Accueil > ACTU > Contrôle des horaires et de l’utilisation de l’informatique, géolocalisation, (...)

Contrôle des horaires et de l’utilisation de l’informatique, géolocalisation, vidéosurveillance et cyber surveillance, ... la CNIL fait le point sur les règles applicables ....

jeudi 21 février 2013.

 Sécurité et conditions de travail

 Protection des droits et libertés des salariés

Contrôle des horaires et de l’utilisation de l’informatique, géolocalisation, vidéosurveillance... La CNIL fait le point sur les règles applicables en matière de gestion des données personnelles au travail.

L’employeur dispose du droit de surveiller et de contrôler l’activité de ses salariés au travail. Cependant, cette surveillance reste encadrée par le code du travail, lequel dispose, en son article L 1121-1, que « nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives des restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ». Un second texte limite lui aussi le pouvoir patronal : il s’agit de l’article 9 du code civil, qui pose le principe selon lequel « chacun a droit au respect de sa vie privée ». Partant de ces deux textes fondamentaux, la Commission nationale de l’informatique et des libertés (CNIL) veille, de longue date, à ce que les dispositifs de contrôle des salariés demeurent dans les limites de la légalité. Sur le fondement de la loi « Informatique et libertés », la CNIL a en effet édicté un certain nombre de normes concernant le contrôle des horaires, l’utilisation des outils informatiques, la géolocalisation, etc. Dans une série de fiches qu’elle vient de publier, la Commission rappelle, point par point, les règles à respecter pour la mise en œuvre de ces différents dispositifs.

 Géolocalisation des véhicules (norme simplifiée n° 51)

Finalité de la « géosurveillance »

La CNIL commence son tour d’horizon de la réglementation par la géolocalisation. Un tel dispositif peut être installé dans des véhicules utilisés par des salariés pour :

  • suivre et facturer une prestation de transport de personnes, de marchandises ou une prestation de services directement liée à l’utilisation du véhicule. Par exemple : les ambulances dans le cadre de la dématérialisation de la facturation de l’assurance maladie ;
  • assurer la sécurité de l’employé, des marchandises ou des véhicules dont il a la charge. Par exemple : un commercial transportant des échantillons de grande valeur dans son véhicule ;
  • mieux allouer des moyens pour des prestations à accomplir en des lieux dispersés, notamment pour des interventions d’urgence. Par exemple : identifier le salarié le plus proche d’une panne d’ascenseur ou l’ambulance la plus proche d’un accident ;
  • accessoirement, suivre le temps de travail, lorsque cela ne peut être opéré par d’autres moyens ;
  • le cas échéant, respecter une obligation légale ou réglementaire imposant la mise en œuvre d’un dispositif de géolocalisation en raison du type de transport ou de la nature des biens transportés.

Mais de tels dispositifs ne peuvent être utilisés :

  • pour contrôler le respect des limitations de vitesse ;
  • pour contrôler un salarié en permanence ;
  • pour calculer le temps de travail des salariés alors qu’un autre dispositif est déjà en place.

Remarque : en particulier, la géolocalisation ne peut pas être utilisée :

  • dans le véhicule d’un salarié disposant d’une liberté dans l’organisation de ses déplacements (par exemple : VRP) ;
  • pour suivre les déplacements des représentants du personnel dans le cadre de leur mandat ;
  • en dehors du temps de travail, lorsque le salarié est autorisé à utiliser son véhicule à des fins privées.

Une obligation de transparence
Les instances représentatives du personnel doivent être informées et consultées avant toute décision d’installer un dispositif de géolocalisation dans les véhicules mis à la disposition des employés.
En outre, chaque salarié doit être informé d’une telle installation, en précisant :

  • les finalités poursuivies ;
  • les destinataires des données issues du dispositif de géolocalisation ;
  • le fait que le salarié dispose d’un droit d’accès et de rectification s’agissant des informations traitées, ainsi que d’un droit d’opposition pour motif légitime (il s’agit de la possibilité de s’opposer à un traitement de données pour un motif légitime au sens de l’article 38 de la loi « Informatique et libertés » - exemple de motif légitime : traitement non déclaré à la CNIL, informations portant atteinte à la vie privée ou discriminatoires, etc.,).
    Remarque : selon la CNIL, l’information peut se faire au moyen d’un avenant au contrat de travail ou d’une note de service.

