Représentation du personnel

Article ancien - Il se peut que les informations et les liens ne soient plus à jour

Nouvelles technologies : règles et limites posées par la CNIL

Publié le par dans Comité d’entreprise.

Les nouvelles technologies s’immiscent de plus en plus dans l’entreprise. Développées initialement au profit de la réalisation du travail (l’ordinateur est devenu l’outil de travail le plus répandu), elles connaissent aujourd’hui un développement considérable à des fins de surveillance, de contrôle et d’évaluation des salariés.

Utilisés par les employeurs, ces procédés permettent de créer des fichiers informatisés qui sont susceptibles de porter atteinte aux droits et libertés des salariés.

Ces traitements sont donc soumis aux règles particulières de la loi Informatique et Libertés de 1978 ainsi qu’aux normes élaborées par la CNIL (Commission nationale informatique et libertés).


La connaissance de ces règles, en plus de celles du Code du travail, constitue de nouveaux leviers efficaces au profit des représentants des salariés dans l’exercice de leurs prérogatives de contrôle des décisions de l’employeur.

   


Le respect des droits et des libertés des salariés constitue une mission fondamentale du rôle de représentant du personnel. Pour vous aider dans cette mission, et pouvoir répondre aux questions des salariés, les Editions Tissot vous proposent leur publication « Les représentants du personnel et la défense des salariés ».

Les règles communes à l’introduction des nouvelles technologies

Les droits de l’employeur qui souhaite introduire dans l’entreprise un procédé de contrôle de l’activité et/ou d’évaluation sont encadrés, car il existe un risque d’atteinte aux droits et libertés des salariés dans l’entreprise (atteinte à la vie privée, à la libre circulation, au droit d’expression, etc.).

Respect des droits et libertés fondamentales

L’employeur ne peut pas apporter de restrictions aux droits des personnes et aux libertés individuelles et collectives qui ne seraient pas justifiées par la nature de la tâche à accomplir, ni proportionnées au but recherché (Code du travail, art. L. 1121–1). En d’autres termes, l’atteinte aux droits et libertés qui peut résulter du procédé mis en place devra être objectivement justifiée et raisonnable.

Respect des règles et procédures de la CNIL

Des obligations supplémentaires pèsent sur l’employeur dès lors qu’il s’agit d’un procédé de collecte et de traitement d’informations nominatives, notamment par des fichiers informatiques.

Selon les cas, il devra accomplir soit une déclaration simplifiée, soit une déclaration dite normale, voire, le cas échéant, une demande d’autorisation. Il pourra être exonéré de déclaration dans des cas précis.

La CNIL a précisé que ces traitements ne peuvent porter que sur des données à caractère personnel adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.

Pour en savoir plus sur la CNIL, ses missions, ses moyens d’action, les déclarations qui doivent lui être envoyées et les cas de dispense, téléchargez notre dossier spécial :




Obligation d’information et consultation

L’employeur qui souhaite introduire des nouvelles technologies dans l’entreprise doit informer et consulter les représentants du personnel et informer les salariés.

Le comité d’entreprise (CE) doit être informé et consulté :

  • préalablement à tout projet important d’introduction de nouvelles technologies, lorsque celles-ci sont susceptibles d’avoir des conséquences sur l’emploi, la qualification, la rémunération, la formation ou les conditions de travail. L’employeur doit communiquer les éléments d’information au moins un mois avant la réunion (art. L. 2323–13) ;
  • préalablement à leur utilisation puis en cas de modification des techniques suivantes (art. L. 2323–32) :sur les moyens et techniques permettant un contrôle de l’activité des salariés, sur les méthodes et les techniques de recrutement, sur les traitements automatisés de gestion du personnel.

Le CHSCT doit également être consulté :

  • au titre de ses compétences générales lorsque l’introduction de ces nouvelles technologies constitue un « aménagement important modifiant les conditions de travail, de santé et de sécurité » (art. L. 4612–8) ;
  • dans le cadre d’une consultation spécifique sur le projet, et lors de l’introduction de nouvelles technologies, sur les conséquences de ce projet ou de cette introduction sur la santé et la sécurité des travailleurs (art. L. 4612–9). Lorsqu’il n’existe pas de CHSCT dans l’entreprise, ce sont les DP ou, à défaut, les salariés qui sont consultés.

Le législateur a prévu une possibilité de recourir à une expertise technique rémunérée par l’employeur (art. L. 4614–12 pour le CHSCT et L. 2325–38 pour le CE dans les entreprises de plus de 300 salariés). Les représentants du personnel ne doivent donc pas hésiter à faire usage de ce droit afin d’appréhender l’ensemble des conséquences de l’introduction de nouvelles technologies.

