Digital Society Forum Digital Society Forum
Dossier 20/04/2015

Poser des limites à la surveillance en entreprise

Se renseigner oui, espionner non. Pour lutter contre les abus de la surveillance au sein des organisations, la Cnil veille au grain. Les entreprises, elles, s’adaptent à une circulation des données croissante entre sphères personnelle et professionnelle.

A priori, les règles sont simples : au travail, tout ce qui ne relève pas du monde professionnel relève du privé. Ainsi l'article 9 du Code civil prévoit la protection de la vie privée, mais sans plus de précisions. Car le lien de dépendance qu’instaure le contrat de travail soumet les activités du salarié à la surveillance de l’employeur. Maître Christophe Noël, avocat en droit social, souligne ainsi que « l'employeur a le droit de se renseigner sur un salarié car il a un pouvoir de direction. Mais il n'a pas le droit de l'espionner (à son insu donc), car c'est un procédé déloyal. »

Mais où placer le curseur entre les potentielles atteintes à la vie privée et les besoins de sécurité légitimes des employeurs ? Ainsi, que penser des boîtiers installés sur les véhicules des routiers ou des commerciaux qui enregistrent les itinéraires suivis, les temps de pause, ou la vitesse ? « D'une manière générale, l'employeur doit toujours respecter un équilibre entre la nécessité du contrôle, par exemple la sécurité des marchandises transportées, et les droits individuels des salariés ; l'idée étant d'adopter la solution la moins intrusive possible » résume Wafae El Boujemaoui, chef du service des questions sociales et RH à la Cnil.

« C’est bien souvent une méconnaissance de la loi »


La Commission a d’ailleurs souligné la nécessité de soumettre l’usage des nouvelles technologies au principe de proportionnalité. Elle est par exemple très fréquemment saisie par les salariés sur la question de la vidéo surveillance puisque selon son rapport d’activité annuel, un peu plus de 300 plaintes ont été déposées en 2013 à ce sujet. Et lorsque ce principe de proportionnalité n'est pas respecté, l'entreprise peut être condamnée : cela a été le cas pour Effia Services, société qui avait mis en place un badgeage biométrique pour contrôler le temps de travail de ses salariés.
Au micro de France Culture, Mathias Moulin, adjoint à la direction de la Cnil chargée des relations avec les usagers et du contrôle, rassure : « C’est bien souvent une méconnaissance de la loi parce que la loi Informatique et libertés est assez complexe [...] Tout le monde n’est pas armé pour faire face aux exigences légales [...] 90% des contrôles se terminent par une mise en conformité de l’organisme après un simple échange de courrier, les cas de mise en demeure ou de sanctions sont assez résiduels. »

Des recommandations simples pour éviter les abus


Si certaines affaires d'espionnage ont fait la Une des journaux – fin février 2012, on apprenait qu’Ikea aurait consulté illégalement des fichiers de police afin de contrôler le pedigree judiciaire de son personnel et de candidats à l'embauche, par exemple – les abus demeurent. Certaines recommandations simples peuvent être suivies, comme dans le cas de la messagerie. À ce sujet, la Cnil rappelle que tout message reçu ou envoyé depuis l'ordinateur mis à disposition par l’employeur a, par principe, un caractère professionnel, sauf si le message est clairement identifié comme personnel ; si l’objet du message le précise clairement, l’employeur n'a pas le droit de l'ouvrir et de le lire. Dans le cas de la vidéo-surveillance, la Cnil souligne que l'employeur « doit absolument informer chaque salarié et consulter les représentants du personnel avant l’installation des caméras. »

L’entreprise s’adapte au travailleur connecté


À l’ère du travailleur connecté, qui brouille les frontières entre sphères privée et professionnelle, les entreprises doivent s’adapter. En témoigne le phénomène du Byod (BringYourOwnDevice), soit l’utilisation des smartphones ou ordinateurs personnels dans un cadre professionnel : « Pour l'entreprise, le challenge réside dans la capacité à maintenir une politique cohérente de sécurité et d'usage entre les différents terminaux » explique Jean-François Audenard, Cyber Security Advisor pour Orange Business Services. Le Byod vient en complément des téléphones mis à disposition par l’entreprise et permet une plus grande organisation du travail des salariés. Seules conditions : le mobile doit être compatible avec les logiciels utilisés en interne, référencé en ligne dans les fichiers de l’entreprise ; de plus, le salarié doit signer une charte car la circulation de données de l’organisation au sein d’un terminal non contrôlé est source de risques.

Aujourd’hui, la surveillance au sein des organisations semble bien cadrée, entre aspirations des employeurs à la sécurité et préservation de la vie privée. Mais cette surveillance pourrait, dans le futur, concerner non plus les actions des employés mais leur être. Certaines entreprises s’intéressent ainsi à l’essor du « quantified self » ou « mesure de soi », via des objets connectés majoritairement en lien avec la santé. Un moyen de vérifier la productivité des salariés en les poussant à être en bonne santé. Ainsi, aux Etats-Unis, le magazine Slate explique que « Houston Methodist, propriétaire d'une chaîne d'hôpitaux, s'est procuré 6 000 Fitbits (bracelets connectés mesurant le sommeil du porteur, son activité physique, etc.) et offre à ses employés la chance de gagner 10 000 dollars s'ils marchent davantage que les directeurs de l'entreprise. » Le monitoring de l’intime au service de l’entreprise ?


Les commentaires

Pour réagir à cet article, je me connecte Je m’inscris

Soyez le premier à réagir !

S’inscrire et participer

Inscrivez vous sur le Digital Society Forum pour commenter et réagir sur les articles et être informé des événements à venir

DSF