BTP / BUP / Cybersécurité / ERP/IGH / Gestion des risques / Industrie/ICPE / Questions/réponses / Santé et sécurité au travail / Sécurité privée / Sûreté
Cybersurveillance des salariés : quels risques pour l’entreprise ?
On parle de cybersurveillance lorsque l’employeur utilise
des outils permettant de contrôler l’usage des technologies
de l’information et de la communication fait par les salariés.
La surveillance des salariés s’effectuait autrefois directement sur le lieu de travail. Le « contremaitre », veillait au travail des ouvriers dans l’atelier. Les nouvelles technologies ont permis d’accroitre la surveillance et le manager n’a désormais plus besoin d’être physiquement présent pour contrôler le travail d’un collaborateur. La surveillance est devenue électronique et peut s’effectuer à distance. On parle d’ailleurs de cybersurveillance lorsque l’employeur utilise des outils permettant de contrôler l’usage des technologies de l’information et de la communication fait par les salariés.
Plusieurs formes de cybersurveillance peuvent être utilisées par l’employeur :
- Contrôle des ordinateurs, tablettes et téléphones portables mis à la disposition des salariés, l’usage d’internet et de la messagerie, usage des réseaux sociaux, l’utilisation du éseau de l’entreprise…
- L’employeur dispose également de moyens électroniques de contrôle de l’activité des collaborateurs : vidéosurveillance, badges, géolocalisation, biométrie. Ces dispositifs ne doivent cependant jamais conduire à une surveillance constante des salariés.
Contrôles d’accès et de temps de travail
Le lieu de travail ne peut pas être accessible à tous et à tout moment pour des raisons de sécurité et de confidentialité. Dans le cadre de l’exécution du contrat de travail, les contrôles d’accès et du temps de travail existent depuis bien longtemps. La société Kronos a ainsi inventé la pointeuse électronique en 1979. Le terminal série 400, lancé en 1993, est rapidement devenu la pointeuse la plus vendue au monde.
Sur le lieu de travail, les badges (cartes magnétiques ou à puce) servent notamment à contrôler l’accès aux locaux, les caméras à protéger les personnes et les biens et la géolocalisation à obtenir une traçabilité de l’activité (activités de livraison). Ces types de dispositifs, qui collectent des données permettant l’identification des salariés, sont soumis à la loi n°2018-493 du 20 juin 2018 qui a modifié la loi Informatique et Libertés afin de mettre en conformité le droit national avec le cadre juridique européen et la mise en œuvre concrète du Règlement général sur la protection des données (RGPD).
La surveillance au travail nécessite de traiter des données personnelles à des fins diverses dont certaines peuvent présenter des risques pour les droits et libertés. La restriction de l’usage et le contrôle doivent être justifiés par la nature du poste occupé et par les objectifs de l’entreprise (art. L.1121-1 du code du travail, « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché »).
L’utilisation de ces dispositifs de contrôle doit faire également faire l’objet d’une consultation des représentants du personnel, et d’une information individuelle des salariés (art. L.1222-4 du code du travail,« Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance»).
Cette surveillance imposée aux collaborateurs questionne sur les risques éventuels encourus par l’employeur lors de la mise en place de tels dispositifs.
Le risque est la perception d’une incertitude relative aux conséquences négatives potentiellement associées à une alternative de choix (Volle, 1995)[1]. Le risque est composé de pertes et d’incertitudes. Lors du déploiement de technologies permettant une surveillance des salariés, il conviendra donc de s’interroger sur les risques potentiels au regard des avantages procurés par le système de surveillance.
[1] Volle, P. 1995. Le concept de risque perçu en psychologie du consommateur : Antécédents et statut théorique, Revue recherche et application en marketing, 10 : 39-56.
Risques pour la santé au travail
Tout d’abord, le système peut présenter un risque pour la santé au travail : le contrôle potentiel exercé par l’employeur peut devenir un facteur de stress et de mal-être au travail et l’hyperconnexion des salariés peut altérer la qualité de vie au travail.
