Contrôle
Surveiller les télétravailleurs ? Oui, en respectant le RGPD
L'activité des télétravailleurs ne peut pas être hors de contrôle compte tenu des obligations de l'employeur en matière notamment de durée du travail. Mais ce contrôle doit être conforme au RGPD et aux autres règles en vigueur. La CNIL a inscrit cette thématique dans son plan de contrôle pour 2022.
Les raisons du contrôle des télétravailleurs
Respect des horaires et des modalités du télétravail. - Comme tout autre salarié, le télétravailleur a des horaires de travail à respecter. Plus spécifiquement, il doit respecter toutes les modalités du télétravail applicables dans son entreprise. À ce titre, il doit être joignable pendant les plages horaires définies par l'accord ou la charte télétravail, ou à défaut, en concertation avec l'employeur (c. trav. art. L. 1222-9 ; Accord national interprofessionnel du 26 novembre 2020, § 3.1.3, étendu par arrêté du 2 avril 2021, JO du 13). En cas de travail hybride, il doit également respecter les règles de la répartition entre les jours de télétravail et les jours de présentiel.
L'employeur peut donc trouver pertinent de mettre en place un système de contrôle du respect de leurs horaires par les télétravailleurs et des différentes modalités du télétravail.
Contrôle de la durée du travail. - L'employeur a des obligations en matière de durée du travail (ex. : respect des temps de repos) à l'égard de tous les salariés, qu'ils télétravaillent ou non, mis à part le cas de certains salariés en forfaits et des cadres dirigeants (c. trav. art. L. 1222-10 ; ANI du 26 novembre 2020, § 3.1.2). À notre sens, il a tout intérêt à mettre en place des outils de décompte de la durée du travail en cas d'horaires individuels mais aussi en cas d'horaires collectifs. En cas de contentieux, il sera ainsi en mesure de prouver qu'il respecte ses obligations en la matière (c. trav. art. L. 3171-4 ; cass. soc. 18 mars 2020, n° 18-10919 FPPBRI).
À noter
Le salarié en télétravail, comme celui en présentiel, a un droit à la déconnexion mais les risques liés à une sur connexion sont sans doute plus grands en télétravail. L'employeur a tout intérêt à s'en prémunir en mettant en place les outils adéquats (voir Dictionnaire Social, « Droit à la déconnexion »).
Respect des règles d'usage des TIC et de protection des données personnelles. - Le cas échéant, le salarié doit respecter les règles d'usage des technologies de l'information et de la communication (TIC) mises à sa disposition par l'employeur pour télétravailler (ex. : restrictions liées à la consultation de certains sites internet, règles de sécurité pour accéder à l'intranet de l'entreprise, instructions relatives à l'usage privé des ordinateurs, téléphones portables et boîtes mails professionnelles). Par ailleurs, les salariés traitant des données personnelles (ex. : celles de leurs collègues ou de clients) peuvent être liés par des consignes relatives à la protection de ces données et à leur confidentialité.
Généralement, toutes ces règles sont inscrites dans le règlement intérieur ou la charte informatique de l'entreprise (voir Dictionnaire Social, « Charte informatique »).
À noter
La CNIL recommande aux employeurs d'élaborer une charte spécifique au télétravail pour assurer la sécurité du système informatique de l'entreprise puis de la communiquer aux salariés (« Les conseils de la CNIL pour mettre en place du télétravail », www.cnil.fr). À notre sens, cette charte pourrait être intégrée à la charte informatique.
Ici aussi, l'employeur peut légitimement vouloir s'assurer que le télétravailleur respecte toutes ces règles (« Les outils informatiques au travail », www.cnil.fr).
Les principes à respecter
Si l'employeur peut légitimement contrôler un télétravailleur, comme tout autre salarié, il doit le faire en respectant à la fois des principes de fond et des règles de forme.
