Articles

cookies

Les États membres ont approuvé hier un mandat de négociation en vue de la révision des règles « ePrivacy » sur la base du texte suivant, à soumettre au Parlement : https://lnkd.in/eAEw2H8

Le projet de règlement ePrivacy, dans sa dernière version, contient notamment les règles suivantes au sujet des cookies et traceurs :

1) L’équipement terminal d’un utilisateur pouvant contenir des informations très personnelles, l’utilisation des capacités de traitement et de stockage et la collecte d’informations à partir de l’appareil ne seront autorisées qu’avec le consentement de l’utilisateur ou ou dans des cas très précis prévus par le règlement.

2) Le fait de subordonner l’accès à un site web au consentement à l’utilisation de cookies à d’autres fins en tant que solution alternative à un « verrou d’accès payant » (cookie-or-pay-wall) sera autorisé si l’utilisateur est en mesure de choisir entre cette offre et une offre équivalente du même fournisseur qui n’implique pas le consentement aux cookies.

3) Un utilisateur final pourra donner son consentement, dans ses paramètres de navigation, à l’utilisation de certains types de cookies en inscrivant sur une liste blanche un ou plusieurs fournisseurs.

Les données personnelles des salariés doivent, comme toute autre catégorie de données à caractère personnel, être conservées pendant une durée « qui n’excède pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées »[1]. Cette règle, dont la méconnaissance peut être lourdement sanctionnée[2] s’applique notamment aux données figurant sur les bulletins de paie, notamment lorsqu’ils sont sous forme électronique.

L’article L. 3243-4 du Code du travail, issu de la loi n°2009-526 du 12 mai 2009, prévoit une durée de conservation du « double des bulletins » ou des « bulletins de paie remis aux salariés sous forme électronique ». Cette durée est une durée de cinq ans. Notons que cette durée de cinq ans n’est nullement une durée absolue à ne pas dépasser, même pour les bulletins de paie sur support papier, puisque ces documents sont également des pièces comptables qui, en tant que telles, doivent, selon l’article L. 123-22 du Code de commerce, être conservées par l’employeur pendant une durée de 10 ans à compter de la clôture des comptes annuels.

Mais il s’avère que la durée de cinq ans de l’article L. 3243-4 du Code du travail n’est désormais plus applicable aux bulletins de paie sous forme électronique, même s’ils étaient visés par ce texte en 2009.

 

Qu’est-ce qu’un bulletin de paie sous forme électronique ?

Selon l’article L. 3243-2 du code du travail « Sauf opposition du salarié, l’employeur peut procéder à la remise du bulletin de paie sous forme électronique, dans des conditions de nature à garantir l’intégrité, la disponibilité pendant une durée fixée par décret et la confidentialité des données ainsi que leur accessibilité dans le cadre du service associé au compte mentionné au 2° du II de l’article L. 5151-6 ».

Il résulte de ce dernier texte, dans sa rédaction actuelle, que « chaque titulaire d’un compte personnel d’activité » […] a « accès à […] un service de consultation de ses bulletins de paie, lorsqu’ils ont été transmis par l’employeur sous forme électronique dans les conditions mentionnées à l’article L. 3243-2 ».

En pratique, il s’agit de bulletins de paie émis nativement sous forme dématérialisée[3]

Un décret en Conseil d’Etat pris après avis de la Commission nationale de l’informatique et des libertés devait en déterminer les modalités.

 

Les durées de conservation du bulletin de paie sous forme électronique

Le décret n° 2016-1762 du 16 décembre 2016, rendu après avis de la CNIL, a finalement fixé les règles suivantes[4] :

L’employeur arrête les conditions dans lesquelles il garantit la disponibilité pour le salarié du bulletin de paie émis sous forme électronique :

  • soit pendant une durée de cinquante ans ;
  • soit jusqu’à ce que le salarié ait atteint l’âge mentionné au dernier alinéa de l’article L. 1237-5, augmenté de six ans (schématiquement 75 ans).

Il ressort, implicitement mais nécessairement, des dispositions réglementaires applicables et notamment de l’article D. 3243-7 du Code du travail que le point de départ des durées qui viennent d’être rappelées est l’émission du bulletin de paie sous forme électronique.

 

De quelle durée de conservation parle-t-on pour les bulletins de paie sous forme électronique ?

