1. Quels sont les principes généraux régissant le contrôle de l’activité des salariés ?

La surveillance des salariés et le contrôle de leur activité sont des droits de l'employeur inhérents à son pouvoir de direction lui permettant de garantir la bonne marche de l’entreprise. C’est précisément ce qui octroie un droit à l’employeur de contrôler l’activité de ses salariés.

Néanmoins et de manière générale, quel que soit l’outil utilisé, la démarche de l’employeur doit être¹ : 

• guidée par un motif légitime, qu’il s’agisse de l’intérêt de l’entreprise, le bon fonctionnement du service, le respect d’obligations légales, notamment en termes de durée du travail 

• proportionnée à l’objectif poursuivi – il s’agit là de rechercher une adéquation de la mesure prise entre d’une part, le but légitime poursuivi par l’employeur et d’autre part, la contrainte ou l’atteinte potentielle aux droits et libertés individuelles et collectives des salariés, en particulier le respect de leur vie privée, leur liberté d’expression et le secret de leur correspondance et ce, même au lieu et au temps de travail. 

C’est la raison pour laquelle il est, en principe, interdit de placer les salariés sous une surveillance permanente, même si de rares exceptions sont admises, notamment en cas de manipulation d’objets de grande valeur.

Tels sont les principes généraux qui reviennent systématiquement dans les décisions de la Cour de cassation ainsi que dans les recommandations de la CNIL.

Une fois cet exercice fait, l’employeur doit, conformément à son obligation légale, informer et consulter préalablement le Comité social et économique dans les entreprises d’au moins 50 salariés s’il existe, dès lors qu'il doit l'être de tout aménagement important, modifiant les conditions de santé et de sécurité ou les conditions de travail des salariés, ainsi que lors de l'introduction de nouvelles technologies².

Ensuite, conformément à son obligation de loyauté, il doit informer individuellement et par écrit chaque salarié de la mise en place de tout dispositif de contrôle de son activité et ce, préalablement à son activation³.

Par ailleurs, les traitements de surveillance de l’activité des salariés doivent être portés au registre des traitements et, éventuellement, faire l’objet d’une analyse d’impact.

Enfin, lorsque l’on sait que le risque cyber le plus répandu reste la négligence, l’erreur de manipulation ou de configuration du poste de travail, l’entreprise se doit d’être vigilante sur les outils à distance qu’elle met à la disposition de ses salariés et sur les flux liés (échanges de données, partages de fichiers, gestion du Cloud, etc.), supposant bien évidement une surveillance de l’activité de ses salariés.

2. Quels sont les outils à disposition de l'employeur ?

Les outils à disposition de l’employeur sont aujourd’hui aussi variés que les modes d’exercice du travail, qu’il s’agisse de salariés itinérants amenés à effectuer de nombreux déplacements ou dont l’activité est précisément le transport de personnes ou de marchandises, de télétravailleurs ou de salariés dont le manager est basé à l’étranger, ce qui est courant dans les groupes internationaux.

Parmi l’éventail d’outils existants, le choix des entreprises varie selon le secteur d’activité concerné et de l’objectif poursuivi : contrôler la durée du travail, garantir l’effectivité des temps de repos, sécuriser l’accès à des locaux, préserver la sécurité du système informatique.

On peut aujourd’hui recenser parmi les outils les plus couramment utilisés : 

• la badgeuse via une carte, un porte-clés ou un téléphone portable par exemple, dont l’objet peut être de contrôler l’entrée dans les locaux de l’entreprise (des salariés comme des visiteurs), de sécuriser l’accès à certains locaux faisant l’objet de restrictions de circulation, de contrôler la durée du travail ; mais dans la recherche de l’équilibre entre l’objectif légitime poursuivi et la minimisation de l’atteinte aux libertés fondamentales, certaines limites doivent être posées ; ainsi , un contrôle d’accès sans biométrie est à privilégier, dès lors qu’un système de badge est suffisant ou que les locaux ne sont pas particulièrement sensibles ; de même, le système mis en place ne doit pas servir au contrôle des déplacements des salariés à l’intérieur des locaux en particulier celui des représentants du personnel ; la Cnil recommande que les données relatives aux accès soient supprimées 3 mois après leur enregistrement⁴ et que les données afférentes au suivi du temps de travail soient conservées pendant 5 ans⁵  

