Vos données au travail. Vous avez dit tracking ?

Surveillance, Tracking, Géolocalisation des salariés : De quel cadre réglementaire doit-on tenir compte ?

Jusque là toujours évité car trop compliqué, voire impossible à mettre en place, force est de constater que la COVID a mis tout le monde d’accord et qu’il a été enfin possible de mettre en place le télétravail pour toute une catégorie de travailleurs qui y étaient activement opposés.

Avant ce grand changement dans nos modes de travail, l’employeur ne voulait pas permettre ce mode de travail à ceux qui voulaient travailler de chez eux de peur que le salarié passe plus de temps à faire autre chose que de travailler, et une grande majorité des travailleurs ne voulaient pas travailler de chez eux de peur de se faire pister.

Une fois parti de son lieu de travail le travailleur pouvait touner la page et se consacrer à une vie plus personnelle. Le télétravail ne permettant pas cette coupure, il a fallue être vigilant pour éviter que les télétravailler se fasse grignotter tout leur temps personnel par le travail qui venait à eux à toute heure du jour et de la nuit.

Pour éviter des débordements, instauré par la loi dite « Loi travail » du 8 août 2016, le droit à la déconnexion n’a pas attendu la COVID et était rentré en vigueur bien avant, depuis le 1er janvier 2017.

Ainsi, en dehors de ses heures de travail, tout salarié n’est pas tenu d’être en permanence joignable par son employeur pour des motifs liés à l’exécution de son travail. Dans le cadre du télétravail, mis en place de façon exceptionnelle ou non, le droit à la déconnexion s’applique également. Cependant, les modalités de ce droit doivent être prévues par l’entreprise.

Nombreuses entreprises on prévu non pas une coupure des systèmes de communication mais plustôt des systèmes d’alertes. Ainsi, nombreux sont ceux qui, voulant rattraper du retard ou voulant prendre de l’avance suer certains travaux, se sont vu recevoir des messages leur rappelant la réglementation et qu’il leur était proposé, dans le cadre du droit à la déconnexion de faire une pause.

Seraient-ils pistés ?

Est ce que le travail à distance permet d’être tracké ?

Y a-t-il d’autres systèmes permettant de tracker le salarié ?

Que dit la loi ?

Nous allonrs tenter de répondre à ces questions.

CE QUE DIT LA CNIL CONCERNANT LE TÉLÉTRAVAIL

L’employeur peut-il contrôler l’activité des salariés en télétravail ?

Oui, si cela ne porte pas atteinte aux droits et libertés des salariés et en respectant certaines règles.

Le télétravail n’étant qu’une modalité d’organisation de travail, l’employeur conserve, au même titre que lorsque le travail est effectué sur site, le pouvoir d’encadrer et de contrôler l’exécution des tâches confiées à son salarié.

Néanmoins, si le pouvoir de contrôle de l’employeur est une contrepartie normale et inhérente au contrat de travail, les juridictions ont rappelé de manière constante que ce pouvoir ne saurait être exercé de manière excessive.

L’employeur doit donc toujours justifier que les dispositifs mis en œuvre sont strictement proportionnés à l’objectif poursuivi et ne portent pas atteinte excessive au respect des droits et libertés des salariés, particulièrement le droit au respect de leur vie privée.

Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché.

  • article L. 1121-1 du Code du travail :
    Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché.

Obligation de loyauté envers ses salariés

Conformément tant au Code du travail qu’au RGPD, l’employeur est également soumis à une obligation de loyauté envers ses salariés.

Il doit à ce titre informer l’ensemble des salariés, préalablement à leur mise en œuvre, des éventuels dispositifs de contrôle de leur activité. Un employeur qui viendrait à manquer à cette obligation pourra voir sa responsabilité engagée ; par ailleurs, les juridictions ont rappelé à maintes reprises que les preuves obtenues à l’aide de tels dispositifs ne peuvent pas, en principe, être invoquées pour justifier une sanction.

De la même manière, les juridictions ont eu l’occasion de rappeler qu’il est interdit à l’employeur d’avoir recours à des stratagèmes visant à « piéger » un salarié.

Par ailleurs, si depuis l’entrée en application du RGPD les traitements de surveillance de l’activité des salariés n’ont pas à faire l’objet d’une formalité préalable auprès de la CNIL, ils devront cependant être portés au registre des traitements.

CE QUE DIT LA CNIL CONCERNANT LA SURVEILLANCE DES SALARIÉS

L’employeur peut-il surveiller constamment ses salariés ?

La réponse est claire et nette : Non !

Comme tout traitement de données personnelles, un système de contrôle du temps de travail ou d’activités, qu’il s’effectue à distance ou « sur site », doit notamment :

  • avoir un objectif clairement défini et ne pas être utilisé à d’autres fins ;
  • être proportionné et adéquat à cet objectif ;
  • nécessiter une information préalable des personnes concernées.