Respect des droits et libertés. - Si un dispositif de contrôle restreint les droits et libertés des salariés, ces restrictions doivent être justifiées par la nature de la tâche à accomplir et proportionnées au but recherché (c. trav. art. L. 1121-1). Au nombre de ces droits, on peut citer le droit au respect de la vie privée (c. civ. art. 9). L'employeur ne peut donc pas surveiller en permanence les télétravailleurs (pour des exemples, voir tableau).
Respect du RGPD. - Dans la mesure où un dispositif de contrôle implique de traiter des données personnelles des salariés, l'employeur doit respecter les règles de protection de ces données issues notamment du RGPD (règlement UE 2016/679 du 27 avril 2016, JOUE L 119 du 4 mai 2016). À ce titre, il ne doit collecter que les données strictement nécessaires à ce contrôle. Par exemple, les données d'identification du salarié peuvent être traitées lors d'un contrôle des horaires de travail (ex. : nom, prénom, n° de matricule), mais pas ses empreintes digitales. L'employeur doit aussi limiter la durée de conservation des données personnelles (RGPD, art. 5). La CNIL préconise par exemple de limiter la durée de conservation des logs de connexion à 6 mois (« Les outils informatiques au travail », www.cnil.fr).
Dispositifs identiques ou spécifiques. - Les dispositifs d'évaluation du travail accompli doivent être les mêmes en télétravail ou en présentiel. En effet, les critères de résultats exigés du télétravailleur régulier doivent être équivalents à ceux des salariés en situation comparable travaillant dans l'entreprise. Les délais d’exécution des travaux réalisés en télétravail doivent également être évalués suivant les mêmes méthodes que celles utilisées pour les tâches exécutées dans l’entreprise (ANI du 19 juillet 2005, art. 1 et 9, étendu par arrêté du 30 mai 2006, JO du 9 juin).
À noter
L'ANI précité est obligatoire pour les employeurs relevant d’un secteur professionnel représenté par les organisations patronales signataires (Medef, CPME, UPA).
Mise à part cette exigence liée à l'évaluation du travail accompli, les dispositifs de contrôle peuvent à notre avis être similaires à tous les salariés ou spécifiques aux télétravailleurs, pourvu que cela ne crée pas de situation d'inégalité.
Les axes de contrôle de la CNIL pour 2022
La CNIL peut contrôler les responsables de traitement de données personnelles notamment sur la base des plaintes qu'elle reçoit ou d'un programme annuel de contrôle (loi 78-17 du 6 janvier 1978, art. 19 et s.). Pour 2022, elle a défini trois thématiques prioritaires, au nombre desquelles les outils de surveillance dans le cadre du télétravail. Au vu du développement d'outils spécifiques de contrôle des télétravailleurs, elle a en effet estimé nécessaire de vérifier sur le terrain la conformité au RGPD des pratiques des employeurs. Habituellement, les thématiques retenues comme prioritaires pour l’année en cours représentent environ un tiers des contrôles effectués (« Thématiques prioritaires de contrôle 2022 : prospection commerciale, cloud et surveillance du télétravail », www.cnil.fr). Aux employeurs donc de se mettre en conformité, si ce n'est déjà fait, sachant qu'un contrôle peut déboucher sur des sanctions lourdes de conséquences (ex. : amende administrative) (loi 78-17 du 6 janvier 1978, art. 20).
Les formalités à mettre en œuvre
L'employeur a diverses formalités à remplir, chacune étant nécessaire.
Information-consultation du CSE. - Dans une entreprise d'au moins 50 salariés, l'employeur doit informer et consulter le comité social et économique (CSE) sur les moyens ou techniques permettant un contrôle de l’activité des salariés avant de décider de les mettre en œuvre (c. trav. art. L. 2312-38).
