercés que par la personne concernée elle-même, peut-on considérer, en l’absence de disposition spécifique dans les articles 15 et suivants, que le mineur peut exercer seul ces droits et ainsi bénéficier de la possibilité de maitriser ses données personnelles sans l’autorisation des titulaires de l’autorité parentale ?

Le RGPD prend en compte le statut particulier de l’enfant lorsqu’il évoque les modalités de délivrance de l’information (concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant[9]). Or, cette information porte notamment sur les droits dont les personnes concernées disposent en cas de traitement de ses données personnelles.

Information sur les droits et exercice des mêmes droits sont pourtant à dissocier : le mineur est informé mais ne peut exercer seul ses droits.

En effet, l’article 388-1-1 du Code civil prévoit que l’administrateur légal représente le mineur dans tous les actes de la vie civile, sauf les cas dans lesquels la loi ou l’usage autorise les mineurs à agir eux-mêmes.

Or, ni la loi « informatique et libertés » du 6 janvier 1978 modifiée et adaptée ni le RGPD ne prévoient pas une telle autorisation pour l’exercice des droits.

Pour le droit d’accès, la CNIL indique que les titulaires de l’autorité parentale sont habilités à l’exercer[10]. Il semble admis que le régime du droit de rectification est identique[11].

Concernant le nouveau droit à l’oubli consacré par l’article 40-II de la loi « informatique et libertés » du 6 janvier 1978 modifiée et adaptée, s’il concerne des données collectées alors que les personnes concernées étaient mineures au moment de la collecte, il est apparemment exercé par le titulaire de l’autorité parentale[12].

Les autres droits ne semblent pas devoir être traités différemment en l’absence de précisions particulières les concernant.

La loi française introduit une exception intéressante dans le domaine des traitements de données de santé pour les mineurs de plus de 15 ans.

L’article 59 de la loi « informatique et libertés » du 6 janvier 1978 modifiée et adaptée prévoit en effet que pour les traitements de données à caractère personnel réalisés dans le cadre de recherches mentionnées aux 2° et 3° de l’article L. 1121-1 du code de la santé publique[13] ou d’études ou d’évaluations dans le domaine de la santé, ayant une finalité d’intérêt public et incluant des personnes mineures, le mineur âgé de quinze ans ou plus peut s’opposer à ce que les titulaires de l’exercice de l’autorité parentale aient accès aux données le concernant recueillies au cours de la recherche, de l’étude ou de l’évaluation. Le mineur reçoit alors l’information et exerce seul ses droits.

Pour ces mêmes traitements, le mineur âgé de quinze ans ou plus peut s’opposer à ce que les titulaires de l’exercice de l’autorité parentale soient informés du traitement de données si le fait d’y participer conduit à révéler une information sur une action de prévention, un dépistage, un diagnostic, un traitement ou une intervention pour laquelle le mineur s’est expressément opposé à la consultation des titulaires de l’autorité parentale[14] (…) Il exerce alors seul ses droits.

Qu’est-ce qui motive ces exceptions ? Le législateur a considéré qu’il s’agissait ici d’un domaine particulièrement sensible pour le mineur car touchant à sa santé et ayant un caractère très intime, comme un dernier recoin de vie privée inaccessible, même aux titulaires de l’autorité parentale. S’il s’agit de l’alignement du seuil de maturité adopté dans d’autres domaines (services de la société de l’information, consentement en matière de sexualité), l’on voit mal ce qui justifie le maintien de l’exigence de l’autorisation parentale pour l’exercice, par les mineurs de 15 ans et plus, de leurs droits d’accès, de rectification, à l’effacement, à la limitation, à la portabilité et d’opposition.

Pascal Alix, avocat à la Cour et DPO externe

Séverine Lair, avocat à la Cour

[1] Considérant 75.

[2] Considérant 38 : « Les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel (…) ».

[3] Article 8 du RGPD.

[4] CJUE, affaire C-434/15, 20 décembre 2017, Asociación Profesional Elite Taxi/Uber Systems Spain SL

[5] Article 7-1 de la LIL modifiée.

[6] « donné ou autorisé par le titulaire de la responsabilité parentale » selon le RGPD

[7] Comme la réservation d’un transport au moyen d’une application (CJUE, affaire C-434/15, 20 décembre 2017, Asociación Profesional Elite Taxi/Uber Systems Spain SL, précité).

[8] Article 4.1 du RGPD.

[9] Le Considérant 58 reprend cette même idée.

[10] « Pour les mineurs et les incapables majeurs, ce sont, selon les cas, les parents, le détenteur de l’autorité parentale ou le tuteur qui effectuent la démarche. » https://www.cnil.fr/fr/professionnels-comment-repondre-une-demande-de-droit-dacces.

[11] Informatique et libertés, La protection des données à caractère personnel en droit français et européen, A ; DEBET, et autres, coll. Les intégrales, Lextenso Editions, 2015, p.1443.

[12] Alain Bensoussan (https://www.alain-bensoussan.com/avocats/droit-effacement-donnees-mineurs/2017/02/13/)

[13] « 2° Les recherches interventionnelles qui ne comportent que des risques et des contraintes minimes, dont la liste est fixée par arrêté du ministre chargé de la santé, après avis du directeur général de l’Agence nationale de sécurité du médicament et des produits de santé ;

3° Les recherches non interventionnelles qui ne comportent aucun risque ni contrainte dans lesquelles tous les actes sont pratiqués et les produits utilisés de manière habituelle. »

[14] Article L.1111-5 et L.1111-5-1 du Code de la santé publique : le professionnel de santé doit cependant d’abord rechercher l’accord du mineur sur cette consultation.