Le développement des TIC a des conséquences sur l’exécution du contrat de travail. L’employeur peut utiliser ces outils pour gérer les informations recueillies lors du recrutement et tout au long de l’exécution du contrat de travail.

Les TIC, outil de contrôle des salariés

1. Les droits de l’employeur

L’employeur peut pratiquer une cybersurveillance dans son entreprise en contrôlant les usages des nouveaux outils technologiques par les salariés dans le respect des régis en vigueur.

a) La protection des intérêts de l’entreprise

L’utilisation des technologies de l’information et de la communication (TIC), en particulier d’internet ou d’un réseau intranet par les salariés, peut être lourde de conséquences pour l’entreprise.

Exemple : perte de productivité, violation de la confidentialité sur la stratégie de l’entreprise, risques pour la sécurité informatique, téléchargement de contenus illégaux.

Le contrôle des courriers électroniques des salariés, des téléchargements qu’ils effectuent et des sites internet qu’ils visitent répond ainsi généralement au souci légitime de l’employeur de protéger les intérêts de son entreprise. L’employeur cherche notamment à éviter les abus dans l’utilisation de l’ordinateur et de la messagerie électronique à des fins personnelles pendant le temps de travail. En effet, la plupart des salariés travaillant dans des bureaux ont accès à un ordinateur attribué qui leur permet de stocker des informations à caractère professionnel mais aussi à caractère personnel.

b) Le pouvoir de contrôle

Sont considérées comme usage à titre personnel toutes les correspondances ou visites de sites Internet ne rentrant pas dans la fonction du salarié. La limitation de cette utilisation fait partie intégrante du pouvoir de direction et de contrôle de l’employeur.

Exemple : l’employeur peut bloquer l’accès à certains sites Internet depuis les ordinateurs de l’entreprise.

Comme pour le téléphone ou les photocopies, l’utilisation privée de la connexion internet de l’entreprise doit rester raisonnable, le salarié étant tenu d’une obligation de loyauté vis-à-vis de son employeur. En cas d’abus, la sanction serait justifiée.

2. Les limites qui s’imposent à l’employeur

a) Le principe

Le salarié bénéficie des mesures protectrices édictées par le Code du travail, notamment en matière de libertés individuelles. Le droit de surveillance et de contrôle de l’employeur sur l’activité des salariés doit se concilier avec les libertés fondamentales des salariés. En effet, bien que ces préoccupations paraissent légitimes à l’employeur, les salariés, à l’inverse, n’apprécient guère les restrictions à l’utilisation de leur messagerie électronique et à Internet.

b) La vie privée informatique

La Cour de justice de l’Union européenne et la Cour européenne des droits de l’homme reconnaissent qu’il peut y avoir du temps privé au bureau. L’employeur est soumis au secret des correspondances, et plus généralement des informations personnelles du salarié contenues dans son ordinateur, principes relevant du droit au respect de la vie privée.

La CNIL rappelle « qu’un usage raisonnable, susceptible de ne pas amoindrir les conditions d’accès professionnel au réseau et ne mettant pas en cause la productivité paraît généralement et socialement admis par la plupart des entreprises ou administrations« . L’utilisation d’internet ou d’une messagerie électronique à but privé ne constitue donc pas une faute professionnelle, sauf si cet usage est abusif.

La jurisprudence, après la reconnaissance d’un droit à la vie privée informatique du salarié, a évolué vers un droit égal d’accès de l’employeur qui précise désormais les limites de « la vie privée informatique » du salarié pendant son temps de travail face au pouvoir de contrôle de l’employeur.

Les dossiers, fichiers et courriels du salarié sont présumés être professionnels, sauf lorsque figure la mention « personnel« . Si un fichier est identifié comme personnel, l’employeur ne peut y avoir accès qu’en présence du salarié, ou si celui-ci a été dûment contacté au préalable, ou en cas de risque ou événement particulier (exemple : intrusion d’un virus).

En outre, l’usage de la connexion Internet de l’entreprise est présumé être professionnel. Toute navigation ne peut donc pas être protégée par le droit à la vie privée du salarié.

c) La transparence

L’employeur doit au préalable informer les salariés de la finalité du dispositif de contrôle, de ses modalités et de la durée pendant laquelle les données de connexion sont conservées. Cette information doit être effective, compréhensible et mise à jour afin que les salariés aient une réelle connaissance du dispositif.

Les règles d’utilisation d’Internet au travail peuvent apparaître dans divers documents tels que les notes de service, le contrat de travail, la charte d’utilisation du système d’information et de communication ou encore le règlement intérieur.

Exemple : la CNIL recommande que les modalités d’accès aux données stockées sur l’environnement informatique d’un employé absent soient préalablement définies en concertation et diffusées auprès de l’ensemble des salariés susceptibles d’être concernés, via une charte par exemple.

