Nom du site

  
  

Recherche :


ddt.18.j  La surveillance des salariés sur le lieu de travail

ddt.18.j.1.  

Dans quel cas est-ce qu’un employeur peut procéder à une surveillance des salariés?

L'employeur peut procéder à un contrôle anonymisé (par exemple de données statistiques) sans aucune restriction. Par contre, si les données collectées permettent l’identification d’une personne déterminée, il s’agit d’un traitement de données personnelles et plus précisément d'une surveillance sur le lieu du travail.

La loi du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel (telle que modifiée) définit la surveillance comme «toute activité qui, opérée au moyen d’instruments techniques, consiste en l’observation, la collecte ou l’enregistrement de manière non occasionnelle des données à caractère personnel d’une ou de plusieurs personnes, relatives à des comportements, des mouvements, des communications ou à l’utilisation d’appareils électroniques et informatisés.»

Avant de commencer toute surveillance, le traitement doit avoir été préalablement autorisé par la Commission nationale pour la protection des données.

Ensuite, le traitement des données à caractère personnel à des fins de surveillance sur le lieu de travail ne peut être mis en œuvre par l’employeur que s’il est nécessaire pour une des finalités suivantes:

  1. pour les besoins de sécurité et de santé des salariés; ou
  2. pour les besoins de protection des biens de l’entreprise (exemple : l’employeur peut mettre en place des moyens de surveillance destinés à s’assurer que des virus ne pénètrent pas le réseau d’ordinateurs, que des fichiers professionnels ne soient pas détruits, que le réseau ne soit pas encombré); ou
  3. pour le contrôle du processus de production portant uniquement sur les machines; ou
  4. pour le contrôle temporaire de production ou des prestations du salarié, lorsqu’une telle mesure est le seul moyen pour déterminer le salaire exact (dans ce cas il ne doit y avoir aucun autre moyen pour déterminer la rémunération exacte du salarié, par exemple en cas de travail à la tâche); ou
  5. dans le cadre d’une organisation de travail selon l’horaire mobile.

Les finalités étant limitativement énumérées, l’employeur ne saurait détourner les données recueillies pour une autre finalité incompatible avec celle qu’il entendait poursuivre initialement et qu’il a communiquée aux parties concernées.

Dans les cas visés aux points 1, 4 et 5, le comité mixte d’entreprise, le cas échéant institué, a un pouvoir de décision.

En raison du lien de subordination entre l’employeur et le salarié, le consentement de ce dernier ne rend pas légitime le traitement mis en œuvre par l’employeur.

L’employeur est également tenu d’informer préalablement la personne concernée (salarié), ainsi que le comité mixte ou, à défaut, la délégation du personnel ou, à défaut encore, l’Inspection du travail et des mines.

L’information des salariés doit être claire, précise et exacte, par exemple une stipulation insérée dans le contrat de travail. Les circonstances dans lesquelles la surveillance a lieu doivent être décrites avec précision, comme par exemple, les conditions dans lesquelles le matériel de l’entreprise peut être utilisé à des fins privées, les conditions de la surveillance (par qui, quand, comment), les conséquences qui pourraient être tirées des résultats de cette surveillance.

ddt.18.j.2.  

Qu’est-ce qu’on entend par donnée à caractère personnel?

Par donnée à caractère personnel on entend toute information de quelque nature qu’elle soit et indépendamment de son support, y compris le son et l’image, concernant une personne identifiée ou identifiable.

Une personne physique est réputée identifiable si elle peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique.

Une donnée anonyme en est au contraire exclue du champ d’application de la loi. Une donnée rendue anonyme également, mais uniquement à partir du moment où elle a été rendue anonyme, à condition qu’on ne puisse plus procéder à l’identification de la personne concernée.

Pour être réputée anonyme ou rendue anonyme, il faut qu’il s’agisse d’une donnée pour laquelle il n’existe aucun moyen technique, soit dans le chef du responsable du traitement, soit même dans le chef d’un tiers, permettant de rattacher cette donnée à un individu. Il appartient au responsable du traitement (employeur) d’apporter la preuve que les données qu’il traite sont à qualifier de données anonymes.

ddt.18.j.3.  