• le contrôle de l’utilisation d’Internet et de la messagerie électronique professionnelle du salarié afin de protéger la sécurité de son réseau informatique d’attaques externes, de prévenir la réalisation d’infractions ou limiter une utilisation personnelle excessive des outils professionnels mis à disposition des salariés ; l'employeur peut à ce titre, filtrer ou verrouiller l’accès à certains sites web, interdire le téléchargement ou l’installation de certains logiciels, il peut également surveiller les connexions des salariés (sites visités, temps passé, etc.) sous réserve d’avoir respecté ses obligations d’information-consultation du CSE et d’information des salariés de l’utilisation de tels logiciels ; il peut également accéder à tout moment à la messagerie électronique professionnelle et à l’ordinateur professionnel du salarié même en son absence et consulter les messages et fichiers informatiques présents, sauf s’ils sont identifiés comme personnels⁶ ; en revanche, certains excès sont à proscrire : l’employeur ne peut constamment recevoir de manière automatique l’ensemble des messages écrits ou reçus par ses salariés  

• la géolocalisation qui permet de localiser un salarié via des traceurs GPS/GSM utilisant le positionnement par satellite ; elle est admise notamment pour justifier et facturer une prestation de transport de personnes (ex. taxi, ambulance) ou de marchandise (ex. déménageur, coursier), pour assurer la sécurité du salarié, de la marchandise ou du véhicule en cas de vol, pour mieux allouer les moyens humains en vue de l’accomplissement d’une prestation de travail à accomplir sur des lieux dispersés (ex. dépanneuse la plus proche d’un accident) ; mais la CNIL comme la Cour de cassation sont très fermes à ce sujet et considèrent que les données de géolocalisation ne peuvent être exploitées pour contrôler la durée du travail du salarié, qu’à la condition qu’il ne soit pas possible à l’employeur d’avoir recours à un autre dispositif, même moins efficace, permettant ce contrôle⁷ ; la Cnil recommande que les données obtenues par la géolocalisation ne soient pas conservées plus de 2 mois, voire 1 an si elles ont pour objet d’optimiser des tournées ou prouver des interventions, voir même 5 ans si elles ont pour objet de contrôler la durée du travail⁸  

• l’écoute en temps réel et l’enregistrement des appels, mais elle ne peut être mise en œuvre que pour former les salariés, les évaluer, améliorer la qualité du service, ou pour former un contrat (dans certains cas limités) ; et sans que cette écoute ou cet enregistrement soient permanents ou systématiques ; La Cnil recommande que les enregistrements ne soient pas conservés plus de 6 mois.  

• la vidéosurveillance mais sous réserve de définir un objectif qui soit légal et légitime ; ainsi une entreprise peut installer des caméras sur le lieu de travail à des fins de sécurité des biens ou des personnes (à titre dissuasif ou de sanction), notamment pour surveiller les accès aux locaux ou l’auteur d’un vol ; l’entreprise devra donc choisir avec soin l’emplacement des caméras : entrée/sortie des bâtiments, couloirs, caisse d’un magasin, coffre, etc., afin qu’elles filment ce dont la sécurité doit être assurée ; à noter que si les lieux sont ouverts au public, le dispositif doit être préalablement autorisé par le Préfet et un affichage clair du placement sous vidéosurveillance doit être réalisé. 

À l’inverse, la Cnil ou la jurisprudence bannissent certains outils jugés excessifs au regard du but légitime recherché par l’employeur et/ou trop intrusifs dans la vie privée du salarié au attentatoire à ses libertés fondamentales. Tel est le cas des : 

• keyloggers permettant d’enregistrer à distance les actions accomplies sur un ordinateur et notamment toutes les frappes effectuées sur son clavier et tout écran consulté, avec horodatage, sauf fort impératif de sécurité (ex. divulgation de secrets industriels), dans certains secteurs d’activité ou pour certains évènements, sous réserve d’une information spécifique des salariés concernés ; 

• caméras de surveillance qui filment les salariés sur leur poste de travail, les espaces de détente, les toilettes, les locaux des représentants du personnel ou leurs accès. 

De manière générale, les outils permettant une surveillance permanente des salariés sont interdits car ils portent une atteinte excessive à ses libertés fondamentales.

