Qu’est-ce que le télétravail ?
Le télétravail est une forme d’organisation du travail, qui s’effectue à distance des locaux de l’employeur, par opposition au travail effectué « sur site », au moyen des technologies de l’information et de la communication.
Encadré par différents textes, il l’est notamment dans le secteur privé par un accord national interprofessionnel (ANI) et par le Code du travail, tandis que les principes pour le secteur public sont issus des dispositions de la loi dite « Sauvadet » et de différents décrets.
Jusqu’à présent modestement développé en France, le télétravail a connu un essor spectaculaire lors du premier épisode de confinement, permettant à de nombreuses entreprises et administrations de maintenir leur activité.
Source de nombreuses opportunités s’il est bien encadré, le recours au télétravail soulève également de nombreuses questions qui ne se limitent pas à la protection des données, telles que le droit à la déconnexion et la porosité des vies personnelle et professionnelle, l’évolution de la fonction managériale et de l’évaluation du travail, ou encore la place du collectif dans le travail.
Parmi ces questions figurent celle de la protection des données personnelles des salariés, mais aussi celle des données que les salariés peuvent être amenés à traiter.
Quelles sont les conditions de mise en place du télétravail ?
En temps « normal », sa mise en place doit faire l’objet d’un accord avec l’employeur formalisé par tout moyen, qu’il s’agisse d’un accord collectif ou individuel, ou encore d’une charte (article L. 1222-9 du Code du travail).
Dans le cadre de la pandémie de COVID-19, un accord n’est en revanche pas nécessaire et le télétravail peut alors être imposé aux salariés par l’employeur.
L’employeur peut-il contrôler l’activité des salariés en télétravail ?
Oui, si cela ne porte pas atteinte aux droits et libertés des salariés et en respectant certaines règles.
Le télétravail n’étant qu’une modalité d’organisation de travail, l’employeur conserve, au même titre que lorsque le travail est effectué sur site, le pouvoir d’encadrer et de contrôler l’exécution des tâches confiées à son salarié.
Néanmoins, si le pouvoir de contrôle de l’employeur est une contrepartie normale et inhérente au contrat de travail, les juridictions ont rappelé de manière constante que ce pouvoir ne saurait être exercé de manière excessive.
L’employeur doit donc toujours justifier que les dispositifs mis en œuvre sont strictement proportionnés à l’objectif poursuivi et ne portent pas atteinte excessive au respect des droits et libertés des salariés, particulièrement le droit au respect de leur vie privée.
Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché.
- article L. 1121-1 du Code du travail
Conformément tant au Code du travail qu’au RGPD, l’employeur est également soumis à une obligation de loyauté envers ses salariés.
Il doit à ce titre informer l’ensemble des salariés, préalablement à leur mise en œuvre, des éventuels dispositifs de contrôle de leur activité. Un employeur qui viendrait à manquer à cette obligation pourra voir sa responsabilité engagée ; par ailleurs, les juridictions ont rappelé à maintes reprises que les preuves obtenues à l’aide de tels dispositifs ne peuvent pas, en principe, être invoquées pour justifier une sanction.
L’information et la consultation des représentants du personnel participent à une meilleure transparence et au dialogue social, et constituent des conditions essentielles de mise en œuvre de ces dispositifs.
De la même manière, les juridictions ont eu l’occasion de rappeler qu’il est interdit à l’employeur d’avoir recours à des stratagèmes visant à « piéger » un salarié.
Par ailleurs, si depuis l’entrée en application du RGPD les traitements de surveillance de l’activité des salariés n’ont pas à faire l’objet d’une formalité préalable auprès de la CNIL, ils devront cependant être portés au registre des traitements.
Les traitements de données personnelles susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes concernées doivent faire l’objet d’une analyse d’impact.
Plus particulièrement, la liste des traitements pour lesquels une AIPD est requise rappelle que, dans les cas où ils peuvent être justifiés, les traitements ayant pour finalité de surveiller de manière constante l’activité des employés concernés doivent obligatoirement faire l’objet d’une analyse d’impact relative à la protection des données (AIPD).
