Les données, nouveau moyen de surveillance des salariés au quotidien ?
En avril 2016, l’entreprise SANOFI était accusée d’espionner 3000 salariés au moyen de puces RFID donnant leur position en temps réel. Dans cette entreprise comptant 30% de télé-travailleurs, l’outil mesurait l’utilisation des espaces et la disponibilité des locaux. Autant de données collectées par l’entreprise sur les salariés, qui valent bien quelques explications.
Collecter les données d’un salarié pourrait permettre de contrôler sa productivité. C’est une « boite de pandore » pour un employeur toujours en recherche de nouveaux moyens pour s’assurer que son salarié effectue bien son travail.
Pour autant, dès règles s’imposent en la matière.
Même si certains tribunaux ont accepté ces dispositifs de localisation, ils doivent répondre aux conditions légales de déclaration et d’information énoncées par la CNIL (ajout lien hypertexte fiche CNIL) afin d’être licites.
Ainsi, pour contrôler son salarié, il est possible d’utiliser le matériel mis à sa disposition (comme son ordinateur, son téléphone ou encore son véhicule de fonction), tout en respectant ses droits et libertés et notamment un principe de loyauté. Ainsi, il sera nécessaire d’informer préalablement le salarié de la mise en place du dispositif et surtout éviter tout « stratagème » (expression utilisée par les juges) pour « piéger » le salarié. Il sera aussi nécessaire de consulter les élus du personnel et de protéger les données nominatives collectées. Bien entendu, si ces données constituent un fichier, il faudra le déclarer à la CNIL, comme tout traitement automatisé.
Et si je ne respecte pas ces obligations de déclaration ?
La première sanction est assez simple : à défaut de remplir les conditions, la donnée ne pourra jamais servir de preuve contre le salarié. Elle est considérée comme « déloyale » et sera donc mise de côté. Pire encore, l’employeur pourrait être poursuivi pour avoir recueilli et utilisé des données de manière illicite.
Les spécificités d’Internet
La connexion Internet est très protégée. Ainsi, si l’employeur peut contrôler les connexions du salarié sur son temps de travail avec un ordinateur professionnel, l’identification formelle d’une connexion reste matériellement très difficile. On visera donc souvent la capacité de journalisation automatique des connexions.
À nouveau, le traitement des informations obtenues par l’employeur est visé par la CNIL. Il doit être proportionné au but recherché et le salarié doit, à nouveau, être préalablement informé.
Pour autant, la Cour de cassation a déjà admis à la marge qu’un cadre de banche n’a pas à être averti que le système d’exploitation intègre un mode de traçage pour garantir des comptes clients : s’il consulte des comptes « par curiosité », le salarié commet une faute grave, malgré le caractère apparemment « déloyal » de la preuve.
Ici, la Cour considère le salarié informé par la nature même de sa tâche, ce qui est assez rare et laisse prévaloir la règle de principe : l’employeur doit informer le salarié des contrôles effectués.
Enfin, si la CNIL préconise d’avoir un fichier de journalisation, afin de sécuriser le réseau, cela ne doit pas conduire à contrôler les utilisateurs, sauf s’ils ont été informés. C’est alors une obligation légale du responsable du traitement, pour prévenir tout risque, répondre à l’exigence de loyauté et rendre opposable les relevés au salarié.