Tout dispositif de géolocalisation installé dans les véhicules mis à disposition des salariés doit être déclaré à la CNIL (déclaration simplifiée de conformité à la norme n° 51 ou déclaration normale). Un système qui n’a pas fait l’objet d’une déclaration à la CNIL ne peut être opposé aux salariés.

L’accès aux informations du dispositif de géolocalisation doit être limité aux services concernés et à l’employeur. Pour éviter notamment que des personnes non autorisées n’accèdent aux informations du dispositif, il est impératif de prendre des mesures de sécurité. Par exemple, l’accès au dispositif de suivi en temps réel sur un site internet doit se faire avec un identifiant et un mot de passe.

Les salariés doivent avoir accès aux données les concernant enregistrées par l’outil (dates et heures de circulation, trajets effectués, etc).

Durée de conservation des données de géolocalisation

En principe, les informations obtenues par la géolocalisation ne doivent pas être conservées plus de 2 mois. Toutefois, elles peuvent être conservées un an lorsqu’elles sont utilisées pour « optimiser » les tournées ou à des fins de preuve des interventions effectuées, lorsqu’il n’est pas possible de rapporter cette preuve par un autre moyen. Enfin, elles peuvent être conservées 5 ans lorsqu’elles sont utilisées pour le suivi du temps de travail.

 Outils informatiques au travail (norme simplifiée n° 46)

La cybersurveillance dans l’entreprise

L’employeur peut contrôler et limiter l’utilisation d’internet (dispositifs de filtrage de sites, détection de virus...) et de la messagerie (outils de mesure de la fréquence des envois et/ou de la taille des messages, filtres « anti-spam »...). Ce contrôle doit en principe avoir pour objectif :

  • d’assurer la sécurité des réseaux qui pourraient subir des attaques (virus, cheval de Troie...) ;
  • de limiter les risques d’abus d’une utilisation trop personnelle d’internet ou de la messagerie (consultation de sa messagerie personnelle, achats de produits, de voyages, discussions sur les réseaux sociaux...).

Les instances représentatives du personnel doivent être informées et consultées avant la mise en œuvre de ce contrôle. Et chaque salarié doit être informé :

  • des finalités poursuivies ;
  • des destinataires des données ;
  • du droit d’accès et de rectification ainsi que du droit d’opposition pour motif légitime dont il dispose (sur cette dernière option, voir les développements ci-avant).

Remarque : cette information peut se faire au moyen d’une charte, annexée ou non au règlement intérieur, d’une note individuelle ou d’une note de service...
La mise à disposition d’outils informatiques sans contrôle individualisé de l’activité doit être déclarée à la CNIL (déclaration simplifiée de conformité à la norme simplifiée n° 46 ou déclaration normale). S’il existe un contrôle individualisé (analyse des relevés de connexion poste par poste, calcul du temps passé sur internet...), il faut procéder à une déclaration normale auprès de la CNIL. Un système qui n’a pas fait l’objet d’une déclaration à la CNIL ne peut pas être opposé aux salariés.

Les limites au contrôle par l’employeur

S’agissant des limites au contrôle patronal, la CNIL fait la part entre les fichiers détenus sur l’ordinateur de travail, et les « mails ».

En ce qui concerne les fichiers informatiques, ceux-ci sont censés avoir, par défaut, un caractère professionnel et l’employeur peut en principe y accéder librement. Cependant, lorsque les fichiers sont identifiés comme personnels, l’employeur ne peut y accéder :

  • qu’en présence de l’employé ou après l’avoir appelé ;
  • ou qu’en cas de risque ou événement particulier (pour le moment, cette dernière notion reste à préciser : virus, cyberattaque, « bug » ? Selon la CNIL, il appartiendra à l’avenir aux tribunaux de définir ce qui constitue un « risque » ou « événement » informatique).

En ce qui concerne la messagerie, les « courriels » ont eux aussi, par défaut, un caractère professionnel, et l’employeur peut donc les lire, tout comme il peut prendre connaissance des sites consultés, y compris en dehors de la présence de l’employé. Cela étant, la CNIL apporte les précisions suivantes :

  • les salariés ont droit, même au travail, au respect de leur vie privée et au secret de leurs correspondances privées. Un employeur ne peut pas librement consulter les courriels privés de ses employés, et ce, même s’il a interdit d’utiliser les outils de l’entreprise à des fins personnelles. Toutefois, pour qu’ils soient protégés, les messages personnels doivent être identifiés comme tels, par exemple, en précisant dans leur objet « Personnel » ou « Privé » ou en les stockant dans un répertoire intitulé « Personnel » ou « Privé ». Attention : les courriers ne seront pas considérés comme personnels du simple fait de leur classement dans le répertoire « mes documents » ou dans un dossier identifié par les initiales du salarié ;
  • l’employeur ne peut pas recevoir en copie automatique tous les messages écrits ou reçus par ses salariés (c’est excessif) ;
  • les « keyloggers » permettant d’enregistrer à distance toutes les actions accomplies sur un ordinateur constituent un mode de surveillance illicite, sauf circonstance exceptionnelle liée à un fort impératif de sécurité ;
  • les logs de connexion ne doivent pas être conservés plus de 6 mois.
    Remarque : les marque-pages, « favoris » ou « bookmark » du navigateur ne constituent pas un espace personnel ou privé. Ajouter un site internet à ses « favoris » ne limite donc pas le pouvoir de contrôle de l’employeur.

Les identifiants et mots de passe (session Windows, messagerie.) sont confidentiels et ne doivent pas être transmis à l’employeur. Toutefois, si un salarié absent détient sur son poste des informations indispensables à la poursuite de l’activité, son employeur peut exiger la communication de ses codes si l’administrateur réseau n’est pas en mesure de fournir l’accès au poste.

En toute hypothèse, la CNIL rappelle qu’en cas de litige, il appartient aux tribunaux d’apprécier la licéité et la proportionnalité de l’accès par l’employeur à la messagerie. L’employeur peut ainsi demander au juge de faire appel à un huissier qui pourra prendre connaissance des messages de l’employé.

 Accès aux locaux et contrôle des horaires (norme simplifiée n° 42)

Mise en place d’un dispositif de contrôle (le cas échéant biométrique)

L’employeur peut mettre en place des outils - y compris biométriques - de contrôle individuel de l’accès pour sécuriser :

  • l’entrée dans les bâtiments ;
  • les locaux faisant l’objet d’une restriction de circulation.

Des dispositifs non biométriques peuvent également être utilisés pour gérer les horaires et le temps de présence des salariés. Mais dans ce dernier cas, le système mis en place ne doit pas servir au contrôle des déplacements à l’intérieur des locaux. Le dispositif ne doit pas non plus entraver la liberté d’aller et venir des représentants du personnel dans l’exercice de leur mandat, ou être utilisé pour contrôler le respect de leurs heures de délégation.

Les instances représentatives du personnel doivent être informées et consultées avant toute décision d’installer un dispositif de contrôle des horaires ou d’accès aux locaux.
En outre, chaque salarié doit être informé :

  • des finalités poursuivies ;
  • des destinataires des données issues du dispositif ;
  • de son droit d’accès et de rectification ainsi que de son droit d’opposition pour motif légitime (sur cette dernière notion, voir ci-avant).
    Cette information peut se faire au moyen d’un avenant au contrat de travail ou d’une note de service, par exemple.

S’agissant des formalités auprès de la CNIL, il faut distinguer :

  • les dispositifs sans biométrie : dans ce cas, le contrôle d’accès et le contrôle des horaires peuvent faire l’objet d’un engagement de conformité à la norme simplifiée n° 42 (déclaration simplifiée). Les dispositifs qui n’entrent pas dans le cadre de cette norme doivent faire l’objet d’une déclaration normale ;
  • les dispositifs avec biométrie. Dans ce cas, le contrôle d’accès biométrique peut faire l’objet d’un engagement de conformité (déclaration simplifiée) aux autorisations uniques suivantes : autorisation unique n° AU-007 (reconnaissance du contour de la main), autorisation unique n° AU-008 (reconnaissance de l’empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne), autorisation unique n° AU-019 (reconnaissance du réseau veineux des doigts de la main). Si le dispositif n’est pas conforme à l’une de ces autorisations uniques, il est possible de demander une autorisation spécifique. La CNIL examine au cas par cas les demandes qui lui sont adressées afin de déterminer si, au regard des éléments du dossier, le dispositif est proportionné ou non à la finalité.
Diffusion des informations et durée de conservation

Les informations ne sont accessibles qu’aux membres habilités des services gérant le personnel, la paie, ou la sécurité. L’employeur doit prévoir des mesures pour assurer la sécurité des informations concernant ses salariés et éviter que des personnes qui n’ont pas qualité pour y accéder puissent en prendre connaissance. Ainsi, il doit prévoir des habilitations pour les accès informatiques avec une traçabilité des actions effectuées (savoir qui se connecte à quoi, quand et pour quoi faire).
Les données relatives aux accès doivent être supprimées 3 mois après leur enregistrement.

Quant aux données utilisées pour le suivi du temps de travail (y compris les données relatives aux motifs des absences), celles-ci doivent être conservées pendant 5 ans.

 Vidéosurveillance - vidéoprotection au travail

Légitimité d’une surveillance par vidéo

Des caméras peuvent être installées sur un lieu de travail à des fins de sécurité des biens et des personnes, à titre dissuasif ou pour identifier les auteurs de vols, de dégradations ou d’agressions.

Ces caméras peuvent être installées au niveau des entrées et sorties des bâtiments, des issues de secours et des voies de circulation. Elles peuvent aussi filmer les zones où de la marchandise ou des biens de valeur sont entreposés.
Toutefois, même s’ils sont légitimes pour assurer la sécurité des biens et des personnes, de tels outils ne peuvent pas conduire à placer les salariés sous surveillance constante et permanente, car sur le lieu de travail comme ailleurs, ceux-ci ont droit au respect de leur vie privée. Ainsi, les caméras ne doivent pas filmer les employés sur leur poste de travail, sauf circonstances particulières (salarié manipulant de l’argent par exemple, mais dans ce cas, la caméra doit davantage filmer la caisse que le caissier ; entrepôt stockant des biens de valeurs au sein duquel travaillent des manutentionnaires, etc.,). Les caméras ne doivent pas non plus filmer les zones de pause ou de repos des salariés, ni les toilettes. Si des dégradations sont commises sur les distributeurs alimentaires par exemple, les caméras ne doivent filmer que les distributeurs et pas toute la pièce.

Enfin, les caméras ne doivent pas filmer les locaux syndicaux ou des représentants du personnel, ni leur accès lorsqu’il ne mène qu’à ces seuls locaux.

Les instances représentatives du personnel doivent être informées et consultées avant toute décision d’installer des caméras.

Les personnes concernées (employés et visiteurs) doivent être informées, au moyen d’un panneau affiché de façon visible dans les locaux sous vidéosurveillance :

  • de l’existence du dispositif ;
  • du nom de son responsable ;
  • de la procédure à suivre pour demander l’accès aux enregistrements visuels les concernant.

De plus, salarié employé doit être informé individuellement (au moyen d’un avenant au contrat de travail ou d’une note de service, par exemple).
Les formalités à accomplir auprès de la CNIL varient en fonction des lieux qui sont filmés :

  • si les caméras filment un lieu non ouvert au public (lieux de stockage, réserves, zones dédiées au personnel comme le fournil d’une boulangerie), le dispositif doit être déclaré à la CNIL. Une déclaration doit être effectuée pour chaque site ou établissement équipé. Un système qui n’aurait pas fait l’objet d’une déclaration à la CNIL ne peut être opposé aux employés ;
  • si les caméras filment un lieu ouvert au public (espaces d’entrée et de sortie du public, zones marchandes, comptoirs, caisses), le dispositif doit être autorisé par le préfet du département (le préfet de police à Paris).
Consultation des images et durée de conservation

Seules les personnes habilitées et dans le cadre de leurs fonctions peuvent visionner les images enregistrées (par exemple : le responsable de la sécurité). Ces personnes doivent être particulièrement formées et sensibilisées aux règles de mise en œuvre d’un système de vidéosurveillance.

La conservation des images ne doit pas excéder un mois.

Remarque : selon la CNIL, en règle générale, conserver les images quelques jours suffit à effectuer les vérifications nécessaires en cas d’incident, et permet d’enclencher d’éventuelles procédures disciplinaires ou pénales. Si de telles procédures sont engagées, les images sont alors extraites du dispositif (après consignation de cette opération dans un cahier spécifique) et conservées pour la durée de la procédure.
Lorsque c’est techniquement possible, une durée maximale de conservation des images doit être paramétrée dans le système. Elle ne doit pas être fixée en fonction de la seule capacité technique de stockage de l’enregistreur.

Dictionnaire permanent Sécurité et conditions de travail

CNIL, actualités, 28 janvier 2013

aller en haut de page

SPIP | Copyright © 2002 - 2012 SUD Aérien.org | Conception et habillage snoopit31

Mentions légales| squelette | | Plan du site | Suivre la vie du site RSS 2.0