L’employeur peut-il surveiller constamment ses salariés ?
Comme tout traitement de données personnelles, un système de contrôle du temps de travail ou d’activités, qu’il s’effectue à distance ou « sur site », doit notamment :
avoir un objectif clairement défini et ne pas être utilisé à d’autres fins ; être proportionné et adéquat à cet objectif ; nécessiter une information préalable des personnes concernées. Ne pas utiliser d’outil de surveillance permanente
En tout état de cause, comme le rappelle notamment les juridictions sociales et le code du travail, si l’employeur peut contrôler l’activité de ses salariés, il ne peut les placer sous surveillance permanente, sauf dans des cas exceptionnels dûment justifiés au regard de la nature de la tâche.
Les exemples suivants n’apparaissent pas compatibles avec ces principes :
la surveillance constante au moyen de dispositifs vidéo (tels qu’une webcam) ou audio. Il peut s’agir, par exemple, de la demande faite par un employeur à un employé de se mettre en visioconférence tout au long de son temps de travail pour s’assurer de sa présence derrière son écran.
Un tel un système place les salariés sous surveillance permanente est excessif : il ne peut donc être mis en œuvre, qu’il s’agisse de poursuivre un objectif de sécurité ou un objectif de surveillance du temps de travail. Des moyens alternatifs moins intrusifs existent pour ce faire.
Le partage permanent de l’écran et/ou l’utilisation de « keyloggers » (logiciels qui permettent d’enregistrer l’ensemble des frappes au clavier effectuées par une personne sur un ordinateur).
De tels procédés sont particulièrement invasifs et s’analysent en une surveillance permanente et disproportionnée des activités des employés.
L’obligation pour le salarié d’effectuer très régulièrement des actions pour démontrer sa présence derrière son écran comme cliquer toutes les X minutes sur une application ou prendre des photos à intervalles réguliers. Privilégier une adaptation des méthodes d’encadrement
En tant que nouvelle organisation du travail, le télétravail implique également une adaptation des méthodes d’encadrement et d’évaluation des salariés.
La mise en œuvre du télétravail par un organisme devrait donc être précédée d’une réflexion sur ces questions.
Quelles précautions prendre en cas d’utilisation par les salariés de leur équipement personnel (téléphone portable, ordinateur, tablette…) ?
La réglementation en matière de protection des données personnelles veut que le niveau de sécurité et de confidentialité des données personnelles traitées soit le même, quel que soit l’équipement utilisé.
L’employeur reste en effet responsable de la sécurité des données personnelles de son entreprise, y compris lorsqu’elles sont stockées sur des terminaux dont il n’a pas la maîtrise physique ou juridique, mais dont il a autorisé l’utilisation pour accéder aux ressources informatiques de l’entreprise.
Par ailleurs, si l’employeur est en principe libre d’accéder aux données présentes sur l’équipement professionnel confié au salarié, qui sont présumées avoir un caractère professionnel, ce n’est pas le cas pour les données figurant sur l’équipement personnel de ses employés.
Le recours au BYOD est donc une décision qui doit être prise après avoir mis en balance les intérêts et les inconvénients présentés par cet usage qui brouille la frontière entre vie personnelle et vie professionnelle.
Visioconférence : un employeur peut-il obliger un salarié à activer sa caméra lors d’une réunion ?
Cette recommandation découle du principe de minimisation des données, consacré par l’article 5.1.c du RGPD et selon lequel les données traitées doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées » : or, dans la plupart des cas, une participation via le micro est suffisante.
Bien que la diffusion de l’image puisse participer à la convivialité dans une période d’éloignement de ses collègues, le télétravail, particulièrement lorsqu’il est subi en raison de la crise sanitaire, peut porter atteinte au droit au respect de la vie privée, tout particulièrement aux autres personnes présentes au domicile.
Dès lors, un salarié doit pouvoir en principe refuser la diffusion de son image lors d’une visioconférence en mettant en avant les raisons tenant à sa situation particulière. Seules des circonstances très particulières, dont il appartiendrait à l’employeur de justifier, pourrait rendre nécessaire la tenue de la visioconférence à visage découvert.