L’employeur doit pouvoir contrôler l’activité de ses salariés, et ce, même dans une situation de télétravail de crise comme actuellement.
Mais le confinement et l’assouplissement des règles ne justifieront jamais que le télétravail puisse devenir espionnage ! L’employeur doit respecter les libertés et droits fondamentaux de ses collaborateurs, mais aussi les prescriptions du RGPD. De plus, le confinement n’autorise pas à négliger le rôle des représentants des collaborateurs, qui doivent pouvoir continuer à être consultés pour mettre en œuvre le télétravail !

Aux Etats-Unis, les ventes de logiciels de surveillance du télétravail ont explosé.

Avec ces logiciels, l’employeur peut enregistrer les sites internet que le salarié consulte, le nombre de courriels qu’il envoie ou même tout ce qu’il tape sur son clavier. L’entreprise peut également réaliser régulièrement des captures d’écran. Des salariés peuvent être contraints de se connecter en permanence en visioconférence. Un mur d’images met à jour les photos des collaborateurs toutes les cinq minutes par exemple et le responsable n’a plus qu’à cliquer sur les photos pour activer à tout moment une visioconférence.

Des chefs d’entreprise américains vantent les mérites de ces méthodes, prétextant conserver un lien social, un esprit d’équipe. Mais il ne faut pas se leurrer. L’objectif est d’abord de maintenir une certaine productivité et d’observer la capacité des salariés à travailler en autonomie.

Ainsi, le 16 mars dernier, un directeur d’une banque américaine a envoyé un courriel à ses employés en écrivant : « Nous avons vu que des personnes profitaient abusivement des modalités flexibles de travail ». Il justifie ainsi le recours à un logiciel de suivi d’activité et prévient ses employés qu’ils pourront faire l’objet de « mesures disciplinaires pouvant aller jusqu’au licenciement ».

En France, sur internet, nous pouvons trouver des logiciels espions qui ciblent surtout les petites entreprises françaises, moins armées pour connaître les règles juridiques, et qui n’ont pas mis en place une charte pour organiser le télétravail. Ces sites leur proposent des keyloggers invisibles pour vérifier que les employés « se portent bien » en surveillant leur compte Skype ou leur compte Mail !

Quelle surveillance du télétravail envisageable en France ?

Depuis le passage au stade 3 de l’épidémie, la mise en œuvre du télétravail est impérative dès lors que les fonctions le permettent. Hier, 1,8 millions de salariés télétravaillaient en France ponctuellement. Aujourd’hui 5 millions de salariés seraient en télétravail à 100%.

Mais comme le confinement dure, un relâchement des télétravailleurs serait constaté. Le télétravail n’est pas toujours aisé à concilier avec la vie familiale. Par ailleurs, le taux de salariés en détresse psychologique augmenterait d’autant que certains seraient dans une logique de surinvestissement.

Il semblerait qu’en France, les employeurs se contentent de fixer une réunion en audio ou en visio, chaque matin à 9h par exemple, pour lutter contre ce relâchement. Pourraient-ils être plus intrusifs ? Des entreprises scanneraient les messageries par exemple.

Que peuvent faire les entreprises pour contrôler leurs salariés sans les espionner ? Effectuer des contrôles par téléphone, systématiques ou par sondage ? Comptabiliser les flux de données avec le réseau de l’établissement ? Contrôler le nombre, voire le contenu des courriels ? Installer un logiciel pour comptabiliser le temps de connexion ou le nombre de fichiers sur lesquels l’utilisateur est intervenu ?

Une jurisprudence de la Cour de Cassation est bien établie lorsqu’il s’agit d’une surveillance sur le lieu de travail : les connexions à internet sont réputées avoir un caractère professionnel, les e-mails, SMS ou documents également sauf ceux identifiés comme « personnels ». Mais qu’en est-il lorsque le salarié ou l’agent travaille chez lui ?

Le cadre juridique

Le télétravail est régi par le Code du travail, lequel, depuis la loi Warsman du 22 mars 2012, reprend partiellement un accord national interprofessionnel du 19 juillet 2005. En outre, le dispositif est complété par des accords de branche ou d’entreprise.

