Quel type de contenu souhaitez-vous chercher ?
ARTICLE CONSEIL

RGPD, email, caméra… idées reçues sur le contrôle des salariés

Publié le 25/07/2022 à 07:00 dans Contrat de travail.

Temps de lecture : 8 min

Le monde de l’entreprise est largement favorable à l’introduction des technologies de l’information et de la communication. Les idées reçues sont nombreuses, et la complexité de la législation sur le contrôle et la surveillance des communications, les modalités d’utilisation de l’ordinateur, de la messagerie par le salarié sur site ou en télétravail ne permettent pas toujours aux entreprises de démêler le vrai du faux. Testez vos connaissances avec ce conseil qui reprend les idées reçues les plus courantes sur l’utilisation de la messagerie, de la caméra, l’exploitation des données personnelles, etc.

RGPD : le droit à l’effacement des données personnelles ne peut pas être limité par l’employeur

FAUX

Le droit à l’effacement des données personnelles a été mis en place par le RGPD et permet au salarié de demander à son employeur d’effacer l’ensemble des données collectées qui le concernent.

Pourtant ce droit n’est pas sans conditions et ne concerne en réalité que les données qui ne sont plus nécessaires au regard de la finalité poursuivie par le traitement.

Ainsi, le droit à l’effacement ne s’applique pas lorsque la conservation des données répond à une obligation légale ou lorsqu’il s’agit de documents qui doivent être obligatoirement conservés par l’entreprise pendant une certaine durée.

Exemple

Le numéro de Sécurité sociale du salarié est obligatoire pour établir sa fiche de paie, il ne peut donc faire l’objet d’un effacement.

Les fiches de paie doivent être conservées pendant 5 ans.

De manière générale, la plupart des documents relatifs à la gestion du personnel ont une durée de conservation légale afin notamment de permettre à l’employeur de faire face à un contrôle de l’URSSAF ou de l’inspection du travail. Au-delà de cette obligation, l’employeur a intérêt à les conserver le plus longtemps possible et peut donc opposer ce motif au salarié qui sollicite l’effacement de ses données ;

  • lorsque le traitement mis en œuvre présente un caractère d’intérêt général ;
  • lorsque le traitement est nécessaire dans le cadre d’un procès.

Exemple

L’employeur peut refuser d’accéder à une demande d’effacement si elle le prive d’éléments nécessaires à sa défense dans le cadre d’un procès contre le salarié.

L’employeur peut lire l’ensemble des courriels qui émanent de la messagerie professionnelle du salarié

FAUX

Il convient de distinguer les deux types de courriers électroniques qui sont susceptibles de figurer dans la messagerie professionnelle du salarié :

  • les courriels professionnels (qui sont en lien avec l’emploi du salarié) : ils peuvent être ouverts par l’employeur dans la mesure où ils concernent directement l’entreprise ;
  • les courriels personnels (qui sont étrangers au fonctionnement de l’entreprise) : ils bénéficient du secret des correspondances et ne peuvent pas être consultés par l’employeur (Cass. soc., 26 janvier 2016, n° 14-15.360).

Les courriels qui émanent de la messagerie professionnelle du salarié, qu’ils aient été envoyés ou reçus, sont présumés avoir un caractère professionnel et l’employeur est en droit de les ouvrir sans la présence du salarié, sauf si ce dernier les a identifiés comme personnels (Cass. soc., 15 décembre 2010, n° 08-42.486).

Sont considérés comme « personnels » les messages identifiés par une mention spécifique telle que « personnel », « privé » ou « perso ».

En revanche, les mentions « mes documents », « confidentiel », « prénom du salarié » ou les initiales du salarié ne suffisent pas à identifier ces courriels comme constituant des messages personnels.

Le principe de secret des correspondances personnelles s’applique même si l’employeur a interdit d’utiliser les outils informatiques de l’entreprise à des fins personnelles.

La protection des courriels personnels cesse si une enquête judiciaire est en cours (par exemple lorsque le salarié est accusé de vol des secrets industriels de l’employeur) ou si l’employeur a obtenu une décision de justice qui l’autorise à accéder aux messages.

Pour éviter tout problème, le service RH a tout intérêt à inciter les salariés à identifier leurs messages personnels :

  • en précisant dans leur objet « Personnel » ou « Privé » ;
  • en les stockant dans un répertoire intitulé « Personnel » ou « Privé ».

Attention

Dans tous les cas, l’employeur doit avoir préalablement informé les salariés d’un contrôle de leurs messageries professionnelles, dans les mêmes conditions que tout dispositif de surveillance. À défaut, le dispositif est illicite et ne pourra pas être utilisé à l’appui d’une sanction disciplinaire ou pour motiver un licenciement. En outre, l’employeur risque d’être sanctionné par la CNIL (en pourcentage du chiffre d’affaires) et encourt également des sanctions civiles et pénales pour atteinte à la vie privée (jusqu’à 1 an d’emprisonnement et 45 000 euros d’amende).

