Cybersurveillance des salariés : ce qu’il faut savoir

Au sommaire :

• D’après une étude réalisée en 2012 par l’éditeur de surveillance et de filtrage de contenus internet Olfeo, le temps moyen passé sur internet par jour et par salarié s’établirait à 97 minutes, dont plus de la moitié consacré à des usages personnels. Des u
• L’utilisation d’internet par les salariés : quels risques pour les employeurs ?
• Réglementer l’accès personnel à internet et à la messagerie électronique, comment procéder ?
• Mettre en place des outils de cybersurveillance, quelles précautions prendre ?

Mettre en place des outils de cybersurveillance, quelles précautions prendre ?

Dans le cadre de la surveillance de la navigation des salariés sur la toile, l’employeur doit respecter certaines règles.

Nul ne conteste la faculté reconnue à un employeur de contrôler l’activité de ses salariés pendant leur temps de travail. Mais dès lors qu’il met en place un dispositif de contrôle de leur activité, il est soumis à une procédure astreignante. Toutefois, lorsque ces outils de contrôle n’ont vocation que d’assurer la sécurité informatique de l’entreprise, les formalités sont allégées.

Les outils destinés à contrôler l’activité des salariés

En vertu du Code du travail, l’introduction dans l’entreprise de tout système de contrôle de l’activité des salariés doit d’abord faire l’objet d’une information et d’une consultation du comité d’entreprise, lorsqu’il en existe un. Peu importe, à cet égard, que le système de contrôle serve également à d’autres usages (assurer la sécurité du système informatique ou la formation d’opérateurs de téléphonie, par exemple).

Important : la loi exige l’information et la consultation du comité d’entreprise. L’employeur ne peut donc se borner à informer les membres du CE, mais doit solliciter leur avis exprès sur le dispositif qu’il envisage de mettre en place.

La preuve d’un agissement répréhensible obtenue grâce à un système de contrôle mis en place sans consultation du comité d’entreprise est considéré par les tribunaux comme irrecevable. Cette absence de consultation est, par ailleurs, passible d’une condamnation pénale pour délit d’entrave.

À noter : s’il n’existe pas de comité d’entreprise, le ou les délégués du personnel peuvent toutefois agir en justice pour faire cesser toute atteinte aux droits et aux libertés individuelles des salariés, occasionnée en particulier par un système de contrôle informatique.

De plus, le Code du travail prévoyant que « aucune information concernant personnellement un salarié […] ne peut être collectée par un dispositif qui n’a pas été porté préalablement à la connaissance du salarié », un employeur ne peut donc logiquement mettre en place un système de cybersurveillance sans informer préalablement les salariés concernés de son existence et de ses modalités.

Enfin, dès lors que les outils de cybersurveillance entraînent un traitement de données à caractère personnel (ce qui sera généralement le cas pour que le contrôle soit effectif) une déclaration de ce traitement à la Cnil devra être effectuée.

À savoir : les entreprises peuvent être dispensées de cette déclaration si elles prennent le soin de nommer un correspondant Informatique et Libertés dans les conditions requises par la loi.

Les outils destinés à assurer la sécurité informatique

Les administrateurs informatiques, dont le rôle est d’assurer le fonctionnement normal et la sécurité des réseaux et systèmes informatiques de l’entreprise, ont accès régulièrement à des informations relatives à l’activité des salariés (messagerie, connexion à internet, fichiers archivés sur le réseau ou le disque dur, etc.).

Étant amenés à traiter des informations personnelles, ils sont soumis à une obligation de confidentialité qui pourra être consignée dans le contrat de travail, le règlement intérieur ou dans une charte d’utilisation des outils informatiques annexée à ce règlement.

Pour réaliser leurs missions, ces administrateurs-réseaux utilisent généralement des outils tels que des logiciels de maintenance, de prise en main à distance ou encore des fichiers de journalisation.

Précision : les fichiers de journalisation recensent et enregistrent toutes les connexions ou les tentatives de connexion à internet des utilisateurs.

Tant que ces outils ne sont pas utilisés pour collecter des informations individuelles, poste par poste, dans le but de contrôler l’activité des utilisateurs, une déclaration à la Cnil n’est en principe pas obligatoire.

Attention : lorsque les fichiers de journalisation sont associés à un traitement automatisé d’informations nominatives afin de garantir ou de renforcer le niveau de sécurité de ce dernier, ils doivent cependant être portés à la connaissance de la Cnil en même temps que la déclaration du traitement automatisé d’informations nominatives.

En revanche, même s’il n’existe aucune volonté patronale de contrôler l’activité des salariés, dès lors que l’usage de ces outils informatiques entraîne la collecte d’informations concernant personnellement un salarié, le Code du travail impose à l’employeur d’informer tout salarié susceptible d’être concerné de son projet d’introduire un dispositif entraînant une collecte d’informations personnelles.

En pratique : pour éviter toute difficulté, cette information doit être réalisée par écrit auprès de chaque salarié.

Publié le mardi 23 avril 2013 - © Copyright Les Echos Publishing - 2013