Qu’est-ce qu’on entend par fichier de données à caractère personnel?

Par fichier de données à caractère personnel on entend tout ensemble structuré de données accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.

Peu importe la structure appliquée à un tel fichier.

ddt.18.j.4.  

Est-ce que le salarié bénéficie du droit au respect de la vie privée sur le lieu de travail?

Selon l’article 8 de la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance.

D’après le groupe de travail « article 29 » sur la protection des données (Document de travail du 29 mai 2002, 5401/01/WP55), les trois principes ci-après peuvent être déduits de la jurisprudence relative à l'article 8 précité :

«a) Les salariés peuvent légitimement s'attendre au respect de leur vie privée sur leur lieu de travail et ce droit n'est pas annulé par le fait qu'ils utilisent des outils de communication ou d'autres équipements professionnels de l'employeur.

Il semble néanmoins que la fourniture d’informations adéquates par l’employeur au salarié puisse diminuer la légitimité de cette attente.

b) Le principe général du secret de la correspondance s’applique aux communications sur le lieu de travail, ce qui inclut très probablement le courrier électronique et les fichiers annexés.

c) Le respect de la vie privée recouvre aussi, jusqu'à un certain point, le droit pour l'individu de nouer et développer des relations avec ses semblables. Le fait que ces relations interviennent dans une large mesure sur le lieu de travail limite le besoin légitime de l'employeur de mettre en œuvre des mesures de surveillance.»

D’après l’article 7 de la Charte des droits fondamentaux de l'Union européenne, toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications.

Le groupe de travail «article 29» sur la protection des données (Document de travail du 29 mai 2002, 5401/01/WP55) estime que «le concept du secret de la correspondance a été élargi pour s'adapter à la nouvelle donne: la Charte parle du «secret des communications», afin de reconnaître aux communications électroniques le même niveau de protection que celui dont bénéficie le courrier traditionnel selon un usage établi de longue date.»

Le groupe de travail «article 29» est un groupe consultatif indépendant composé de représentants des autorités des Etats membres chargées de la protection des données dont la mission est, notamment d’examiner toutes les questions couvrant l’application des mesures nationales adoptées en vertu de la directive 95/46/CE sur la protection des données afin de contribuer à leur application uniforme.

ddt.18.j.5.  

Est-ce que l’employeur peut installer des caméras pour surveiller les salariés?

Dans un but de protection des biens de l’entreprise, des caméras peuvent être installées aux entrées et sorties de l’établissement, y compris les entrées du personnel.

Le comité mixte d’entreprise, le cas échéant institué, a un pouvoir de décision.

En raison du lien de subordination entre l’employeur et le salarié, le consentement de ce dernier ne rend pas légitime le traitement mis en œuvre par l’employeur.

L’employeur est également tenu d’informer préalablement la personne concernée (salarié et tiers), ainsi que le comité mixte ou, à défaut, la délégation du personnel ou, à défaut encore, l’Inspection du travail et des mines.

Les personnes concernées peuvent par exemple être informées par des panneaux de signalisation / pictogrammes.

Au-delà, la vidéosurveillance est soumise à une autorisation préalable de la Commission nationale pour la protection des données.

La Cour d'appel vient de décider que l'exploitation d'un enregistrement vidéo n'est pas susceptible de servir de preuve en matière pénale si l'exploitant ne dispose pas de l'autorisation requise, étant donné qu'il s'agit alors d'une preuve obtenue illégalement.

En d'autres termes, les entreprises non munies d'une autorisation et qui exploitent un système de surveillance vidéo ne peuvent pas en tirer profit, même si l'auteur de l'infraction commise à leur encontre est identifié, les juridictions refusant de prendre en considération une preuve obtenue dans les conditions données.

Pour en savoir plus ...

ddt.18.j.6.  

Est-ce que l’employeur peut accéder au courrier électronique du salarié?