S’agissant de l’articulation des consultations des différents comités :

  • le CHSCT doit être consulté avant d’engager la procédure d’information/consultation devant le CE ;
  • le ou les comités doivent être consultés préalablement à l’accomplissement des formalités auprès de la CNIL.

Le comité pourra par la suite obtenir la preuve du dépôt du dossier auprès de la CNIL (récépissé de déclaration ou délibération d’autorisation) mais également de son éventuelle réaction. Dans les cas où la CNIL manifeste des observations, il sera nécessaire de saisir de nouveau le comité pour une seconde consultation, puisque le projet initialement présenté est ou sera modifié.

La consultation des différents comités revêt un enjeu particulier notamment en matière de contrôle des salariés. La CNIL rappelle expressément que le recours à des procédés de contrôle tels que la vidéosurveillance ou la géolocalisation ne peut être que subsidiaire. Cela signifie que c’est parce qu’il n’existe aucune autre solution que l’employeur peut recourir à ces techniques.

Ainsi, une analyse doit être menée afin d’identifier s’il n’existe pas de solutions alternatives. Les représentants du personnel doivent donc être vigilants et exiger de l’employeur qu’il justifie de l’absence d’autres solutions.

Ce n’est qu’après avoir satisfait à l’ensemble de ces procédures que l’employeur pourra valablement informer le salarié de la mise en place d’un procédé de surveillance ou qu’il fait l’objet d’un traitement automatisé dans le cadre d’une évaluation.

Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été préalablement porté à sa connaissance (art. L. 1222–4). Lorsqu’il s’agit d’un traitement automatisé de données concernant le salarié, le contenu et les modalités de l’information ont été précisés par la CNIL : identité du responsable du traitement, finalités poursuivies, destinataires des données, etc.


Les limites particulières imposées par la CNIL aux nouvelles technologies

La CNIL définit les limites et les seules finalités admissibles pour les différents modes de contrôle ou d’évaluation des salariés. Dès lors qu’une autre finalité est poursuivie, le système est illicite.

Les représentants des salariés doivent se servir des exigences de la CNIL comme de leviers juridiques leur permettant soit de stopper le projet de l’employeur, soit de le rendre conforme aux droits des salariés.

La CNIL pose une limite générale : aucun dispositif ne doit permettre un contrôle général et permanent des salariés.

Exemples en matière de surveillance

Conformément à son pouvoir de direction, l’employeur peut surveiller et contrôler la bonne exécution du travail. Il peut dès lors être tenté d’utiliser des procédés tels que la vidéosurveillance, l’écoute et l’enregistrement, la géolocalisation, etc. Il n’a cependant pas toute liberté en la matière.

Les contrôles d’accès à l’entreprise

Les systèmes de badge ou la biométrie ne peuvent avoir pour finalité que :

  • la gestion des horaires et des temps de présence ;
  • le contrôle des accès et sorties de locaux limitativement identifiés de l’entreprise car faisant l’objet d’une restriction de circulation ;
  • le contrôle de l’accès au restaurant et son paiement ;
  • le contrôle de l’accès des visiteurs.

Les badges ne doivent pas entraver la liberté de circulation des salariés protégés dans l’exercice de leurs fonctions ou permettre de contrôler les déplacements à l’intérieur du lieu de travail (sauf dans les cas de restriction de circulation justifiée par des mesures de sécurité).

Les contrôles par cyber-surveillance

L’employeur peut mettre en place des logiciels permettant de surveiller les connexions des salariés à internet (sites visités, temps passés, messages envoyés). Il peut en limiter l’accès, ce qui ne constitue pas en soi une atteinte à la liberté des salariés.

Toutefois, le CE doit impérativement être informé et consulté sur les modalités de contrôle de l’utilisation d’internet. Les salariés doivent également être informés. Les traitements relatifs à la messagerie électronique professionnelle permettant le contrôle individuel de l’activité des salariés sont en revanche strictement interdits.

Les contrôles par vidéosurveillance

Les enregistrements de vidéosurveillance ne sont considérés comme des informations nominatives, au sens de la loi Informatique et Libertés, que s’ils sont utilisés pour la constitution d’un fichier nominatif. Dans ce cas, une déclaration à la CNIL est obligatoire lorsqu’il s’agit d’un espace privé qui n’accueille pas du public.

Si le lieu est ouvert au public, il faut une autorisation préfectorale.