L’article L. 1222-11 du Code du travail prévoit d’ailleurs qu’« en cas de circonstances exceptionnelles, notamment de menace de pandémie, ou de force majeure, la mise en œuvre du télétravail peut être considérée comme un aménagement du poste du travail ».

Cela implique que le salarié peut être sanctionné en cas de refus de télétravailler alors que, hors contexte épidémique, le refus ne pourrait être un motif de rupture du contrat de travail.

Dans le secteur public, le télétravail a été introduit par la loi Sauvadet du 12 mars 2012 et ses conditions et modalités de mise en œuvre ont été définies par un décret d’application du 11 février 2016 avec des déclinaisons pour chacune des fonctions publiques. Pour la fonction publique hospitalière, cela relève d’une décision de l’autorité investie du pouvoir de nomination.

Il existe également un guide d’accompagnement de la mise en œuvre du télétravail dans la fonction publique, édité en mai 2016.

Au-delà des textes, l’esprit du télétravail a véritablement changé. Même s’il n’existe pas un droit au télétravail, la décision arbitraire de l’employeur laisse place aujourd’hui à un dialogue et même à l’obligation, de motiver une décision de refus.

Une mise en œuvre sans formalisme particulier pendant le confinement

Qu’il s’agisse du secteur privé ou du secteur public, le contexte du Covid-19 permet de mettre en place le télétravail sans formalisme particulier, autrement dit de manière improvisée. Cela étant, rien n’empêche l’employeur de rédiger une note interne pour informer ses salariés ou agents des modalités de contrôle du temps de travail et pour leur préciser ses attentes en termes de charge de travail, de normes de production et/ou de critères de résultats.

L’employeur a le droit et parfois le devoir de contrôler l’activité de ses collaborateurs. En revanche, si la période de grand confinement permet de s’affranchir du formalisme habituel pour recourir au télétravail, la crise du Covid-19 n’exonère pas l’employeur de respecter les règles qui protègent la vie privée de ses collaborateurs. Tout agent ou salarié en télétravail bénéficie des mêmes droits et obligations que celui exerçant dans les locaux de l’établissement.

Le respect indispensable des droits des travailleurs même pendant le confinement

L’établissement peut par exemple, pour les salariés ou agents soumis à des horaires de travail, mettre en place un système d’auto-déclaration ou un logiciel de pointage sur l’ordinateur. Mais il ne pourra pas installer ce logiciel dans la précipitation sous prétexte que le télétravail est devenu impératif pendant le confinement.

De même, un outil de traçage comme un keylogger (enregistreur de frappe) n’est pas en soi interdit pour contrôler l’activité des salariés, à condition toutefois de respecter un certain formalisme comme l’information du CSE par exemple, conformément à l’article L. 2312-38 du Code du travail, et à condition de pouvoir démontrer des circonstances exceptionnelles qui justifient d’enregistrer toutes les actions accomplies sur un ordinateur, notamment un fort impératif de sécurité.

De plus, tout moyen mis en place devra l’être dans la transparence et dans le respect de la vie privée et ce moyen devra être pertinent et proportionné à l’objectif poursuivi.

Ainsi l’article L. 1222-4 du Code du travail prévoit une obligation de loyauté : « Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance ».

Par ailleurs, n’oublions pas que le recours à la filature d’un salarié est strictement interdit car il porte atteinte à sa vie privée et constitue évidemment un mode de preuve illicite. Ce raisonnement de la 2^èmechambre civile de la Cour de Cassation du 17 mars 2016 serait transposable dans une situation d’un « mouchard » électronique installé dans un ordinateur de travail à l’insu du salarié !

Le dosage du contrôle d’activité

L’employeur doit être conscient qu’un contrôle excessif, non proportionné, peut conduire au mal être de ses collaborateurs, voire au harcèlement, et ne doit pas oublier qu’il doit notamment protéger leur santé mentale.

Le contrôle peut permettre une évaluation quantitative de l’activité (un délai de réalisation par exemple), mais également sur des aspects non quantitatifs (le comportement professionnel en particulier).

Dans le contexte actuel, le contrôle managérial classique fondé sur la supervision et le contrôle directs peut sembler moins adapté que le management par objectifs.

