La Commission nationale de l'informatique et des libertés (CNIL) joue un rôle central notamment dans la régulation des dispositifs de surveillance des salariés en entreprise.
Elle veille au respect des droits fondamentaux des salariés, notamment en matière de vie privée, et impose des règles strictes pour encadrer les pratiques des employeurs.
Ces règles s'appuient sur des principes de proportionnalité, de transparence et de finalité légitime, conformément à la loi « Informatique et libertés » et au Règlement général sur la protection des données (RGPD).
Principes généraux encadrant la surveillance des salariés
1. Respect des droits et libertés des salariés
L'article L. 1121-1 du Code du travail établit que toute atteinte aux droits et libertés des salariés doit être justifiée par la nature de la tâche à accomplir et proportionnée au but recherché.
Ce principe s'applique à tous les dispositifs de surveillance, qu'il s'agisse de vidéosurveillance, de cybersurveillance ou de contrôle des communications.
2. Principe de proportionnalité
La CNIL exige que les dispositifs de surveillance soient strictement nécessaires à l'objectif poursuivi. Par exemple, filmer en continu les postes de travail des salariés est considéré comme disproportionné, sauf circonstances exceptionnelles, telles que la manipulation d'objets de grande valeur.
De plus, la CNIL a rappelé que les dispositifs de surveillance ne doivent pas être utilisés pour placer les salariés sous une surveillance constante et permanente, ce qui constituerait une atteinte excessive à leur vie privée.
Obligations des employeurs avant la mise en place d'un dispositif de surveillance
1. Information préalable des salariés
L'information préalable des salariés est une condition essentielle de la légalité des dispositifs de surveillance. L'article L. 1222-4 du Code du travail impose à l'employeur d'informer individuellement les salariés concernés avant la mise en œuvre d'un dispositif de contrôle.
Cette information doit inclure les finalités du dispositif, les destinataires des données collectées et les modalités d'exercice des droits des salariés.
2. Consultation des représentants du personnel
Avant la mise en place d'un dispositif de surveillance, l'employeur doit consulter le comité social et économique (CSE). Cette consultation est obligatoire pour garantir la transparence et le respect des droits des salariés.
3. Respect des formalités du RGPD
Tout dispositif de surveillance impliquant un traitement de données à caractère personnel doit respecter les obligations du RGPD, telles que la tenue d'un registre des activités de traitement et la réalisation d'une analyse d'impact sur la protection des données.
Sanctions et pouvoirs de la CNIL
1. Sanctions en cas de manquement
La CNIL dispose d'un pouvoir de sanction en cas de non-respect des règles applicables. Les sanctions peuvent inclure des avertissements, des amendes pouvant atteindre plusieurs millions d'euros, ou encore des injonctions de cesser le traitement illicite.
Par exemple, en 2023, la CNIL a infligé une amende de 32 millions d'euros à Amazon pour un système de surveillance jugé disproportionné.
Plus récemment, une société a été sanctionnée d’une amende de 40 000 € en raison d’une surveillance disproportionnée de l’activité de ses salariés pour avoir installé un logiciel qui :
- comptabilisait les périodes « d’inactivité » supposée des salariés : aucune frappe sur le clavier ou mouvement de souris sur une durée paramétrée de 3 à 15 minutes,
Or, le décompte du temps de travail n’était pas fiable puisque les temps d’inactivité pouvait être du temps de travail effectif (réunions ou appels téléphoniques par exemples).
- permettait de déterminer le temps passé sur des sites web et des programmes « productifs » ou non,
- réalisait des captures d’écran régulières de leurs ordinateurs.
Ces mesures constituent une surveillance particulièrement intrusive, d’autant qu’il peut conduire à la captation d’éléments d’ordre privé.
Surtout, le logiciel était installé de façon « silencieuse » sur les ordinateurs et était automatiquement activé lors du démarrage de l'ordinateur.
L'amende a été limitée à 40.000€ compte tenu de la "taille limitée" de l’entreprise : une agence immobilière qui employait majoritairement des alternants. (CNIL, délib. SAN-2024-021, 19 déc. 2024)
2. Inadmissibilité des preuves obtenues de manière illicite
Les preuves obtenues par des dispositifs de surveillance non conformes aux règles de la CNIL sont considérées comme illicites et ne peuvent en principe être utilisées dans le cadre d'une procédure disciplinaire ou judiciaire.
Exemples concrets de décisions et recommandations
1. Vidéosurveillance disproportionnée
Dans une affaire de vidéosurveillance permanente dans un restaurant, la Cour de cassation a jugé que le dispositif était disproportionné et attentatoire à la vie privée du salarié. Les enregistrements issus de ce dispositif ont été déclarés inopposables au salarié.
2. Cybersurveillance et messagerie électronique
La CNIL a rappelé que les courriels identifiés comme personnels par les salariés sont protégés, même s'ils sont envoyés depuis un matériel professionnel. L'employeur ne peut les consulter sans violer le droit au respect de la vie privée.
Conclusion
La CNIL impose des règles strictes pour encadrer la surveillance des salariés, en veillant à ce que les dispositifs mis en place respectent les principes de proportionnalité, de transparence et de finalité légitime. Les employeurs doivent se conformer à ces exigences sous peine de sanctions, tout en garantissant le respect des droits fondamentaux des salariés. Ces règles visent à établir un équilibre entre le pouvoir de contrôle de l'employeur et la protection des libertés individuelles des salariés.