Une question a souvent été soulevée avec le développement des visioconférences depuis la crise sanitaire lié à la covid-19 : celle de la faculté pour l’employeur d’exiger l’activation de la webcam. La Cnil a précisé que l’employeur doit privilégier les solutions de visioconférence qui permettent aux utilisateurs de flouter l’arrière-plan, afin de permettre aux participants de ne pas faire apparaître des images de leur domicile (qui peuvent révéler des informations privées) ou les tiers qui passeraient dans le champ de vision de la caméra. Lorsqu’un tel dispositif est accessible, l’employeur peut exiger de ses salariés qu’ils activent leur caméra pendant une réunion, afin que ceux-ci soient visibles comme ils le seraient si la réunion se déroulait sur le lieu de travail⁹. Néanmoins, dans des cas particuliers (tels qu’un entretien « RH », une rencontre avec des clients extérieurs ou la présentation de nouveaux arrivants etc.), l’employeur peut imposer le déclenchement de la caméra. Il convient alors d’en informer préalablement le salarié afin qu’il s’organise en conséquence (choix d’une pièce adéquate, etc.).

Quel que soit le système de contrôle mis en place par l’employeur, dès lors que ce système traite des données personnelles de manière automatisée, il doit respecter les règles évoquées précédemment (cf.1.).

3. Quels sont les droits et devoirs des entreprises ?

En matière de contrôle de l’activité des salariés, l’exercice des droits de l’employeur ne peut être mu que par l’objectif de permettre la préservation des intérêts légitimes de l’entreprise lorsqu’elle met en œuvre des mesures destinées à assurer la sécurité de ses locaux, de son réseau informatique, de ses biens, de ses salariés. L’entreprise peut également invoquer le bon fonctionnement de ses services pour accéder aux emails de ses salariés notamment lorsqu’ils sont en congés payés, en congé maternité/paternité, en arrêt maladie. Enfin, elle peut légitimer la mise en place d’outils de contrôle pour simplement vérifier le respect de ses consignes par ses salariés lorsqu’elle se permet d’accéder à la messagerie électronique des salariés ou qu’elle exige des salariés qu’ils inscrivent leurs rendez-vous sur un agenda électronique individuel ou partagé.

Mais dans la majorité des cas, les entreprises sont amenées à mettre en place des outils de contrôle de l’activité des salariés comme une réponse à des obligations mises à leur charge par la loi, essentiellement en lien avec la durée du travail et de la préservation de la santé et de la sécurité des salariés¹⁰.

En effet, en matière de durée de travail, c’est à l’employeur de s’assurer que les salariés ne travaillent pas plus que la durée contractuelle convenue, pas plus que la durée légale autorisée, qu’ils respectent la durée minimum de repos requise par la loi. C’est l’une des raisons pour lesquelles il peut avoir recours aux outils de contrôle évoqués précédemment tels que la badgeuse par exemple.

En matière de préservation de la santé et de la sécurité des salariés, notamment pendant les périodes de repos du salarié, mais aussi durant ses congés (maladie, congés payés, etc.), il revient à l'employeur de s’assurer que le salarié ne travaille pas. Si le plus souvent, il lui rappelle qu’il ne doit pas travailler pendant ses périodes, il n’est pas rare que les managers soient moins radicaux et même que les salariés maintiennent d’eux-mêmes un lien avec l’entreprise sans que celle-ci ne le lui demande. L’employeur sera néanmoins tenu pour responsable et c’est pourquoi des actions de sensibilisation des managers sont souvent plus intelligentes. Le plus efficace reste, en tout état de cause, la suspension des accès à distance pendant ses périodes d’absence, mais il est vrai que cette mesure est très (trop) radicale.

Au demeurant, depuis l’entrée en vigueur du RGPD¹¹, en 2018, les traitements de surveillance de l’activité des salariés n’ont plus à faire l’objet d’une formalité préalable auprès de la CNIL, ils doivent, en revanche être portés au registre des traitements.

Les salariés doivent, en outre, impérativement être informés de cette surveillance par leur employeur. Ils doivent être prévenus des données qui seront collectées et savoir à quelle fin elles le seront. Ils doivent aussi y avoir accès et pouvoir les faire rectifier.

En cas de surveillance excessive des salariés, la CNIL peut mettre l'employeur en demeure de se conformer au RGPD, mais aussi prononcer une sanction financière qui, en fonction de la gravité des cas pourra être rendue publique¹².

Le RGPD impose en outre à l’employeur une obligation de sécurisation des données personnelles de ses salariés. Le défaut de sécurisation avéré peut entraîner une sanction financière lourde et obliger l’entreprise à notifier l’incident de sécurité à la CNIL en cas de violation de données personnelles de ses salariés.