Constituent des systèmes de vidéosurveillance illégaux :

  • l’installation de caméras dans les vestiaires, les toilettes, à l’insu des salariés, non visibles ;
  • les systèmes permettant d’enregistrer de façon spécifique les allées et venues des personnes se rendant dans un local syndical ;
  • la vidéosurveillance de salariés filmés en permanence sans justification par des motifs de sécurité ou de lutte contre des dégradations matérielles.

Les images ne doivent pas être conservées plus d’un mois.

Les contrôles par géolocalisation

Ce procédé de contrôle n’est admissible que dans de strictes conditions. La géolocalisation ne peut avoir pour finalité que d’assurer :

  • la sûreté ou la sécurité de l’employé, des marchandises ou du véhicule dont il a la charge ;
  • une meilleure allocation des moyens pour les prestations à accomplir en des lieux dispersés ;
  • le suivi et la facturation d’une prestation de transport des personnes ou de marchandises ou d’une prestation de service directement liée à l’utilisation du véhicule ;
  • un suivi du temps de travail lorsqu’il ne peut être réalisé autrement.

Autrement dit, si le dispositif vise une réduction des coûts, une amélioration de la rentabilité ou de la gestion du temps de travail, il est illicite.

Ce système est également interdit pour les salariés qui disposent d’une grande liberté dans l’organisation de leurs déplacements (VRP, visiteurs médicaux, etc.). Enfin, le système de géolocalisation ne peut pas permettre de constater des infractions au Code de la route et doit pouvoir être désactivé en dehors des heures de travail.

La CNIL rappelle que, lorsque les salariés sont investis d’un mandat électif ou syndical, ils ne peuvent pas être soumis à un dispositif de géolocalisation lorsqu’ils agissent dans le cadre de l’exercice de leur mandat. Ainsi, ils doivent avoir la possibilité de désactiver la fonction géolocalisation des véhicules.

Exemples en matière d’évaluation des salariés

Doivent être portés préalablement à la connaissance des salariés :

  • les informations qui seront collectées ;
  • la finalité poursuivie ;
  • le caractère obligatoire ou non des réponses ;
  • les conséquences du défaut de réponse, etc.

Les informations recherchées doivent avoir pour seule finalité l’appréciation des aptitudes professionnelles des salariés et non des éléments liés à la vie privée et être pertinentes au regard de la finalité poursuivie.

Les salariés doivent disposer d’un droit d’accès aux données d’évaluation les concernant et aux valeurs de classement annuel (« ranking ») lorsqu’elles ont une incidence en matière de promotion, d’augmentation ou de changement d’affectation. Les données d’évaluation ne peuvent en principe être conservées que pendant la durée d’emploi du salarié.

Si le système d’évaluation est informatisé, l’employeur doit effectuer une déclaration auprès de la CNIL (si le support d’entretien annuel d’évaluation est un document manuscrit, les fichiers papiers n’ont pas à être déclarés, mais ils doivent être constitués et utilisées conformément aux principes et exigences de la CNIL).

Sanctions et intervention des représentants du personnel

L’employeur qui ne se conforme pas aux exigences de la CNIL (absence de déclaration, finalités non-conformes, absences d’information et consultation, etc.) et à la loi est passible de sanctions.

Attention, lorsque le CE estime que le projet qui lui est soumis est illicite, il ne peut pas pour autant refuser de donner un avis. Le CE doit alors rendre un avis défavorable et motivé en relevant les éléments et les dispositions illicites. Si l’employeur met tout de même en œuvre ce projet, il appartiendra aux représentants du personnel d’engager une procédure devant le juge des référés du tribunal de grande instance pour faire interdiction à l’employeur de poursuivre son projet, au besoin sous astreinte.

Le CE devra également vérifier que l’employeur a effectué la bonne procédure de déclaration car, à défaut, le système mis en place est illicite.

De plus, les salariés sont en droit de refuser de se soumettre à un dispositif de contrôle ou d’évaluation illicite et ne sauraient être sanctionnés pour ce refus. Les éléments de preuve retenus à l’encontre d’un salarié par un dispositif illicite (installation d’une vidéosurveillance sans information des salariés) ne sont pas recevables et ne peuvent pas justifier une sanction.

Enfin, les délégués du personnel pourront exercer leur droit d’alerte en cas d’atteinte aux libertés individuelles prévues par l’article L. 2313–2 du Code du travail.

Qu’en est-il de l’utilisation des nouvelles technologies par les représentants du personnel ?

Quelles sont les précautions à prendre en matière de contrôle des communications, de l’accès à l’intranet et à la messagerie de l’entreprise et concernant la création d’un site Internet ?

Nos réponses dans ce dossier spécial :


Editions Tissot

Newsletter

Recevez notre sélection d’articles par e-mail.