Oui, à condition qu'il a obtenu l'autorisation préalable de la Commission nationale pour la protection des données et que la personne concernée (salarié) ainsi que le comité mixte ou, à défaut, la délégation du personnel ou, à défaut encore, l’Inspection du travail et des mines, ont été informés de la surveillance..

La Commission nationale pour la protection des données distingue les courriers électroniques personnels et les courriels professionnels (les deux catégories étant soumises au secret des correspondances).

Par rapport aux courriels professionnels, la Commission nationale pour la protection des données (Décision-type de la Commission nationale pour la protection des données en matière de surveillance de l'outil informatique) estime «que l'employeur est lui-même à considérer comme destinataire ou expéditeur du courriel professionnel et que ce dernier peut dès lors procéder à un contrôle". A cet égard, la Commission nationale pour la protection des données "retient la présomption réfutable que les courriels échangés sur le lieu de travail sont de nature professionnelle.»

Par contre, les courriels électroniques personnels (contenant une indication marquant leur caractère privé ou ceux dont cette nature privée résulte des circonstances) doivent être réputés privés et personnels et ne peuvent pas être contrôlés.

La Cour de cassation française (Cass. Soc. du 2 octobre 2001) a jugé que le salarié a droit, même au temps et au lieu de travail, au respect de l’intimité de sa vie privée; (…) qu’un employeur ne peut dès lors, sans violation de cette liberté fondamentale qu’est le secret des correspondances, prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail et ceci même au cas où l’employeur aurait interdit une utilisation non professionnelle de l’ordinateur.

Le groupe de travail « article 29 » sur la protection des données (Document de travail du 29 mai 2002, 5401/01/WP55) estime « qu’il est essentiel que l'employeur informe le salarié de la présence, de l'utilisation et de l'objectif de tout équipement et/ou appareil de détection activé concernant son poste de travail et d'un quelconque abus des communications électroniques détecté (courrier électronique ou internet).

Des informations rapides peuvent aisément être affichées par un logiciel, par ex. des fenêtres d'avertissement qui préviennent le salarié que le système a détecté et/ou pris des mesures pour éviter une utilisation illicite du réseau.

À titre de recommandation pratique, les employeurs peuvent envisager de fournir aux salariés deux comptes de courrier électronique:

a) un compte à usage professionnel uniquement qui serait soumis au contrôle dans les limites du présent document de travail,

b) un compte à usage strictement privé (ou l'autorisation d'utiliser la messagerie web) qui ne ferait l'objet de mesures de sécurité et qui serait dûment contrôlé pour abus dans des cas exceptionnels.»

Le groupe de travail « article 29 » sur la protection des données (Document de travail du 29 mai 2002, 5401/01/WP55) estime que «les risques d’abus existent et pour les salariés qui sont détournés de leurs tâches professionnelles suite à une utilisation inconsidérée d’internet ou à un envoi de messages électroniques, avec les dangers inhérents à ces moyens de communication (virus, encombrement des réseaux, blocage de mémoire de l’ordinateur, consultation de sites à caractère pornographique ou pédophile), l’employeur peut, par le biais de traces laissées par l’employé (cookies, disque dur, relevés téléphoniques, caméras cachées), pénétrer la sphère intime du salarié.

La surveillance doit cependant être adaptée au but légitime poursuivi. L’employeur doit recourir aux moyens de surveillance les plus protecteurs de la sphère privée du salarié. Le respect de ce principe de proportionnalité exige que, par exemple, doivent être évitées les surveillances automatiques et continues des salariés.

De même la surveillance du contenu des courriers électroniques peut être disproportionnée, alors que l’employeur peut se limiter à surveiller les temps d’utilisations, le nombre de courriers électroniques ou la taille des annexes. »

ddt.18.j.7.  

Est-ce que l’employeur peut installer des moyens de géolocalisation dans les véhicules de la société?

La CNPD considère que la géolocalisation par GPS (par exemple dans des véhicules de la société) doit être considérée comme une surveillance des salariés.