Si la mise en place de caméras entraine des situations de stress, le recours plus fréquent à la médecine du travail, des arrêts maladie plus fréquents, les salariés pourraient faire usage de leur droit d’alerte prévu aux articles L.4131-1 et L.4131-2 du code du travail.
De même, un membre du CSE peut saisir immédiatement l’employeur, en vertu de l’article L.2312-59 du code du travail, s’il constate qu’il existe une atteinte aux droits des personnes, à leur santé physique et mentale ou aux libertés individuelles dans l’entreprise qui ne serait pas justifiée par la nature de la tâche à accomplir, ni proportionnée au but recherché.
Risques de contentieux liés à la visualisation des images
Il convient de rappeler que la visualisation des images collectées par le système mis en place est réservée aux seules personnes habilitées à cet effet dans le cadre de leur fonction. Il s’agit particulièrement des personnes chargées d’assurer la sécurité de l’établissement ou des autorités judiciaires dans le cadre de la commission d’une infraction.
Il convient de s’interroger sur la qualité des personnes qui accèdent aux données et aux images et sur la formation qu’elles ont suivie. Dans les entreprises ou sur la voie publique, ce ne sont pas nécessairement les policiers qui regardent les images mais aussi des agents de sécurité, voire les propriétaires d’un magasin ou d’un centre commercial.
Les défenseurs des libertés individuelles (LDH) s’inquiètent ainsi d’un transfert de compétences publiques au domaine privé. Connaître l’identité ou la fonction du surveillant reste donc une préoccupation sur le lieu de travail.
Lors de la mise en œuvre dans une organisation, les DRH devront veiller à la formation des personnes qui auront accès aux données et aux images ainsi qu’à leurs qualités d’intégrité, de loyauté et d’honnêteté. Ainsi, les images enregistrées ne peuvent être visionnées que par les seules personnes habilitées dans le cadre de leurs fonctions (direction, responsable sécurité). Elles seront conservées pendant une durée déterminée par l’employeur (loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles et le Règlement européen sur la protection des données personnelles (RGPD)).
L’employeur doit également apposer un panneau d’information dans les locaux afin d’informer les salariés et les visiteurs éventuels de la présence du dispositif, du nom du responsable, de la base légale du dispositif (sécurité des locaux), de la durée de conservation des images, de la possibilité d’adresser une réclamation à la Cnil, de la procédure à suivre pour demander l’accès aux enregistrements visuels les concernant.
Risques de contentieux en cas de licenciement
Les caméras ne doivent pas filmer les employés sur leur poste de travail (sauf exception comme la manipulation d’argent), les locaux destinés à la pause, les toilettes, les locaux syndicaux.
Conformément à l’article L.2323-47 du code du travail, « le comité d’entreprise est informé et consulté, préalablement à la décision de mise en œuvre dans l’entreprise, sur les moyens ou les techniques permettant un contrôle de l’activité des salariés ».
Afin de pouvoir être utilisé à titre de preuve, ce système de vidéosurveillance doit permettre de certifier la date, l’heure et l’emplacement de la caméra, de manière incontestable.
Les preuves recueillies par des moyens de surveillance non déclarés et sans que les salariés en aient été informés préalablement sont illicites (art. L.1222-4 du code du travail). Un salarié ne peut pas être sanctionné à partir d’éléments de preuve obtenus par un dispositif de surveillance sans information préalable de sa mise en place. En effet, lorsque la faute du salarié a été relevée grâce à l’utilisation d’un procédé illicite, l’employeur ne peut, à aucun moment, le sanctionner pour cette faute. C’est le cas, par exemple, lorsqu’un employeur n’a pas prévenu le salarié concerné qu’il était enregistré ou filmé.
Exemples de jurisprudences
Ceci a d’ailleurs été rappelé par l’arrêt n°16-26482 de la Cour de cassation du 20 septembre 2018 qui précise qu’un employeur ne peut pas utiliser les images d’un système de vidéosurveillance installé sur le lieu de travail comme élément de preuve à l’encontre d’un salarié si celui-ci n’était pas informé de l’existence du système de surveillance dans l’entreprise au risque de voir le licenciement requalifié car sans cause réelle et sérieuse.