Ne pas utiliser d’outil de surveillance permanente
En tout état de cause, comme le rappelle notamment les juridictions sociales et le code du travail, si l’employeur peut contrôler l’activité de ses salariés, il ne peut les placer sous surveillance permanente, sauf dans des cas exceptionnels dûment justifiés au regard de la nature de la tâche.

Les exemples suivants n’apparaissent pas compatibles avec ces principes :

  • La surveillance constante au moyen de dispositifs vidéo (tels qu’une webcam) ou audio. Il peut s’agir, par exemple, de la demande faite par un employeur à un employé de se mettre en visioconférence tout au long de son temps de travail pour s’assurer de sa présence derrière son écran.
    Un tel un système place les salariés sous surveillance permanente est excessif : il ne peut donc être mis en œuvre, qu’il s’agisse de poursuivre un objectif de sécurité ou un objectif de surveillance du temps de travail. Des moyens alternatifs moins intrusifs existent pour ce faire.
  • Le partage permanent de l’écran et/ou l’utilisation de « keyloggers » (logiciels qui permettent d’enregistrer l’ensemble des frappes au clavier effectuées par une personne sur un ordinateur).
    De tels procédés sont particulièrement invasifs et s’analysent en une surveillance permanente et disproportionnée des activités des employés.
  • L’obligation pour le salarié d’effectuer très régulièrement des actions pour démontrer sa présence derrière son écran comme cliquer toutes les X minutes sur une application ou prendre des photos à intervalles réguliers.

Privilégier une adaptation des méthodes d’encadrement

En tant que nouvelle organisation du travail, le télétravail implique également une adaptation des méthodes d’encadrement et d’évaluation des salariés.

La mise en œuvre du télétravail par un organisme devrait donc être précédée d’une réflexion sur ces questions. Bien qu’aux limites des compétences de la CNIL, certaines solutions peuvent ainsi être recommandées :

L’employeur peut par exemple mettre en place un contrôle de la réalisation par objectifs pour une période donnée. Ces objectifs devraient être raisonnables, susceptibles d’être objectivement quantifiés, et contrôlables à des intervalles réguliers ;

Un compte rendu régulier du salarié est également un moyen de contrôle de l’activité pouvant être mis en place.

Visioconférence : un employeur peut-il obliger un salarié à activer sa caméra lors d’une réunion ?

L’activation des caméras dans une visioconférence peut faciliter la fluidité de la communication et participer à la convivialité de la réunion. Cependant, elle constitue un traitement de données personnelles, régi par le RGPD, qui peut conduire à révéler des informations intimes.

Dans toute la mesure du possible, le recours à la visioconférence depuis leur domicile ne devrait pas conduire les salariés à révéler davantage d’informations personnelles que lors d’une réunion sur leur lieu de travail. La CNIL invite donc les employeurs à privilégier les solutions de visioconférence qui permettent aux utilisateurs de flouter l’arrière-plan, afin de permettre aux participants de ne pas faire apparaître dans la visioconférence les images de leur domicile (qui peuvent révéler des informations privées) ou les tiers qui passeraient dans le champ de vision de la caméra. Lorsqu’un tel dispositif est en place, l’employeur peut demander à ses salariés d’activer leur caméra pendant une réunion, afin que ceux-ci soient visibles comme ils le seraient si la réunion se déroulait sur le lieu de travail.

Lorsqu’il n’est pas possible ou souhaitable de recourir à un dispositif de floutage, l’employeur ne peut pas imposer systématiquement l’activation de leur caméra aux salariés en télétravail qui participent à des visioconférences. Son activation doit donc en principe être laissée à l’appréciation des salariés dans la mesure où, dans la plupart des cas, une participation via le micro est suffisante.

Néanmoins, dans des cas particuliers (tels qu’un entretien « RH », une rencontre avec des clients extérieurs ou la présentation de nouveaux arrivants etc.), l’employeur peut imposer le déclenchement de la caméra. Lorsque c’est possible, il est préférable d’en avoir au préalable informé le ou les salariés qui pourront s’organiser en conséquence (choix d’une pièce adéquate, etc.).

CE QUE DIT LA CNIL CONCERNANT LA GÉOLOCALISATION DES VÉHICULES

Parce qu’ils coûtent peu cher et peuvent s’avérer très utiles, les dispositifs de géolocalisation sont fréquents dans le monde du travail. Attention toutefois, de nombreuses règles encadrent l’utilisation de ces outils afin que la vie privée des employés soit respectée.

Dans quels buts ?

