[Tribune] 5 questions à vous poser avant de contrôler l'activité de vos salariés
Publié par Me Alexandre Ebtedaei et Me Caroline Belotti le - mis à jour à
Vérification de l'exécution d'une tâche, protection de données sensibles, fuite vers la concurrence... Vous pouvez contrôler les terminaux de vos salariés dans certaines situations mais pas dans toutes. Tour d'horizon des réflexes à adopter pour surveiller vos salariés dans la limite de la légalité.
1. Dans quel cas puis-je contrôler le matériel de mon salarié ?
Certaines finalités sont légitimes : vous pouvez - voire devez - contrôler l'activité de votre salarié afin de vous assurer qu'il exécute correctement sa prestation de travail, et qu'il ne détourne pas l'outil mis à sa disposition à des fins illicites ou contraires aux intérêts de l'entreprise. Vous pouvez, dès lors, procéder à des contrôles pour les finalités suivantes :
- contrôler le temps de travail du salarié ;
- protéger les intérêts de l'entreprise, sa propriété intellectuelle, ses plans stratégiques, notamment en prémunissant le système informatique et les accès électroniques de l'entreprise de toute cyberattaque, intrusion, virus, ou encore fuite vers la concurrence.
Certains contrôles sont plus discutables, tels que la géolocalisation ou la collecte d'informations sur des aspects de la vie privée du salarié qui n'ont aucun lien avec son travail.
Enfin, d'autres contrôles ou collectes d'informations sont interdits, tels que la constitution d'une base de données sur les engagements politiques et syndicaux des salariés, leur mode de vie, ou encore la violation de la correspondance privée du salarié.
2. Quelle est la marche à suivre avant de mettre en place un dispositif de contrôle ?
Dans tous les cas, le contrôle de l'outil informatique ou de télécommunication ne peut avoir lieu sans une information préalable des salariés, et de leurs représentants (comité d'entreprise, et le cas échéant, le CHSCT). Le défaut de consultation des représentants du personnel rend non seulement la preuve collectée par un contrôle irrecevable en justice, mais elle rend le dirigeant de l'entreprise passible de poursuites pénales pour délit d'entrave, infraction punie d'un an d'emprisonnement et/ou d'une amende de 3 750 €.
Enfin, la loi informatique et libertés impose que les procédés de collectes et traitements automatisés d'informations à caractère personnel soient déclarés à la CNIL préalablement à leur mise en oeuvre. Le non-respect de ces formalités est puni de sanctions financières et sanctions pénales (jusqu'à 5 ans d'emprisonnement et 300 000 € d'amende), mais aussi peut rendre illicite toute preuve ainsi constituée en cas de licenciement fondé sur des informations ainsi collectées.
3. Quels matériels et quels contenus sont concernés ?
Tout matériel mis à la disposition des salariés par l'entreprise peut faire l'objet d'un contrôle (ordinateurs fixes ou portables, tablettes, téléphones, clés USB, disques durs externes,etc.).
À l'exception des documents ou supports identifiés comme "personnel" ou "privé" par le salarié, tout contenu stocké dans un matériel appartenant à l'entreprise est présumé à caractère professionnel.
Certains matériels ou applications permettent plus facilement une telle identification (répertoires dédiés sur les ordinateurs fixes, portables, clés USB, objet du mail faisant apparaître la mention "personnel"). À noter que le répertoire "Mes documents" ou portant seulement les initiales du salarié reste présumé professionnel.
La Cour de cassation vient d'étendre ces règles aux SMS envoyés ou reçus par le salarié sur son téléphone professionnel, qui sont présumés professionnels, sauf s'ils comportent la mention " personnel " dans le corps du SMS.
4. Puis-je contrôler ses terminaux sans la présence du salarié ?
En l'absence de la mention " personnel " ou " privé ", l'employeur peut prendre connaissance, s'approprier ou effacer le contenu de l'ensemble des outils professionnels sans la présence du salarié utilisateur.
Quant aux informations contenues dans un répertoire identifié comme " personnel ", celles-ci restent consultables, mais en présence du salarié ou avec son accord.
5. Ai-je le droit de surveiller le matériel appartenant à mon salarié mais utilisé à des fins professionnelles ?
D'une part, ce matériel non standard met en péril la sécurité du système informatique de l'entreprise. En outre, l'entreprise n'a aucun contrôle sur les logiciels et applications installés sur ces outils. Enfin, il existe une incertitude sur le niveau de contrôle que les tribunaux sont prêts à accorder à l'employeur sur les BOYD (" Bring your own device ").
Il conviendrait par conséquent de clarifier les règles d'utilisation de ce type de matériel par un avenant à votre Charte informatique, ou à défaut, par le biais d'une note de service.
Les auteurs
Me Alexandre Ebtedaei est avocat associé responsable du département social chez FTPA. Également chez FTPA, Me Caroline Belotti est avocate en droit des nouvelles technologies.