Information des télétravailleurs. - L'employeur doit informer les télétravailleurs avant de mettre en place un dispositif de contrôle si celui-ci permet de collecter leurs données personnelles (c. trav. art. L. 1222-4). Le cas échéant, il doit aussi leur donner certaines précisions sur le traitement de données personnelles ainsi mis en œuvre (RGPD, art. 13 et 14) :
-sa finalité (ex. : contrôle des horaires de travail et suivi de la durée du travail) ;
-sa base légale (ex. : obligation légale ou intérêt légitime de l'employeur) ;
-le destinataire des données (ex. : le service RH) ;
-leurs durées de conservation, etc.
Pour la CNIL, ces informations peuvent être inscrites dans la charte informatique, une note individuelle ou une note de service (« Les outils informatiques au travail », www.cnil.fr).
Registre des activités de traitement et AIPD. - Les différents systèmes de contrôle, par exemple des outils informatiques, doivent être inscrits dans le registre des activités de traitement. De plus, si le traitement a pour finalité de surveiller de manière constante l’activité des télétravailleurs, il doit faire l'objet d'une analyse d'impact des données (AIPD) (RGPD art. 30 et 35 ; décret 2018-687 du 1er août 2018, JO du 3 ; voir Dictionnaire Social, « Analyse d'impact des données » et « Registre des activités de traitements »).
Inscription de certains contrôles dans l'accord télétravail ou le règlement intérieur. - Les modalités de contrôle du temps de travail sont fixées par l’accord collectif ou par la charte relatif au télétravail, s’il en existe (c. trav. art. L. 1222-9 ; ANI du 26 novembre 2020, § 3-1-3). Plus largement, certains dispositifs de contrôle des salariés sont à inscrire dans le règlement intérieur, dans la mesure où ils s’apparentent à des règles générales et permanentes relatives à la discipline susceptibles de donner lieu à des sanctions disciplinaires (c. trav. art. L. 1321-1). L'inscription peut aussi se faire dans la charte informatique adoptée suivant les mêmes modalités que le règlement intérieur.
Contrôle des télétravailleurs |
---|
Dispositifs autorisés : exemples |
Demander au télétravailleur : -un compte rendu régulier de son activité (1) ; -un relevé de ses horaires de travail pour chaque jour télétravaillé et sa transmission à la direction. Dispositifs de contrôle d'internet et de la messagerie (2) (3) : -dispositifs de filtrage de sites, de détection de virus ; -outils de mesure de la fréquence des envois et/ou de la taille des messages ; -filtres « anti-spam ». Dispositif d'écoute et/ou d'enregistrement ponctuel pour évaluer les salariés (4). |
Dispositifs interdits : exemples |
L'installation de keyloggers, sauf circonstance exceptionnelle liée à un fort impératif de sécurité (1) (5). Le partage permanent de l'écran (1). Imposer à un salarié de démontrer sa présence derrière son écran (1) : -en se mettant en visioconférence tout au long de son temps de travail ; -en effectuant très régulièrement certaines actions comme cliquer toutes les x minutes sur une application ou prendre des photos à intervalles réguliers. Recevoir en copie automatique tous les mails écrits ou reçus par les télétravailleurs (3). Captures d'écran (6). |
(1) « Les questions-réponses de la CNIL sur le télétravail », www.cnil.fr. (2) L'employeur peut utiliser les mêmes dispositifs pour tous les salariés (télétravail, travail hybride, etc.), pourvu qu'il respecte toutes les conditions de licéité. (3) « Les outils informatiques au travail », www.cnil.fr. (4) « L’écoute et l’enregistrement des appels sur le lieu de travail », www.cnil.fr (5) Logiciels qui permettent d’enregistrer à distance toutes les actions accomplies sur un ordinateur (« Les outils informatiques au travail », www.cnil.fr). (6) Pour la CNIL, une capture d’écran n'est ni pertinente ni proportionnée puisqu’il s’agit d’une image figée d’une action isolée du salarié, qui ne reflète pas fidèlement son travail et ce, quelle que soit la finalité poursuivie (« L’enregistrement vidéo ou la capture d’écran couplé à l’enregistrement des conversations téléphoniques au travail », www.cnil.fr). |