Comme le rappelle la CNIL[5], il convient, pour chaque catégorie de données, de définir une durée de conservation :

  • en base active,
  • le cas échéant en archivage intermédiaire,
  • et, le cas échéant (beaucoup plus rarement), en archivage définitif.

Quel événement constitue le point de départ de la conservation du bulletin ? La date de son émission ou de son enregistrement en base active ? La date de son archivage (archivage intermédiaire) ?

Dans le référentiel GRH de la CNIL[6], la CNIL répond à ces questions, en retenant que le bulletin de paie « en version dématérialisée » est conservé :

  • 1 mois en base active,
  • 50 ans en archivage intermédiaire (simplification des règles énoncées par l’article D. 3243-8 du Code du travail).

 

Une conservation jusqu’à la date de liquidation des droits à la retraite ?

Les caisses de retraite complémentaire demandaient, avant 2016, aux employeurs de délivrer à leurs salariés ou anciens salariés des pièces justificatives leur permettant de déterminer et de justifier leurs droits à la retraite.

Au demeurant, la CNIL[7] considérait, en 2004, que si les motifs des absences ne devaient pas être conservés au-delà du temps nécessaire à l’établissement des bulletins de paie, « les informations nécessaires à l’établissement des droits du personnel (droits à la retraite..) », pouvaient être « conservées sans limitation de durée ».

L’on en déduisait, en pratique, l’obligation, pour les employeurs, de conserver les bulletins de paie jusqu’à la date de liquidation des droits à la retraite.

Si cette pratique n’a jamais été validée par un texte législatif ou réglementaire, la très longue durée de conservation des bulletins de paie sous forme électronique vient, en quelque sorte, la valider a posteriori.

Pascal ALIX, avocat associé et DPO externe

 

[1] Article 5. 1 e) du RGPD

[2] Article 83.5 du RGPD

[3] D’où le nom du décret n° 2016-1762 du 16 décembre 2016 « relatif à la dématérialisation des bulletins de paie et à leur accessibilité dans le cadre du compte personnel d’activité »

[4] Article D. 3243-8 du Code du travail

[5] https://www.cnil.fr/fr/les-durees-de-conservation-des-donnees

[6] https://www.cnil.fr/fr/publication-du-referentiel-relatif-la-gestion-des-ressources-humaines

[7] délibération n°2004-097 de la CNIL du 9 décembre 2004 décidant la dispense de déclaration des traitements de gestion des rémunérations mis en oeuvre par les personnes morales de droit privé (dispense n° 002)

La question du contrôle de l’activité des télétravailleurs par des outils logiciels de n’est pas une question nouvelle : la cybersurveillance sur les lieux de travail avait déjà donné lieu à un rapport de la CNIL en 2002[1]. Dans le dernier rapport de la CNIL (sur l’activité en 2019), on relève notamment que 10% des plaintes à la CNIL concernent la surveillance des salariés

En France, le contrôle de l’activité des salariés est un droit de l’employeur qui découle de son pouvoir de direction. Cette règle a été affirmée à de multiples reprises par la Cour de Cassation.

Ce droit n’est pas sans limite, bien entendu. Il est limité par les droits et libertés des salariés tels qu’ils sont prévus par le code du travail, la loi informatique et liberté et depuis le 25 mai 2018 par le Règlement Général sur la Protection des Données ou RGPD, ainsi que par des droits fondamentaux, dont l’article 9 du code civil, relatif à la protection de l’intimité de la vie privée. Comme le rappelle fréquemment la Cour de cassation, le salarié a droit, même au temps et au lieu de travail, au respect de l’intimité de sa vie privée. Il convient donc, dans chaque situation, de rechercher un équilibre entre, d’une part, l’exercice, par l’employeur, de son droit de contrôle et, d’autre part, l’exercice, par les salariés, de leurs droits et libertés.

Le confinement mis en place dans le cadre du plan de lutte contre la COVID-19 a été à l’origine d’un passage massif et inédit au télétravail à domicile. le code du travail permettant à l’employeur d’imposer, en cas de risque épidémique, le télétravail aux salariés dont les fonctions permettent le télétravail. Certaines entreprises ont pu craindre que ce passage un peu précipité au télétravail n’engendre une sorte de décrochage des salariés ou, en tout cas, une baisse de productivité ou, de manière plus générale, un non-respect, par les salariés, de leurs obligations contractuelles.