Pour mettre en œuvre ce contrôle, l’employeur est souvent confronté en ce moment à une difficulté : le salarié ou l’agent utilise ses équipements personnels pour télétravailler compte tenu que les conséquences de la crise sanitaire n’étaient pas prévisibles et que le télétravail a dû être mis en œuvre quasi-immédiatement après l’intervention télévisée du Président de la République le 12 mars : « Quand cela est possible, je demande aux entreprises de permettre aux salariés de travailler à distance. Les ministres l’ont déjà annoncé, nous avons beaucoup développé le télétravail. Il faut continuer cela, l’intensifier au maximum. ». Pour intensifier le télétravail, il n’y a pas d’autre choix que d’accepter le BYOD (« Bring Your Own Device », « Apportez votre propre matériel »), c’est-à-dire l’usage d’outils personnels, comme le smartphone ou l’ordinateur, dans un contexte professionnel.

La sécurisation du BYOD, prétexte d’un comportement trop intrusif de l’employeur ?

Si une charte informatique peut encadrer les conditions d’exploitation des outils informatiques, les modalités de contrôle lors de leur utilisation et les conséquences des manquements, comment contrôler le télétravail lorsqu’il est effectué avec des outils personnels, comme c’est souvent le cas actuellement ?

La charte informatique recherche un équilibre entre les droits légitimes de l’employeur en matière de confidentialité, de sécurité et d’efficacité de ses systèmes d’informations et le droit au respect de la vie du collaborateur. Elle prévoit rarement l’usage d’un terminal personnel.

Mais avec le développement du BYOD pendant la crise sanitaire, il est difficile et délicat pour l’employeur de contrôler l’activité de ses collaborateurs.

Le recours au BYOD improvisé ne justifie aucunement de négliger la sécurité informatique dans cette période propice aux cyberattaques. La CNIL rappelle que l’employeur reste responsable de la sécurité des données personnelles de son établissement et donne des conseils pour y parvenir (cloisonnement, contrôle d’accès, chiffrement des flux, procédure en cas de perte ou de panne, mesures de sécurité élémentaires, etc.).

L’ANSSI a également établi des recommandations sur le « nomadisme numérique » pour se prémunir des risques de violation de données.

Aussi, eu égard à cet impératif de sécurité et de confidentialité, la charte informatique peut interdire le BYOD ou prévoir la sécurisation nécessaire.

Pour autant, l’employeur ne peut s’immiscer dans les équipements personnels comme il peut le faire avec ses propres équipements.

La CNIL précise que l’employeur doit pouvoir accéder au contenu professionnel stocké dans l’équipement personnel et peut prévoir un effacement à distance de la partie « spécifiquement dédiée à l’accès distant aux ressources de l’entreprise ».

S’agissant du respect de la vie privée, dans un arrêt rendu le 23 mai 2012, la chambre sociale de la Cour de Cassation a considéré que l’employeur « est en droit d’écouter des enregistrements réalisés par le salarié sur son dictaphone personnel (…) en sa présence ou (si) celui-ci (a été) dûment appelé ». Le dictaphone était caché sous l’écran du poste informatique depuis plusieurs mois.

De même, dans un arrêt en date du 12 février 2013, la même chambre a considéré qu’une clé USB, « dès lors qu’elle est connectée à un outil informatique mis à la disposition du salarié par l’employeur pour l’exécution du contrat de travail, est présumée utilisée à des fins professionnelles. En conséquence, les dossiers et fichiers non identifiés comme personnels qu’elle contient, sont présumés avoir un caractère professionnel de sorte que l’employeur peut y avoir accès hors la présence du salarié. ».

La Cour de Cassation, pragmatique, ne semble donc pas hostile à un éventuel contrôle d’activité d’un collaborateur via ses équipements personnels. Mais un tel contrôle sera particulièrement risqué juridiquement pour l’employeur.