Des dispositifs de géolocalisation peuvent être installés dans des véhicules utilisés par des employés pour :

  • Suivre, justifier et facturer une prestation de transport de personnes, de marchandises ou de services directement liée à l’utilisation du véhicule. Par exemple : les ambulances dans le cadre de la dématérialisation de la facturation de l’assurance maladie.
  • Assurer la sécurité de l’employé, des marchandises ou des véhicules dont il a la charge, et notamment retrouver le véhicule en cas de vol (par exemple, avec un dispositif inerte activable à distance à compter du signalement du vol).
  • Mieux allouer des moyens pour des prestations à accomplir en des lieux dispersés, notamment pour des interventions d’urgence. Par exemple : identifier l’employé le plus proche d’une panne d’ascenseur ou l’ambulance la plus proche d’un accident.
  • Accessoirement, suivre le temps de travail, lorsque cela ne peut être réalisé par un autre moyen.
  • Respecter une obligation légale ou réglementaire imposant la mise en œuvre d’un dispositif de géolocalisation en raison du type de transport ou de la nature des biens transportés.
  • Contrôler le respect des règles d’utilisation du véhicule.

À savoir

Les kilomètres parcourus pendant une période durant laquelle le véhicule ne doit pas être utilisé sont suffisants pour caractériser un abus et sa gravité, sans qu’il soit nécessaire de connaître le trajet effectué.

À NE PAS FAIRE :

Un dispositif de géolocalisation installé dans un véhicule mis à la disposition d’un employé ne peut pas être utilisé :

  • Pour contrôler le respect des limitations de vitesse.
  • Pour contrôler un employé en permanence.
  • En particulier, il ne peut pas être utilisé :
    • Dans le véhicule d’un employé disposant d’une liberté dans l’organisation de ses déplacements (par exemple : VRP).
    • Pour suivre les déplacements des représentants du personnel dans le cadre de leur mandat.
    • Pour collecter la localisation en dehors du temps de travail (trajet domicile travail, temps de pause,etc.), y compris pour lutter contre le vol ou vérifier le respect des conditions d’utilisation du véhicule.
    • Pour calculer le temps de travail des employés alors qu’un autre dispositif existe déjà.

CE QUE DIT LA CNIL CONCERNANT LE CONTRÔLE DE L’UTILISATION D’INTERNET

L’employeur peut contrôler et limiter l’utilisation d’internet (dispositifs de filtrage de sites, détection de virus…) et de la messagerie (outils de mesure de la fréquence des envois et/ou de la taille des messages, filtres « anti-spam »…)

Ce contrôle a pour objectif :

  1. D’assurer la sécurité des réseaux qui pourraient subir des attaques (virus, cheval de troie…)
  2. De limiter les risques d’abus d’une utilisation trop personnelle d’internet ou de la messagerie (consultation de sa messagerie personnelle, achats de produits, de voyages, discussions sur les réseaux sociaux…).

Par défaut, les courriels ont un caractère  professionnel. L’employeur peut les lire, tout comme il peut prendre connaissance des sites consultés, y compris en dehors de la présence de l’employé.

À noter

Les marque-pages, « favoris » ou « bookmark » du navigateur ne constituent pas un espace personnel ou privé. Ajouter un site internet à ses « favoris » ne limite donc pas le pouvoir de contrôle de l’employeur.

Quelles garanties pour la vie privée ?

Les limites au contrôle de l’employeur

  •  l’employeur ne peut pas recevoir en copie automatique tous les messages écrits ou reçus par ses employés, c’est excessif,
  •  les « keyloggers » permettent  d’enregistrer à  distance toutes les actions accomplies sur un ordinateur. Sauf circonstance exceptionnelle liée à un fort impératif de sécurité, ce mode de surveillance est illicite
  •  les logs de connexion ne doivent pas être conservés plus de 6 mois.
  •  La protection des courriels personnels :

Un employé a le droit, même au travail, au respect de sa vie privée et au secret de ses correspondances privées.

Un employeur ne peut pas librement consulter les courriels personnels de ses employés, même s’il a interdit d’utiliser les outils de l’entreprise à des fins personnelles.

Pour qu’ils soient protégés, les messages personnels doivent être identifiés comme tels, par exemple :

– en précisant dans leur objet « Personnel » ou « Privé »,

– en les stockant dans un répertoire intitulé « Personnel » ou « Privé ».

Les courriers ne seront pas considérés comme personnels du simple fait de leur classement dans le répertoire « mes documents » ou dans un dossier identifié par les initiales de l’employé.

Cette protection n’existe plus si une enquête judiciaire est en cours (par exemple, si l’employé est accusé de vol de secrets de l’entreprise) ou si l’employeur a obtenu une décision d’un juge l’autorisant à accéder à ces messages.

