26 janvier 2021 Par Adeline Daviaud, juriste chez Proginov Le contexte Alors, que beaucoup de salariés se retrouvent en télétravail sur cette deuxième période de confinement, certaines entreprises sont tentées de contrôler leur activité. Mais qu’en est-il ? Quels sont les droits de l’employeur en la matière ? Pour trouver des éléments de réponses, il faut s’intéresser aux règles en matière de droit du travail et de RGPD. Pour le moment, à notre connaissance, il n’existe pas de délibérations de la CNIL en matière de télétravail, cela viendra très probablement. Mais des délibérations existent pour la vidéosurveillance, la géolocalisation et tout récemment la pointeuse photo. Ceux-ci nous permettent de dégager des grands principes en matière de contrôle de l’activité des salariés, que l’on peut transposer à la situation du télétravail. Sur le principe, il faut préciser que l’employeur peut contrôler l’activité des salariés, qu’ils soient en télétravail ou non, mais avec certaines limites : le respect de la vie privée des salariés, l’information préalable des salariés et des représentants du personnel, et le respect des principes de loyauté et de proportionnalité des outils de contrôle. La vie privée Au travail, un salarié a le droit au respect de sa vie privée et au secret de ses correspondances privées. C’est pourquoi, le contrôle de l’activité des salariés doit toujours être justifié et strictement proportionné à la finalité recherchée par le dispositif mis en œuvre. L’employeur doit prouver le respect de cette obligation. Par exemple, un employeur ne peut pas consulter librement les courriels personnels de ses employés, même s’il a interdit d’utiliser les outils de l’entreprise à des fins personnelles. Information Le code du travail prévoit que les représentants du personnel doivent être informés et consultés, au préalable, « sur les moyens ou les techniques permettant un contrôle de l’activité des salariés ». Une information individuelle des salariés doit aussi être réalisée, avant la mise en place du dispositif de contrôle. L’information doit expliquer quelles sont les finalités poursuivies. Si l’employeur ne prévient pas les salariés à l’avance que ces outils peuvent permettre de contrôler l’activité (mesurer l’assiduité ou la productivité), alors la collecte des données est illicite, et les preuves d’un manquement du salarié seront inutilisables devant les juges. L’information peut être fournie dans une note interne dédiée, ou intégrée à la charte informatique. Tous les outils numériques (ou presque) permettent de contrôler l’activité des salariés grâce aux données d’utilisation qui sont collectées : la téléphonie, la messagerie électronique, la visioconférence, la navigation Internet, les logiciels métiers… Si l’employeur souhaite se réserver la possibilité d’utiliser les données collectées par ces outils pour contrôler et sanctionner les salariés, les formalités préalables d’information doivent être réalisées. Loyauté et proportionnalité Pour savoir si le dispositif envisagé est excessif ou proportionné, il faut se demander si l’objectif poursuivi pourrait être atteint avec des moyens moins invasifs pour les salariés. 1er exemple : la CNIL a considéré qu’un système de géolocalisation était excessif pour contrôler les temps de travail des salariés, dès lors qu’ils pouvaient remplir un déclaratif de leurs temps. 2e exemple avec les « keyloggers » qui permettent d’enregistrer à distance toutes les actions accomplies sur un ordinateur (frappes du clavier, ou clics et mouvements de la souris) : à moins de justifier de circonstances exceptionnelles, ce dispositif est interdit. Ainsi, l’employeur ne peut pas mettre en place un contrôle systématique, comme par exemple des copies au manager de tous les e-mails émis et reçus, ou une caméra qui filme en permanence le poste de travail, sauf si des circonstances particulières le justifient. Toujours dans cette logique de proportionnalité, les logs de connexion ne doivent pas être conservés plus de 6 mois. Le juge et la CNIL peuvent sanctionner les abus. La CNIL indique d’ailleurs que, dans l’hypothèse où des circonstances particulières justifient la mise en place d’un contrôle systématique, une analyse d’impact (AIPD) doit être réalisée. Par exemple, l’installation de la vidéosurveillance portant sur des employés manipulant de l’argent, la vidéosurveillance d’un entrepôt stockant des biens de valeur au sein duquel travaillent des manutentionnaires, ou encore l’installation de chronotachygraphes des véhicules de transport routier.
