Toutes les actualités
25 jan 2018

Cybersurveillance : Quels droits et obligations pour l’employeur (et réciproquement) ?

Les conditions licites de la cybersurveillance du salarié

La mise en place par l’employeur de mesures de surveillance des communications électroniques des salariés doit être assortie de plusieurs conditions pour être licites. La Cour européenne des droits de l’homme impose ainsi des limites à ce type de contrôle, qui reste toutefois régi par chaque état membre. Quels sont donc les critères retenus et dans quels buts ?

Entretien avec Nathalie Devillier, professeur de droit à Grenoble Ecole de Management.

Pourquoi une techno-surveillance de l’employeur est-elle possible sur le lieu de travail ?

C’est une prérogative de l’employeur, conforme aux règles du droit du travail. A l’heure de l’e-réputation et des cyberattaques, l’employeur doit avoir la capacité d’exercer ce droit de regard. Mais cette prérogative est conditionnée à l’obligation d’informer et de consulter le Comité d’entreprise sur ces dispositifs de contrôle. Au-delà, il est obligatoire d’informer préalablement le salarié, via le règlement intérieur, une charte éthique ou un code de bonne conduite. Enfin, si l’employeur décide d’un suivi numérique, il a l’obligation d’effectuer une déclaration auprès de la CNIL, assortie de la tenue d’un registre interne sur toutes les collectes d’informations numériques.

Quels critères s’imposent à l’employeur pour surveiller l’activité numérique privée du salarié ?

La Cour européenne des droits de l’homme (CEDH), impose des limites à une telle surveillance : les Etats doivent veiller à ce que ces mesures restent proportionnelles et assorties de garanties procédurales. Il s’agit donc d’abord d’informer clairement les salariés de la nature de la surveillance, avant de la mettre en place. La CEDH distingue ensuite le flux et le contenu des communications. Ainsi, plus la méthode de surveillance du contenu est invasive, plus elle doit être sérieusement justifiée. La Cour invite aussi à privilégier la méthode la moins invasive plutôt que l’accès direct au contenu. Elle demande aussi à clarifier les conséquences pour le salarié concerné, ainsi que l’utilisation faite des résultats de l’opération de surveillance par l’employeur. La Cour garantit enfin au salarié la protection de ses communications électroniques, tant qu’il n’a pas été préalablement informé d’une telle intrusion, interdisant ainsi l’accès au contenu à son insu.

La techno-surveillance doit être « proportionnelle aux buts poursuivis par l’employeur » ? Pouvez-vous préciser ?

Selon la Cour, les sanctions, tel qu’un licenciement pour faute, peuvent être disproportionnées si le salarié n’a pas été informé préalablement, et été pris par « surprise ». En France, tous les e-mails, émis sur le lieu et durant le temps de travail, sont présumés être professionnels ; idem pour l’utilisation du mobile professionnel, la création d’un dossier sur son ordinateur professionnel, ou l’usage d’une clé USB… Si le principe de loyauté est respecté, l’employeur peut donc consulter le contenu des messages émis par un salarié afin de s’assurer qu’il n’y a pas de cryptage des messages par exemple, et qu’il ne fait pas usage de jeux sur Internet ou de sa page Facebook. Un exemple intéressant : en 2002, un salarié a décelé une faille de sécurité à la DSI de son entreprise, et il a été condamné. En droit du travail, la techno-surveillance du salarié permet d’abord d’assurer la sécurité de l’employeur.

Qu’en est-il par exemple d’un mail libellé « mail personnel », émis à partir de son poste de travail ?

C’est par définition une communication personnelle. En théorie, le salarié est protégé. Mais selon la CDEH, l’employeur peut prévoir l’ouverture d’un mail personnel, notamment si le règlement intérieur le prévoit, en vertu du contrôle de l’activité du salarié au regard de la cybersécurité. Le principe est toujours de trouver le juste équilibre entre la finalité et les motifs du contrôle.

Le traitement de l’usage des réseaux sociaux par le salarié est un peu spécifique

Il est particulier car il existe deux dispositions légales qui se contredisent. Dans le cadre de l’usage des réseaux sociaux, à titre personnel, auprès de la famille, des amis, le droit du travail prévoit que si j’exprime ce que je veux à titre privé, en l’occurrence sur mon entreprise, une tension existe entre la liberté d’expression et l’exercice loyal de mon métier. Ce qui a donné lieu à trois arrêts différents de Cours d’appel, concernant un message à connotations négatives sur l’entreprise, posté sur un mur Facebook. Ces arrêts divergents laissent à ce jour le juge, seul, à évaluer la diffamation à l’égard de l’entreprise. Et, de fait, la question est de savoir comment évaluer un post privé ou public. Il faudra sans doute clarifier encore l’obligation de réserve du salarié à l’égard de son entreprise.

Lire l'article dans Theconversation.com

Un règlement général sur la protection des données à caractère personnel

Le 25 mai 2018 marquera l’entrée en vigueur du règlement général sur la protection des données à caractère personnel. Négocié pendant plus de 10 ans, sur la problématique de la techno-surveillance sur le lieu de travail et du droit à l’accès aux données, il confirme que les Etats membres peuvent conserver leur législation nationale (en France, le code du travail), portant sur le contenu du contrôle. En revanche, l’entreprise doit être en conformité avec le règlement européen. C’est ainsi que les informations collectées sur les salariés doivent être en rapport avec l’activité professionnelle.

Parmi les points importants : l’entreprise doit spécifier à ses salariés qui va collecter l’information ; elle doit signifier un droit d’opposition pour motifs légitimes ; assurer la protection de la vie privée dès la conception des méthodes de techno-surveillance, en prévoyant notamment un délégué à la protection des données, qui œuvre en lien avec la DSI. Concernant les données sensibles par exemple, il est impératif de procéder à une étude d’impact. Mais aussi, de clarifier les responsabilités en cas de perte ou de vol des équipements numériques du salarié (le délai est de 72 heures pour notifier ces pertes), ou de cyberattaques.

L’entreprise se doit aussi d’assurer la protection des individus sur les données de santé, à l’issue par exemple d’une consultation médicale dans le cadre de la médecine du travail, pour pallier les risques de revente des données sanitaires à des organismes d’assurance par exemple.

Sur le même thème