Il convient de conserver présent à l’esprit que le télétravail ne modifie pas, en principe, les obligations des salariés en ce qui concerne leur temps de travail ; cela suppose, d’ailleurs, que l’employeur définisse très clairement les plages horaires pendant lesquelles le salarié est disponible afin qu’il puisse respecter son droit à la déconnexion.

Dans ce contexte, certains employeurs ont pu être tenté, tout d’abord, d’utiliser les fonctionnalités des outils de visioconférence… en contrôlant, par exemple, la présence des salariés à leur poste au moyen de leur webcam ou en enregistrant la totalité des échanges pendant les sessions de visioconférence. Mais d’autres employeurs ont pu souhaiter aller plus loin, en utilisant des outils permettant d’exercer à distance une surveillance plus approfondie.

Il existe différents outils comme TERAMIND, INTERGUARD, ACTIVETRAK, qui permettent d’analyser avec beaucoup de précision la pratiquement totalité des opérations de traitement effectuées au moyen de l’ordinateur utilisé par le salarié dans le cadre du télétravail à domicile, qu’il s’agisse d’un ordinateur mis à disposition par l’employeur ou de l’ordinateur personnel du salarié. Ces outils dit de « monitoring » ont, semble-t-il, été assez largement utilisés par les entreprises… si l’on en croit les déclarations des éditeurs eux-mêmes.

Quelles sont les conditions de légalité, en France, de l’utilisation de ces outils ?

Tout d’abord il faut écarter l’idée selon laquelle l’utilisation de ces outils serait par principe, de manière générale, légale ou illégale. Ce ne sont que des outils, dont l’utilisation doit être adaptée et proportionnée à la nécessité de contrôler l’activité à distance des salariés, que ce soit pour des raisons tenant à la sécurité des données (qui dépend de la nature des données elles-mêmes) ou pour contrôler la productivité et/ou la performance des salariés.

Si on raisonne globalement, indépendamment de chaque cas particulier, quelles sont les conditions à respecter pour que l’utilisation de ces outils reste dans les limites de la légalité ?

Premièrement, leur utilisation doit être parfaitement transparente, c’est-à-dire qu’elle doit donner lieu à une information individuelle, de chaque salarié[2], et collective – c’est-à-dire qu’il convient d’informer et de consulter le comité social économique… Cette exigence de transparence résulte à la fois du code du travail, de la LIL et RGPD.

Au regard de la jurisprudence de la Cour de cassation en matière sociale, les salariés doivent être informés des périodes pendant lesquelles ils sont susceptibles d’être écoutés ou enregistrés.

Deuxièmement, s’agissant d’un traitement de données ayant pour but la surveillance des salariés, ce traitement doit doit être licite[3] c’est-à-dire fondé sur une base légale valable au sens du RGPD. On considère que le salarié se trouve dans une situation de dépendance qui exclut le consentement comme une base légale valable, celui-ci ne pouvant être considéré comme libre. La base légale de ce traitement ayant pour but la surveillance des salariés et/ou la protection des données peut être :

  • l’exécution du contrat de travail
  • ou (plus fréquemment) l’intérêt légitime… pour autant que, dans ce dernier cas, les droits et libertés du salarié ne soient pas supérieurs à l’intérêt de l’entreprise, ce qui s’apprécie au cas par cas.

Troisièmementet c’est peut-être la condition que la plus délicate à réunir – ce traitement doit respecter le principe de minimisation selon lequel l’entreprise, le responsable de traitement, ne doit collecter et traiter que des données personnelles strictement nécessaires… L’on voit bien que si l’on utilise toutes les fonctionnalités d’un outil de monitoring[4], il y a un risque assez important de collecte excessive de données, peu important que les autres conditions aient été respectées.

Quatrièmementet c’est justement la question de l’appréciation du risque pour les droits et libertés des salariés – dès lors qu’il s’agit d’un traitement qui conduit à une surveillance systématique des personnes concernées, considérées comme « vulnérables » dans la mesure où elles sont dans un état de dépendance, le RGPD, tel qu’il est interprété par la CNIL, impose la réalisation d’une étude d’impact sur la vie privée[5]. Même si le passage au télétravail à domicile a été précipité le 17 mars dernier, les employeurs auraient dû, le plus tôt possible, réaliser cette étude d’impact avant de mettre en œuvre la surveillance à distance. La CNIL met du reste à disposition un outil gratuit en ligne, dénommé outil PIA, dont une nouvelle version a été publiée au mois d’avril.