Un système de géolocalisation permettrait à l’employeur de localiser en permanence les véhicules d'une flotte afin d'optimiser leur utilisation, par exemple pour trouver le taxi libre situé le plus près du client appelant.

Une autorisation préalable doit être sollicitée auprès de la Commission nationale pour la protection des données par le responsable du traitement (employeur) voulant mettre en place des dispositifs techniques de surveillance rentrant dans cette définition.

Le groupe de travail «article 29» sur la protection des données (Document de travail du 16 mai 2011, 881/11/WP 185) précise que «en ce qui concerne les travailleurs, les employeurs ne peuvent utiliser cette technologie que lorsqu’il est possible de prouver qu’elle est nécessaire pour une finalité légitime, et que les mêmes objectifs ne peuvent pas être atteints à l’aide de moyens moins intrusifs.»

ddt.18.j.8.  

Est-ce que l'employeur peut retracer les agissements des salariés moyennant des lecteurs de badges?

La définition de la surveillance est très large et s’applique également au contrôle d’accès par lecteurs de badges dans la mesure où ils permettent de retracer les agissements des salariés.

Pour les contrôles électroniques d'accès (ainsi que la surveillance électronique des horaires de travail), une procédure simplifiée d'autorisation peut être suivie par l'employeur. A condition que le traitement respecte les conditions incluses dans l'autorisation unique de la Commission nationale pour la protection des données (CNPD), l'employeur peut se mettre en conformité en signant un engagement formel de conformité élaboré par la CNPD.

L’employeur est également tenu d’informer préalablement la personne concernée (salarié), ainsi que le comité mixte ou, à défaut, la délégation du personnel ou, à défaut encore, l’Inspection du travail et des mines.

Un tel traitement, portant sur les employés, n’est possible que s’il est nécessaire :

  • pour les besoins de sécurité et de santé des travailleurs (sous réserve d’avoir obtenu préalablement l’accord du comité mixte, le cas échéant institué), ou
  • pour les besoins de protection des biens de l'entreprise.

ddt.18.j.9.  

Est-ce que l’employeur peut utiliser les données recueillies dans le cadre d’un traitement légitime sur le lieu de travail à l’appui d’un licenciement?

Dès lors que les données ne sont pas détournées de leur finalité, elles peuvent être utilisées en justice.

Si, par exemple, des moyens de surveillance ont été installés en vue de la protection des biens de l’entreprise et qu’il appert des données qu’un salarié a porté atteinte à la propriété de l’entreprise en commettant, par exemple, un vol, la finalité n’a pas été détournée. Cette réponse ne concerne que la loyauté de la preuve et non sa fiabilité ou sa pertinence.

ddt.18.j.10.  

Est-ce que l’employeur peut bloquer certains sites internet ou les appels téléphoniques vers certains pays?

Oui.

Le groupe de travail «article 29» sur la protection des données (Document de travail du 29 mai 2002, 5401/01/WP55), «recommande à l’employeur d’informer immédiatement le salarié d’un usage non autorisé des moyens de télécommunications et notamment de déterminer si les salariés sont autorisés à naviguer sur l'internet à des fins privées et, dans l'affirmative, dans quelle mesure cette utilisation privée est tolérée.

L’employeur peut moyennant des techniques limiter ou bloquer l’accès à internet.

Dans la plupart des cas, l'utilisation abusive de l'internet peut être détectée sans devoir analyser le contenu des sites visités. Par exemple, la vérification du temps consacré à la navigation ou l'établissement de la liste des sites les plus visités par un service pourrait suffire à rassurer l'employeur sur le fait que ses systèmes ne sont pas employés abusivement. Si ces vérifications générales révélaient une éventuelle utilisation abusive de l'Internet, l'employeur pourrait alors envisager de procéder à de nouveaux contrôles axés sur la zone à risque.