Outre l’obligation d’information, la mise en place d’outils visant la collecte de données sur l’usage fait d’internet par les salariés doit être déclarée à la CNIL.

d) La discussion collective

Le principe de discussion collective consiste à consulter au préalable les représentants du personnel (comité d’entreprise ou, à défaut, délégués du personnel) pour recueillir leur avis, sans l’exigence toutefois de recevoir leur accord.

e) La proportionnalité

Le principe de proportionnalité prévoit que les moyens mis en œuvre doivent être proportionnels à l’objectif visé, ce qui revient à motiver le recours à la cybersurveillance.

Les TIC, outil de gestion des salariés

Les TIC sont utilisés par les employeurs comme outils pour gérer les salariés, tant pour le recrutement que durant toute la durée du contrat. Les dispositifs d’observation des salariés se multiplient dans les entreprises, ouvrant parfois la voie à des dérives attentatoires aux libertés.

Exemple : caméras, écoutes téléphoniques, biométrie.

1. Lors du recrutement

a) Une finalité limitée lors du recrutement

De plus en plus d’entreprises découvrent les facilités du recrutement et de la sélection via Internet, devenu un outil privilégié du e-recrutement. Les personnes chargées du recrutement doivent déclarer auprès de la CNIL les traitements automatisés d’informations nominatives, préalablement à leur mise en œuvre.

En outre, les informations demandées aux candidats à l’emploi ne peuvent avoir pour finalité que d’apprécier leur capacité à occuper l’emploi proposé ou leurs aptitudes professionnelles. Ces informations doivent avoir un lien direct et nécessaire avec l’emploi proposé. Le candidat doit de son côté, répondre de bonne foi a ces demandes d’information. Il est bien sûr interdit de collecter des données relatives à l’origine raciale ou ethnique des candidats à un emploi. Par contre, il est possible de recueillir les données telles que les nom et prénom du candidat à l’emploi, sa nationalité, son lieu de naissance, son adresse.

b) Les droits des candidats

Les candidats, comme toutes les personnes auprès desquelles sont recueillies des données à caractère personnel, disposent du droit d’être informés du caractère obligatoire ou facultatif des réponses, des personnes destinataires des informations, de l’existence d’un droit d’accès et de rectification.

La CNIL recommande que le candidat soit informé de la durée pendant laquelle les informations le concernant seront conservées et du droit dont il dispose d’en demander, à tout moment, la suppression.

Le responsable du traitement automatisé de données concernant les candidats ‘a un recrutement doit s’engager à prendre toutes les mesures de sécurité et de confidentialité.

2. La vidéosurveillance

a) Le droit de surveiller l‘activité des salariés

Conformément à l’article L 2323—32 du Code du travail, l’employeur a le droit de contrôler et de surveiller l’activité de son personnel durant le temps de travail. Mais il ne peut mettre en œuvre un dispositif de contrôle qui n’a pas fait l’objet, préalablement à son introduction, d’une information et d’une consultation du comité d’entreprise.

b) Le droit de regard de la CNIL

L’installation d’un système de vidéosurveillance relève, dans un lieu privé, de la compétence de la CNIL, car la mise en place d’enregistrements de vidéos constitue un traitement de données à caractère personnel. Une procédure d’autorisation doit être mise en place, s’il y a utilisation d’une technique biométrique.

La CNIL vérifie la proportionnalité et la pertinence du système au regard de la finalité indiquée, au moyen de divers critères : l’emplacement des caméras, leur nombre, leur orientation, leur fonctionnalité, la période de fonctionnement, l’enregistrement ou non du son, etc. Toutefois, ces dispositions ne sont pas obligatoires si les outils de vidéosurveillance sont utilisés pour surveiller des locaux dans lesquels les salariés ne travaillent pas.

c) L’information

L’employeur a également l’obligation d’informer les personnes physiques susceptibles d’être filmées. Il doit mettre en place un panneau d’information à l’entrée de l’entreprise, destiné au personnel et aux personnes extérieures, tels les visiteurs.

3. La géolocalisation des salariés

Les entreprises doivent aussi déclarer les traitements de données à caractère personnel dont la finalité est de localiser les véhicules des salariés grâce au système GPS.

Dans un premier temps, l’employeur, en tant que responsable du traitement, doit préalablement à la mise en œuvre de son dispositif de localisation en informer ses salariés.

Exemple : courriers remis en main propre, note d’information sur le tableau d’affichage.

À défaut, la collecte de ces informations est considérée comme déloyale et le dispositif ne peut s’appliquer aux salariés. L’employeur est également tenu de le déclarer à la CNIL et il ne pourra l’activer qu’après avoir reçu le récépissé de la Commission. La CNIL apprécie la proportionnalité des moyens mis en œuvre par rapport au but poursuivi.

Exemple : localiser le véhicule le plus proche des clients, lutter contre le vol, surveiller l’activité des salariés.

La nature des données pouvant être collectées par l’entreprise est déterminée en fonction des finalités du traitement. L’employeur pourra ainsi collecter le nom de l’employé, le numéro de la plaque d’immatriculation, le kilométrage, les temps d’arrêt, la vitesse (la CNIL recommande à l’employeur de ne pas relever la vitesse en temps réel du véhicule mais sa vitesse moyenne).