Cinquièmement, les données collectées dans le cadre du « monitoring » ou de ce que l’on dénommait la cybersurveillance ne peuvent être conservées longtemps. Rappelons que les données de vidéosurveillance – avec une finalité assez proche – ne peuvent être conservées, sauf procédure contentieuse ou disciplinaire, que 30 jours.

Sauf texte imposant une durée spécifique ou justification particulière, la CNIL considère, par exemple, que les enregistrements peuvent être conservés jusqu’à six mois au maximum. Les documents d’analyse peuvent quant à eux être conservés jusqu’à un an.

Sixièmement, s’il y a un délégué à la protection des données, celui-ci doit être associé à la mise en œuvre des écoutes ou des enregistrements des appels ou, plus généralement, du dispositif de surveillance (CNIL).

Septièmement, il faut savoir que les salariés qui télétravaillent à domicile disposent, dans certains cas, d’un doit spécifique d’opposition au traitement.

C’est-à-dire lorsque que :

  • la surveillance ne peut être considérée comme nécessaire à l’exécution du contrat… en d’autres termes qu’elle est fondée sur l’intérêt légitime de l’entreprise,
  • que le traitement est susceptible de conduire à une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou l’affectant de manière significative de façon similaire (cas de scoring ou de profilage ayant des conséquences directes, sans appréciation humaine, sur la rémunération ou la carrière)[6].

Huitièmement, le dispositif mis en place ne doit pas porter atteinte au secret des correspondances (analyse des messages d’une boîte à lettre électronique personnelle distincte de la messagerie professionnelle dont la salariée disposait pour les besoins de son activité)[7].

CAS PARTICULIERS

Certains usages sont invalidés par la CNIL.

L’employeur ne peut pas mettre en place un dispositif d’écoute ou d’enregistrement permanent ou systématique, sauf texte légal (par exemple pour les services d’urgence).

Ainsi, la CNIL considère que quelle que soit la finalité poursuivie, une capture d’écran est susceptible de n’être ni pertinente ni proportionnée puisqu’il s’agit d’une image figée d’une action isolée de l’employé, qui ne reflète pas fidèlement son travail.

La CNIL considère également que compte tenu des impacts et risques de détournement et de surveillance associés à ces dispositifs, le couplage des enregistrements téléphoniques avec l’image (capture d’écran ou vidéo) des actions de l’employé est disproportionné lorsqu’il est utilisé pour d’autres finalités que la formation, telles que l’évaluation du personnel, la lutte contre la fraude interne, etc. L’employeur doit alors utiliser des moyens alternatifs à ce type de dispositif.

Par ailleurs, l’écoute en temps réel et l’enregistrement sonore des appels sur le lieu de travail peuvent être réalisés en cas de nécessité reconnue et doivent être proportionnés aux objectifs poursuivis (par ex. formation).

Pascal ALIX, avocat à la Cour, DPO externe, lead auditor (certification EUROPRIVACY – RGPD)

[1] le 11 février 2002

[2] Article L. 1222-4 CT : Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance.

[3] Au sens de l’article 6 du RGPD

[4] Monitoring de l’usage des logiciels et des applications (lesquelles, combien de temps, etc.), de la navigation sur le réseau internet (quel site – typologie, pro/non-pro, etc.) de l’utilisation de la messagerie (combien d’e-mail, quels destinataires, etc.) quels documents ont été scannés et imprimés, l’utilisation des réseaux sociaux (temps, etc.), jusqu’à l’enregistrement de la frappe sur le clavier et à l’enregistrement avec une fréquence déterminée des écrans affiché par le moniteur ou de la voix.

[5] Article 35 du RGPD

[6] Article 22 du RGPD

[7] Cour de cassation, chambre sociale, 23 octobre 2019, pourvoi n° 17-28448

Lire la suite

Le cabinet propose, en partenariat avec l’organisme de formation Elegia, une journée sur la mise en conformité des contrats au RGPD. Cette journée se tiendra le 9 novembre 2020. La formation aura lieu exceptionnellement en ligne.

Lire la suite