Dans leur analyse de l'utilisation de l'internet par les salariés, les employeurs devraient éviter de tirer des conclusions hâtives, étant donné qu'il est facile de se retrouver involontairement sur certains sites du fait de réponses inattendues de moteurs de recherche, de liens hypertextuels ambigus, de bandeaux publicitaires trompeurs ou de fausses manœuvres. Dans tous les cas, le salarié en cause doit se voir présenter tous les faits qui lui sont reprochés et disposer de tous les moyens nécessaires pour contester l'utilisation abusive alléguée par l'employeur.»

Il est à noter que selon la Commission nationale pour la protection des données, la surveillance de l’utilisation d’Internet devra être basée dans un premier temps sur une analyse statistique effectuée de manière régulière en vue de déceler les utilisations abusives (p.ex. l’accès à des sites dont l’adresse est suspecte).

Seulement si les contrôles statistiques permettent de constater des indices d’abus, d’utilisation illégitime ou dangereuse de l'infrastructure informatique de l'employeur, la surveillance pourra être intensifiée (et permettre l'identification de l'employé concerné)

La Commission nationale pour la protection des données recommande la mise en place de moyens de protection préventifs comme par exemple, des filtrages de sites non autorisés, l'interdiction de téléchargements de logiciels ou l'interdiction de se connecter à certains sites Internent.

L’employeur peut également bloquer les appels téléphoniques vers certains pays.

ddt.18.j.11.  

Est-ce que le salarié a le droit d’accéder aux données personnelles le concernant?

Tout d’abord, le responsable du traitement a l’obligation de notifier à la Commission nationale pour la protection des données préalablement à la mise en œuvre d’un traitement de données à caractère personnel (sauf dans les cas où la loi exige une autorisation préalable). Ceci permet d'assurer la transparence, dans la mesure où le salarié peut toujours vérifier dans les registres de protection des données, par exemple, les catégories de données, les finalités et les destinataires pour lesquels l'employeur est supposé traiter les données à caractère personnel de ses salariés.

Selon le groupe de travail «article 29» sur la protection des données (Document de travail du 29 mai 2002, 5401/01/WP55), «le salarié a le droit d'accéder aux données personnelles la concernant traitées par son employeur et, le cas échéant, de demander la rectification, l'effacement ou le verrouillage des données dont le traitement n'est pas conforme à la loi, notamment en raison de leur caractère incomplet ou inexact.

L'accès par les salariés aux fichiers de l'employeur sans contrainte, à des intervalles raisonnables, et sans délais ou frais […] est un puissant outil que les salariés peuvent utiliser individuellement pour s'assurer que les activités de surveillance organisées sur leur lieu de travail demeurent licites et équitables à leur égard.

L'accès aux fichiers de l'employeur peut toutefois s'avérer problématique dans des cas exceptionnels, par exemple, l'accès aux données dites d'évaluation.»

ddt.18.j.12.  

Est-ce que l'employeur peut procéder à des écoutes téléphoniques des salariés?

L'enregistrement et l'écoute de conversations téléphoniques sont légitimes au sens de l’article 4(3)(d) de la loi modifiée du 30 mai 2005 concernant la protection de la vie privée dans le secteur des communications électroniques dans la mesure où les conversations sont enregistrées afin de fournir la preuve d'une transaction et de communications commerciales entre l'employeur et ses clients.

Toutefois, le client doit avoir donné son accord à un tel enregistrement et le salarié doit avoir été informé que les conversations téléphoniques passées par ce téléphone seront enregistrées.

Pour les tribunaux français, même en l’absence d’information préalable des salariés, l’employeur est en droit d’administrer la preuve d’un usage important du téléphone à des fins privées par le biais de la facturation détaillée établie par l’opérateur de téléphone (Cass. Soc. du 11 mars 1998).

ddt.18.j.13.  

Qu'en est-il de l'employeur qui ne respecte pas les dispositions relatives à la protection des données?

L’employeur qui ne respecte pas les dispositions relatives à la protection des données risque des sanctions administratives de la part de la CNPD ainsi que des sanctions pénales.

Dernière mise à jour : 1 avril 2014 08:46:46 CEST