En cas de litige, il appartient aux tribunaux d’apprécier la régularité et la proportionnalité de l’accès par l’employeur à la messagerie. L’employeur peut ainsi demander au juge de faire appel à un huissier qui pourra prendre connaissance des messages de l’employé.

L’information des employés

Les instances représentatives du personnel doivent être informées ou consultées avant la mise en œuvre d’un dispositif de contrôle de l’activité.

Chaque employé doit être notamment informé :

  •  des finalités poursuivies,
  •  de la base légale du dispositif (obligation issue du code du travail par exemple, ou intérêt légitime de l’employeur),
  •  des destinataires des données,
  •  de la durée de conservation des données,
  •  de son droit d’opposition pour motif légitime,
  •  de ses droits d’accès et de rectification,
  •  de la possibilité d’introduire une réclamation auprès de la CNIL.

Cette information peut se faire au moyen d’une charte, annexée ou non au règlement intérieur, d’une note individuelle ou d’une note de service…

CONCLUSION

Il existe de très nombreux outils pour tracker l’activités des salariés :

Dans les logiciels, dans les postes de travail, dans les téléphones, dans les véhicules…

Quelque soit le système de tracking mis en place, le salarié doit être informé de la mise en place et de l’utilisation qu’il sera faite avec les données produites par l’outil. Ces informations doivent être écrites et signées à la fois par le responsable du personnel et l’employé.

En dehors de ce cadre qui doit être écrit afin que chacun reste à sa place, le débordement sera facile du côté de l’employeur et les preuves difficiles à collecter et à utiliser par le salarié.


Sources :

Denis JACOPINI

Les questions-réponses de la CNIL sur le télétravail

Géolocalisation des salariés : que dit la loi ? – Cadremploi

La géolocalisation des véhicules des salariés


Vous souhaitez faire un signalement ? | Comment retrouver des escrocs ? | Comment vous faire dédommager ?

Vous êtes un particulier ou une petite entreprise ?
pensez à la protection de vos postes de travail, tablettes et smartphones.

Sous Windows, MAC ou Android ces produits sont conseillés par notre Expert en Cybersécurité
De plus, en fonction de votre choix, 1 licence peut protéger plusieurs appareils

ESET CONTRÔLE PARENTAL
pour Android

Protections de vos enfants

  • Contrôle des applications
  • Limitation de temps sur les divertissements et jeux
  • Budget temps accordé sur les divertissements et jeux
  • Rapports basiques sur l’utilisation du web
  • Blocage instantané

Et en plus en version Premium

  • Fonctions de filtrage Web
  • Recherche sécurisée
  • Localisation de l’enfant
  • Géorepérage
  • Rapports d’activité complets détaillés

Denis JACOPINI, Expert informatique, a jugé utile de partager cette information avec vous.

Denis JACOPINI est Auditeur / Formateur / Consultant en RGPD et en CYBER. Contactez-nous.

AUDITEUR :
Etats des lieux RGPD & CYBER
Analyse de risques, PIA, DPIA
FORMATEUR :
Sensibilisation / Formation des Dirigeants ;
Formation des informaticiens ;
Sensibilisation / Formation des utilisateurs ;
CONSULTANT :
Mises en conformité RGPD ;
Expertises numériques (matérielles, logicielles et Internet) ;
Recherche de preuves / Forensic ;
Investigation numérique pénale ;
Mise en place de PSSI ;
Expertises de systèmes de Votes électroniques ;
Récupération de données supprimées (Smartphones/Ordinateurs/SI) ;
Expertises pénales, administratives et civiles ;
Expertises privées (collecte et rapport d’Expertise avant procès).

Denis JACOPINI - Expert informatique en Cybercriminalité et en Protection des Données

Notre métier en RGPD et en CYBER : Auditer, Expertiser, Accompagner, Former et Informer
EXPERTISES VOTES ELECTRONIQUES : Expertise de systèmes de vote électronique et d'élections par InternetMISE EN CONFORMITÉ RGPD & CYBER : Accompagnement de votre établissement à la démarche de mise en conformité avec le RGPD et en CYBERSÉCURITÉSPYDETECTION : Détection de logiciels espions dans les smartphones et les équipements numériquesFORMATIONS & SEMINAIRES RGPD & CYBERARNAQUES & PIRATAGES : Restez informé sur les techniques utilisées par les pirates informatiques

EXPERTISES NUMÉRIQUES est un service de Denis JACOPINI – LE NET EXPERT
Expert informatique spécialisé en Cybercriminalité et en Protection des Données
1, les Magnolias 84300 CAVAILLON
SIRET : 403 474 661 00028 – APE : 6209Z

Nous intervenons dans la France entière et à l’étranger
mais privilégions actuellement le travail à distance
depuis l’épidémie de COVID-19.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.