Dans les décisions évoquées, la présomption du caractère professionnel est déduite d’un objet physique se trouvant dans les locaux de l’entreprise depuis un certain temps. Cette jurisprudence ne semble donc pas transposable au BYOD. Même si la frontière entre vie professionnelle et vie personnelle peut tendre à s’effacer, et même si l’employeur est responsable de la sécurité des données personnelles de son entreprise, à partir du moment où il accepte de ne plus en conserver l’entière maîtrise physique, il doit être conscient qu’il perd également une maîtrise juridique…  Il incombe à l’employeur de mettre en balance les intérêts et les inconvénients du BYOD…

Le contrôle d’activité en télétravail, une collecte de données à caractère personnel

S’agissant de la protection des données, nous pouvons préciser que le BYOD, moyen technique, n’est pas un traitement de données à caractère personnel.

En revanche, tout traitement lié au contrôle individuel d’activité doit être répertorié dans le registre des activités de traitement.

Ainsi les logs ou durées de connexion sont des traitements à inscrire dans ce registre et devraient même faire l’objet d’une étude d’impact en raison d’un risque élevé pour les droits et libertés des personnes. En effet, la CNIL exige une analyse d’impact dès lors qu’un traitement a pour finalité de « surveiller de manière constante l’activité des employés concernés ».

Les principes de la protection des données continuent donc à s’appliquer : principe de limitation des finalités (à quelle fin ?), principe de minimisation des données (quelles données ?), principe de licéité (quelle base juridique ? l’intérêt légitime ?), principe de transparence (quelle information ?), principes d’intégrité et de confidentialité, etc…

Pour la détermination des finalités, si l’une des finalités est bien de contrôler individuellement l’activité des collaborateurs, alors il convient de l’assumer et de l’écrire. Garantir la sécurité des systèmes d’information est une autre finalité et se contenter de préciser cette finalité, ce serait alors commettre un détournement de finalité. Par ailleurs, l’employeur ne peut recourir à des artifices ou stratagèmes visant à placer le salarié dans une situation dont le but serait de lui imputer ultérieurement une faute.

Nous pouvons ajouter que des sous-finalités pourraient être ajoutées : évaluer le travail réalisé, contrôler le respect du temps du travail, permettre aux managers de disposer d’un outil d’aide à la décision, lutter contre tout comportement fautif pouvant porter préjudice à l’établissement…

Bien entendu, les salariés ou agents disposent de droits sur les données personnelles collectées, en particulier un droit d’accès et un droit d’opposition pour des raisons tenant à leur situation particulière.

S’agissant des durées de conservation, si les données relatives aux horaires effectués peuvent être conservées pendant cinq ans, les autres données ne devraient pas être conservées plus de deux mois sauf cas particulier. Par exemple, la durée de conservation pourrait être d’un an si la conservation des données est nécessaire à des fins de preuve de l’exécution d’une prestation et sous réserve qu’il ne soit pas possible de rapporter cette preuve par un autre moyen.

L’employeur doit être capable de concilier la protection du patrimoine informationnel de l’entreprise et de sa rentabilité avec le respect de la vie privée de ses collaborateurs et des données les concernant.

En conclusion, les possibilités techniques de contrôle d’activité des télétravailleurs sont illimitées. Mais encore faut-il qu’elles soient compatibles avec la nécessité de respecter leur vie privée et de protéger leur santé mentale.

Le pouvoir de direction de l’employeur lui permet de contrôler l’activité de ses personnels, mais dans le respect des libertés individuelles : respect de l’intimité de la vie privée et de la vie familiale, respect du secret des correspondances, respect des règles relatives à la protection des données à caractère personnel. Ce contrôle doit être justifié et proportionné, en veillant à bien informer les salariés ou les agents et leurs représentants.

Le télétravail devrait se poursuivre lorsque cela est possible. Il va donc rester la norme, en particulier en Ile-de-France !

La CNIL peut toujours être sollicitée pour dénoncer un dispositif illicite de contrôle d’activité recueillant des informations sur les salariés. Outre son pouvoir de sanction, l’autorité de contrôle peut saisir le juge des référés en cas d’atteinte grave et immédiate aux droits et libertés ou dénoncer au parquet les infractions dont elle aurait connaissance.

Par ailleurs, si le télétravail s’installe durablement, au-delà des pratiques managériales et du contrôle d’activité, se poseront d’autres questions comme le droit à la déconnexion ou la prise en charge éventuelle des coûts induits par le télétravail régulier. Tout un nouveau pacte social est à construire !