L’employeur peut exiger du salarié qu’il communique son mot de passe

VRAI

Afin de garantir le respect des droits des salariés, mais également d’assurer une certaine traçabilité des interventions sur les outils informatiques de l’entreprise, la CNIL préconise que chaque salarié dispose d’un mot de passe individuel suffisamment complexe qui doit être changé tous les 3 mois.

La CNIL considère également que les identifiants et mots de passe (session Windows, messagerie, etc.) sont confidentiels et ne doivent pas être transmis à l’employeur.

Les mots de passe sont personnels et permettent de savoir ce qu’un utilisateur donné a pu faire sur le réseau de l’entreprise. Le fait d’utiliser le mot de passe de quelqu’un d’autre peut être préjudiciable au salarié.

Toutefois, les tribunaux considèrent que la communication du mot de passe d’un salarié à son employeur est possible dans certains cas particuliers.

L’employeur peut avoir connaissance du mot de passe d’un salarié absent si ce dernier détient sur son poste informatique des informations nécessaires à la poursuite de l’activité de l’entreprise et qu’il ne peut pas accéder à ces informations par d’autres moyens.

En effet, l’utilisation d’un mot de passe ne doit pas avoir pour effet de bloquer tout accès de l’employeur à l’outil informatique qu’il met à disposition du salarié.

L’ordinateur professionnel doit être accessible à l’employeur, que le salarié soit ou non présent sur le lieu de travail. Les documents, fichiers et messages qu’il contient sont d’ailleurs présumés être professionnels et l’employeur y a donc légitimement accès. La Cour de cassation reconnaît que le licenciement pour faute grave des salariés qui refusent délibérément de communiquer leur mot de passe à l’employeur lorsqu’ils sont en congés ou en arrêt maladie est justifié lorsque cela révèle une volonté de bloquer le fonctionnement de l’entreprise (Cass. soc., 23 mai 2012, n° 11-11.522, et 19 février 2014, n° 12-27.611).

Dès lors, un salarié qui refuse de communiquer son code est fautif dans la mesure où il entrave le bon fonctionnement de l’entreprise. L’utilisation du mot de passe ne doit en effet pas avoir pour fonction de soumettre l’accès aux fichiers à l’autorisation du salarié ni d’en interdire l’accès à l’employeur.

Cependant, attention, le fait d’utiliser le mot de passe du salarié pour accéder à son ordinateur ne permet pas pour autant à l’employeur de consulter les fichiers qui y ont été identifiés comme « personnels » ou « privés ». Ces derniers restent protégés par le principe de secret des correspondances privées.

L’employeur ne peut pas coupler l’écoute des conversations téléphoniques à un système de capture de l’écran professionnel du salarié

VRAI

Le couplage des actions informatiques et des conversations téléphoniques consiste à enregistrer l’image de ce qui apparaît à l’écran de l’ordinateur du salarié à travers des captures d’écran, parallèlement à l’enregistrement des conversations téléphoniques.

Ce dispositif peut toutefois conduire à capter par inadvertance des éléments d’ordre privé (courriels personnels, conversations de messageries instantanées, etc.).

C’est la raison pour laquelle la CNIL l’interdit et considère en effet que, quelle que soit la finalité poursuivie, une capture d’écran est susceptible de n’être ni pertinente ni proportionnée puisqu’il s’agit d’une image figée d’une action isolée de l’employé, qui ne reflète pas fidèlement son travail.

En revanche, est autorisé le couplage entre l’enregistrement des conversations téléphoniques et l’enregistrement vidéo de l’écran, sous certaines conditions strictes et uniquement lorsqu’il est utilisé pour le seul objectif de formation du personnel.

Il est alors impératif que l’enregistrement vidéo se déclenche au décrochage du combiné téléphonique et s’achève dès le raccrochage.

Les caméras de vidéosurveillance peuvent comporter des microphones

FAUX

Le dispositif de vidéosurveillance doit répondre à l’objectif précis d’assurer la sécurité des biens et des personnes. Son utilisation doit être proportionnée au but recherché.

Il n’est donc pas judicieux, en plus de filmer, de prévoir une écoute ou un enregistrement sonore des locaux.

Ce dispositif est particulièrement intrusif pour les salariés et ne présente, sauf exception, aucun intérêt au regard de l’impératif de sécurité poursuivi.

C’est la raison pour laquelle la CNIL a sanctionné à plusieurs reprises des dispositifs de vidéosurveillance qui associaient l’enregistrement de l’image et du son car elle a considéré que la finalité poursuivie était en réalité de surveiller les salariés et d’écouter leurs conversations.

Exemple

Une entreprise met en œuvre un dispositif comportant huit caméras (chacune équipée d’un microphone permettant l’écoute sonore et d’un haut-parleur) filmant huit salariés, soit une caméra par salarié. Ce dispositif est manifestement excessif, puisque le dirigeant de la société place ses salariés sous une surveillance constante et permanente.

Les Editions Tissot vous proposent de continuer à tester vos connaissances en téléchargeant l’intégralité de notre dossier :