C’est un important arrêt de la Chambre sociale de la Cour de Cassation du 20 novembre 1991 qui avait déjà énoncé ce principe. Une caméra de vidéosurveillance avait permis de déterminer que la caissière d’une cordonnerie détournait de l’argent. Licenciée pour faute grave, la caissière contestait ce mode de preuve.
La Cour de Cassation avait alors estimé que « si l’employeur avait le droit de contrôler et de surveiller l’activité de ses salariés pendant le temps de travail, tout enregistrement, quels qu’en soient les motifs, d’images ou de paroles à leur insu, constituait un mode de preuve illicite ». Dans ce cas, la caméra ayant été dissimulée et aucune information préalable des salariés n’ayant été effectuée, l’arrêt de la cour d’appel qui avait estimé régulier le licenciement a été cassé.
Aussi, la même juridiction a-t-elle pu estimer régulier un licenciement pour faute grave dont la preuve avait été rapportée par une caméra de vidéosurveillance qui avait été mise en œuvre sans information préalable des salariés, dans la mesure où la caméra était installée dans des entrepôts où les salariés n’avaient pas à pénétrer. « L’employeur est libre de mettre en place des procédés de surveillance des entrepôts de rangement dans lesquels les salariés ne travaillent pas » (Cass. Soc, 31 janvier 2001).
Dans le cadre d’une procédure de licenciement, la preuve de la faute du salarié sera recevable si la surveillance qui a permis de constater la faute a été mise en place de façon proportionnée, sans détournement de finalité, en respectant le principe de transparence et d’authenticité.
La surveillance ne devant jamais être exercée à l’insu des salariés ni en limitant les libertés individuelles, l’employeur devra être particulièrement vigilant. Il encourt des sanctions civiles et pénales (articles 226-1, 226-16, 226-18, 226-20 et 226-21 du code pénal) et d’éventuelles amendes administratives de la Cnil. Les salariés peuvent en effet saisir le service des plaintes de la Cnil, les services de l’inspection du travail, les services de la préfecture, si les caméras filment des lieux ouverts au public, les services de police ou de gendarmerie, le procureur de la République.
En conclusion, la cybersurveillance des collaborateurs engendre une diversité de risques qu’il convient d’envisager, d’anticiper, et d’ identifier en évaluant les impacts pour les collaborateurs et pour l’entreprise, mais aussi réputationnels, financiers et réglementaires.
Dans le cadre de la conformité au RGPD , il convient donc d’envisager un échange avec le DPO (Data protection officer) de l’entreprise afin d’envisager les limites de chaque dispositif de contrôle mais aussi de prévoir dès leur conception et leur mise en œuvre.
Nicolas Dufour
Docteur en sciences de gestion, professeur des universités associé au CNAM, Nicolas Dufour est également Risk Manager dans le secteur assurance. Ses domaines de spécialisation concernent la mise en œuvre des politiques de maîtrise des risques, la gestion de la fraude, la gestion et l’intégration des normes dans les organisations.
Caroline Diard
Docteur en sciences de gestion de l’institut Mines-Télécom Business School, Caroline Diard est professeur associé en management des RH et Droit à l’Ecole de management de Normandie. Elle intervient dans les domaines du droit du travail, politique de rémunération et dialogue social, vidéoprotection et télétravail. Elle a été précédemment DRH dans une société de biotechnologies et consultante.
Les plus lus…
Le bureau d’analyse des risques et des pollutions industrielles (Barpi) a publié un nouveau flash Aria dédié aux travaux par…
La roue de Deming est une méthode d’amélioration continue symbolisée par une roue progressant sur une pente dans un…
Alors que les entreprises devant contrôler l’identité de leurs clients font évoluer leurs méthodes de vérification, les fraudeurs s’adaptent et…
Lancée le 17 décembre, la plateforme 17Cyber ambitionne de devenir le nouveau réflexe pour les victimes de cybermalveillance en France.…
L’intelligence artificielle connait une dynamique importante en termes d’implémentation, notamment depuis l’arrivée des « modèles de langages conversationnels ». Elle…
La directive (UE) 2024/3019 du Parlement européen et du Conseil du 27 novembre 2024 relative au traitement des eaux…