4. Comment le numérique change-t-il l'environnement de travail ?

Le développement du numérique dans l’environnement de travail avait déjà amené le législateur à consacrer en 2016 le droit à la déconnexion ce qui, depuis, a déjà amené les entreprises à mettre en place outre des actions de sensibilisation des salariés mais surtout des managers, le plus souvent un catalogue de mesures additionnelles encourageant à la déconnexion (plages horaires d’interdiction d’appel, pop-up d’alerte en cas de travail tardif, etc.).

En outre, la frontière entre vie professionnelle et vie personnelle pouvant devenir mince, les entreprises sont amenées à repenser la manière d’exercer leur pouvoir de direction sur leurs salariés tout en préservant leur santé. À cet effet, au moins un entretien annuel doit y être consacré pour les salariés en forfait-jour.

Par ailleurs, devant la multiplication des actes de cybermalveillance et des risques d’actions d’espionnage économique, il est aussi devenu crucial de sensibiliser les employés à la sécurité numérique par la communication de bonnes pratiques, fruit d’un travail concerté de la DSI, du DPO (délégué à la protection des données personnelles s’il a été désigné), du juriste et des ressources humaines de l’entreprise, aboutissant à la mise en place d’une politique de sécurisation des données hors entreprise.

Enfin, le développement du télétravail et la généralisation de l’utilisation des « smartphones », des tablettes, et ordinateurs portables ainsi que la mise en place de nombreux outils collaboratifs d’entreprise permettant le partage, l’interaction et l’accès à distance ont profondément modifié l’organisation et la structuration des échanges professionnels. Ces outils numériques ont ainsi révélé le besoin d’adapter l’humain tant dans sa nouvelle manière de travailler et ou de manager que dans son environnement de travail de plus en plus digital : ainsi les managers doivent apprendre le management hybride de salariés pour partie en présentiel et pour d’autres en distanciel, tout en s’assurant de la préservation des systèmes d’information de l’entreprise. Il s’agit, pour sûr, d’un nouveau double challenge à relever pour nombre d’entreprises.

Par Nathalie Cerqueira, Avocate Associée en droit du travail et Claire Poirson, Avocate Associée en Nouvelles Technologies et données personnelles - Cabinet Bersay

¹ Article L. 1121-1 du Code du travail « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ».

² Article L2312-38 du Code du Travail « Le comité social et économique est informé, préalablement à leur utilisation, sur les méthodes ou techniques d'aide au recrutement des candidats à un emploi ainsi que sur toute modification de celles-ci. Il est aussi informé, préalablement à leur introduction dans l'entreprise, sur les traitements automatisés de gestion du personnel et sur toute modification de ceux-ci ».

³ Article L1222-4 du Code du Travail « Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n'a pas été porté préalablement à sa connaissance ».

⁴ Délibération CNIL n°02-001 du 8 janvier 2002 concernant les traitements automatisés d’informations nominatives mis en œuvre sur les lieux de travail pour la gestion des contrôles d’accès aux locaux, des horaires et de la restauration

⁵ www.cnil.fr/fr/lacces-aux-locaux-et-le-controle-des-horaires-sur-le-lieu-de-travail + Délibération CNIL n°02-001 du 8 janvier 2002

⁶ Dès lors que les courriers figurant sur la boîte électronique du salarié ne portent aucune mention les faisant apparaître comme personnels, ils peuvent être ouverts par l'employeur (Cass. soc., 18 oct. 2011, n° 10-26.782, Cass. soc., 26 juin 2012, n° 11-14.022, Cass. soc., 16 mai 2013, n° 12-11.866) , CEDH, 12 janv. 2016, aff. 61496/08, Barbulescu c/ Roumanie.

⁷ La Cour de cassation estime que « l'utilisation d'un système de géolocalisation pour assurer le contrôle de la durée du travail n'est licite que lorsque ce contrôle ne peut pas être fait par un autre moyen et n'est pas justifiée lorsque le salarié dispose d'une liberté dans l'organisation de son travail » (Cass. soc., 3 nov. 2011, n° 10-18.036,Cass. soc., 17 déc. 2014, n° 13-23.645,Cass. soc., 18 janv. 2018, n° 16-20.618)

⁸ Délibération CNIL n°2015-165 du 4 juin 2015 concernant la géolocalisation des véhicules

⁹ Q/R de la CNIL sur le télétravail au 8/09/21 : cela constitue un traitement de données personnelles, régi par le RGPD, qui peut conduire à révéler des informations intimes.

¹⁰ Article L. 4121-1 du Code du travail « L’employeur prend les mesures nécessaires pour assurer la sécurité et protéger la santé physique et mentale des travailleurs. »

¹¹ Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

¹² Le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial.