Surveillance des salariés
27 mars 2025
Surveillance des salariés : Bien choisir la méthode
La CNIL a publié le 4 février dernier, une délibération qu’elle a rendue le 19 décembre 2024, et par laquelle elle a sanctionné une entreprise en raison d’une surveillance de ses salariés jugée excessive.
Peut-on y voir une fragilisation de l’employeur dans l’exercice de son pouvoir de direction ?
Il est permis de répondre par la négative, au regard de la nature très spéciale des méthodes adoptées par l’employeur en l’espèce.
- Rappel des faits de l’espèce
Après que la CNIL ait reçu des plaintes dirigées contre le système de surveillance des salariés en place au sein d’une société, elle a déplacé une délégation dans les locaux de ladite société, afin de procéder à un contrôle.
Ont été inspectés, à la fois le système de vidéosurveillance et le système de surveillance de l’activité sur les postes de travail mis en place, le premier dans un objectif de prévention des vols et le second à des fins de mesures du temps de travail et de la productivité des salariés selon l’employeur.
Il est ressorti de ces investigations que :
- S’agissant de la vidéosurveillance: la société qui avait installé deux caméras au sein de l’un de ses établissements, filmait en permanence ses salariés, en captant l’image et le son ;
- S’agissant du suivi de l’activité des salariés en particulier durant le télétravail: la société mesurait le temps de travail de certains salariés (le personnel non-cadre) et évaluait leur performance de manière très précise par le biais d’un logiciel (TIME DOCTOR) installé sur leurs ordinateurs.
Le logiciel était installé sous deux versions, la première, dite » interactive « , sur les ordinateurs personnels des employés, nécessitant une activation et une désactivation manuelle par ces derniers pendant leur temps de travail et de pause, et la seconde, dite » silencieuse « , installée sur les ordinateurs fournis par la société, pour laquelle l’activation et la désactivation étaient automatiques lors du démarrage et de l’arrêt des ordinateurs.
Ce logiciel comptabilisait les périodes d’« inactivité » des salariés en détectant l’absence de frappes sur le clavier ou de mouvements de souris sur une durée comprise entre 3 et 15 minutes. En outre, le logiciel effectuait des captures d’écran à intervalles rapprochés, avec l’option « screencast » activée en permanence, même en version « silencieuse » sur les ordinateurs professionnels. Ce paramétrage permettait de surveiller en détail l’activité numérique des employés.
Sans surprise, le gendarme du numérique a jugé que cette surveillance était disproportionnée et a infligé à la société une amende administrative de 40 000 euros (montant réduit du fait de la petite taille de l’entreprise), après avoir caractérisé plusieurs manquements au règlement général sur la protection des données (RGPD).
- La CNIL confirme sa tendance à apprécier sévèrement les méthodes de surveillance des salariés
On le sait, la surveillance des salariés et le contrôle de leur activité sont inhérents au pouvoir de direction de l’employeur même si ce contrôle se voit enserré dans les limites du respect des droits et libertés des salariés, en particulier le droit au respect de leur vie privée.
La CNIL (Cnil Guide 23-7-2018) suivie par la jurisprudence a déjà eu l’occasion de trancher la question des limites de la vidéosurveillance des salariés aux lieux et aux temps de travail.
Il a ainsi été jugé qu’une caméra filmant de manière constante le local où le salarié travaille, porte une atteinte disproportionnée à la vie personnelle par rapport au but de sécurité des personnes et des biens allégué par l’employeur et est illicite (Cass. Soc. 23-6-2021 n° 19-13.856). A contrario, est licite le dispositif de vidéosurveillance mis en place, à l’insu des salariés, en raison de soupçons raisonnables de faits graves de vols parmi eux (CEDH 17-10-2019 n° 1874/13).
S’agissant de la surveillance de l’activité via la mise en place d’un logiciel sur le poste informatique, la CNIL avait rendu un avis dans le cadre de questions réponses du 12 novembre 2020, où elle indiquait que le partage permanent de l’écran et/ou l’utilisation de « keyloggers » (logiciels qui permettent d’enregistrer l’ensemble des frappes au clavier effectuées par une personne sur un ordinateur), ou encore l’obligation pour le salarié d’effectuer très régulièrement des actions pour démontrer sa présence derrière son écran comme cliquer toutes les X minutes sur une application ou prendre des photos à intervalles réguliers, sont des procédés invasifs pouvant s’analyser en une surveillance permanente et disproportionnée. (QR Cnil du 12-11-2020).
* * *
Au cas d’espèce, la sanction écopée se fonde sur plusieurs principes du RGPD manifestement violés en l’espèce : le principe de minimisation des données (article 5 RGPD), le principe de licéité du traitement (article 6 RGPD), le principe d’information et de transparence (articles 12 et 13 RGPD), le principe de sécurité des données (article 32 RGPD) mais également l’obligation pour le responsable du traitement des données à caractère personnel de réaliser au préalable une analyse d’impact.
S’agissant des méthodes de surveillance inspectées, étaient en jeu la vidéosurveillance d’une part, le traçage des périodes d’inactivité via le logiciel TIME DOCTOR d’autre part, mais également les capture d’écran automatiques réguliers.
Un esprit non aguerri pourrait penser que l’employeur pêche en l’espèce par accumulation.
Mais peut-on supposer que la CNIL aurait été plus tolérante en présence d’un logiciel de traçage du temps de travail du salarié seulement via les captures d’écran réguliers ou seulement via le décompte des temps d’inactivité supposée du salarié ? Il semble bien que non et que le caractère permanent ou même désormais « quasi permanent » de la surveillance (pour reprendre les termes de la CNIL dans cette délibération) sonnera systématiquement le glas de l’expression du pouvoir de direction de l’employeur qui est pourtant une contrepartie naturelle du contrat de travail.
* * *
Seules des circonstances exceptionnelles, peuvent justifier les méthodes de surveillance permanentes ou quasi permanentes et la délibération commentée nous apprend surtout que le télétravail ne constitue pas une circonstance exceptionnelle susceptible de justifier de telles méthodes de surveillance.
|
* * *
Mais alors, comment l’employeur peut-il assurer de façon efficace le suivi du temps de travail des salariés, en particulier lorsqu’ils travaillent à distance ?
Il peut sembler incohérent de mettre à la charge de l’employeur une obligation de suivi du temps de travail par des méthodes fiables, le Code du travail disposant que « Si le décompte des heures de travail accomplies par chaque salarié est assuré par un système d’enregistrement automatique, celui-ci doit être fiable et infalsifiable » (article L3171-4, dernier alinéa), tout en condamnant tous les systèmes de décompte automatique du temps de travail dès qu’ils sont actifs de façon permanente, et plus encore s’ils ne sont que « quasi-permanentes » ; et cela d’autant plus sans mettre dans la balance, la nature même de l’activité du salarié ou encore l’usage que fait l’employeur de ce décompte in fine (décompte à visée d’estimation par exemple) .
Pourtant, la CNIL rappelle elle-même la définition du temps du travail qui s’entend comme le temps pendant lequel le salarié est à la disposition de l’employeur et se conforme à ses directives sans pouvoir vaquer librement à des occupations personnelles. La CNIL précise ainsi au point 48 de sa délibération que : « la formation restreinte relève tout d’abord que des périodes pendant lesquelles le salarié n’utilise pas son matériel informatique peuvent également correspondre à du temps de travail effectif au cours duquel il peut effectuer diverses tâches, dans le cadre de ses missions, comme par exemple des réunions, du travail manuel à la demande d’un responsable, ou encore des appels téléphoniques ».
Au-delà du respect des principes généraux du RGPD, il est donc légitime de se demander si l’employeur pourrait éventuellement espérer trouver un rempart dans la prise en compte dans sa méthode de surveillance, de tous les épisodes susceptibles d’être comptabilisés comme du temps de travail, par une appréciation au cas par cas donc, en fonction de la nature de l’activité du salarié. Dans le cas contraire, le raisonnement de la CNIL serait à notre sens critiquable.
En outre, la délibération ne précise pas si la société concernée disposait d’un Comité Social et Economique (CSE), ni, le cas échéant, quelle a été l’implication des élus du personnel aussi bien dans la mise en place des dispositifs de surveillance que dans les investigations opérées par la CNIL. Il serait en effet intéressant de savoir si un dispositif similaire, ayant obtenu l’aval du CSE, aurait eu une chance d’échapper à la censure, de ce seul fait, prenant donc en compte une particularité professionnelle dont les élus du personnel auraient conscience.
On rappellera à ce propos que le CSE doit être informé et consulté avant toute mise en place d’un système de surveillance de l’activité des salariés.
- Quels enseignements pour votre entreprise ?
Surveillance oui, mais non sans limite. C’est ce qu’on retiendra de la délibération 2024-021 rendue par la CNIL le 19 décembre 2024.
La surveillance de l’activité des salariés, y compris en télétravail, n’est pas interdite, heureusement.
Cette délibération rappelle en revanche qu’une telle surveillance ne doit pas dégénérer en abus, ce qui est compréhensible, même si les contours de l’abus mériteraient à notre sens d’être précisés.
Elle s’inscrit dans la droite ligne des précédents avis de la CNIL sur le sujet de la surveillance de l’activité des salariés via un logiciel de contrôle installé sur leur matériel de travail et pose à notre sens les bases d’une jurisprudence à surveiller dans un contexte de démocratisation du travail à distance.
En effet, outre les sanctions financières telles que celle infligée à l’entreprise contrôlée en l’espèce, l’employeur prend un risque pénal et réputationnel non négligeable, de même qu’il pourrait nourrir défavorablement tout litige devant la juridiction prud’hommale ayant un lien direct ou indirect avec les conditions de travail de ses salariés.
Derrière cette réticence de la CNIL aux systèmes numériques de contrôles de l’activité des salariés, dont on comprend qu’ils requièrent la plus grande prudence afin de ne pas enfreindre les limites de la proportionnalité au but légitime recherché, on peut lire une ode à la priorisation des méthodes de contrôles non invasives telles que le contrôle à intervalle régulier de la réalisation des objectifs, ou encore l’instauration de système de comptes rendu réguliers.
|
En définitive, la surveillance des salariés, en télétravail notamment, parce qu’elle peut, à juste titre, être tentante, doit faire l’objet d’une réflexion préalable murie.
A l’heure où le marché de la technologie pullule de logiciels de plus en plus sophistiqués en vue du contrôle de l’activité des salariés, il ne faudra pas hésiter à recueillir l’avis d’un avocat avant le déploiement de tout système de surveillance, et ce afin de sécuriser au maximum cette mise en place et éviter de regrettables surprises.