Comme pour le travail sur site, l’employeur est fondé à contrôler l’activité des salariés placés en télétravail.
Les conditions de validité de contrôle de l’activité des salariés en télétravail
Pour la mise en oeuvre du contrôle de l’activité des salariés, l’employeur doit veiller à :
- respecter les droits et libertés de ses salariés,
- informer et consulter le CSE,
- informer les salariés,
- le cas échéant, mener une analyse d’impact,
- mettre à jour son registre des activités de traitement.
Respecter les droits et libertés de ses salariés
La mise en place d’un dispositif de contrôle des salariés ne doit pas conduire à apporter de restrictions aux droits et libertés des personnes qui ne seraient pas proportionnées au but recherché et justifiées par l’intérêt légitime de l’entreprise (art. L.1121-1 du Code du travail).
Bien que l’employeur dispose de la possibilité de contrôler l’activité des salariés placés en télétravail, il n’en demeure pas moins qu’il doit respecter les droits et libertés de ses salariés, tels que le droit au respect de leur vie privée et le droit au respect de leurs correspondances (art. 9 du Code civil ; art. 226-1 du Code pénal).
La jurisprudence reconnaît depuis plusieurs années que le salarié a droit, même sur le temps et le lieu de travail, au respect de l’intimité de sa vie privée et du secret de ses correspondances.
Par exemple, l’employeur ne peut pas, par principe, consulter les messages identifiés comme « PRIVE », « PERSONNEL » ou « CONFIDENTIEL » par un salarié sur sa boîte de messagerie électronique professionnelle (Cass. soc., 2-10-2001, n°99-42.942).
Informer et consulter le CSE
L’employeur doit informer et consulter préalablement le comité social et économique sur les moyens ou les techniques permettant un contrôle de l’activité des salariés (art. L.2312-38 du Code du travail).
En cas de non-respect de cette obligation, l’employeur s’expose à ce que les juges :
- retiennent un délit d’entrave,
- le condamnent à verser au salarié des dommages et intérêts et
- considèrent que le licenciement est sans cause réelle et sérieuse puisque fondé sur une preuve illicite.
Informer les salariés
L’employeur ne peut pas collecter des informations de ses salariés au moyen d’un dispositif qui n’a pas été porté préalablement à leur connaissance (art. L.1222-4 du Code du travail).
Surtout, dans la mesure où le dispositif collecte des données à caractère personnel des salariés, l’employeur est tenu de les informer (art. 13 du RGPD et art. 48 de la loi Informatique et libertés modifiée) sur :
- l’identité et les coordonnées du responsable du traitement (l’employeur),
- le cas échéant, l’identité et les coordonnées du délégué à la protection des données,
- la finalité du traitement mis en œuvre,
- la base juridique du traitement mis en œuvre,
- les destinataires des données,
- le cas échéant, l’existence d’un transfert de données hors Union européenne,
- la durée de conservation des données,
- leurs droits.
Cette information peut être inscrite dans la charte d’utilisation des systèmes d’information.
Il est conseillé d’adopter une charte d’utilisation des systèmes d’information
La charte d’utilisation des systèmes d’information est le document de référence et de régulation de l’utilisation des systèmes d’information et donc du contrôle de l’utilisation comme l’ont précisé d’ailleurs l’Anssi et la Cnil.
Aucune disposition légale ne met expressément à la charge de l’employeur l’obligation d’édicter une charte d’utilisation des systèmes d’information. Cependant, l’existence d’un tel document au sein d’une entreprise s’impose au regard :
- d’impératifs légaux, l’adoption d’une charte permettant à l’employeur de satisfaire à différentes obligations mises à sa charge,
- des recommandations des autorités compétentes en la matière, comme la Cnil ou l’Hadopi,
- de référentiels spécifiques.
Une charte d’utilisation des systèmes d’information est également un outil probatoire.
Elle facilite l’établissement de la preuve en cas d’actes illicites commis à l’aide du matériel informatique mis à la disposition des salariés.
Cela évite toute difficulté liée à l’administration de la preuve par l’employeur dans le cadre d’un potentiel contentieux ultérieur.
Mener une analyse d’impact
D’autres obligations s’imposent en cas de dispositifs susceptibles d’engendrer un risque élevé pour les droits et libertés des salariés ; ce qui peut être le cas d’un dispositif de contrôle de l’activité des salariés en télétravail.
L’employeur est en effet tenu de réaliser préalablement une analyse d’impact (art. 35 du RGPD et art. 62 de la LIL).
Mettre à jour son registre des activités de traitement
Contrôler l’activité des salariés placés en télétravail implique pour l’employeur de mettre en œuvre un traitement de données à caractère personnel.
Par conséquent, l’employeur est tenu d’inscrire ce traitement dans son registre des activités de traitement (art. 30 du RGPD et art. 100 de la LIL modifiée).
Ce qu’il ne faut pas faire pour contrôler l’activité en télétravail
Afin de contrôler l’activité des salariés placés en télétravail, l’employeur ne peut pas, par exemple :
- installer un logiciel permettant d’enregistrer à distance l’ensemble des frappes au clavier effectuées par une personne sur son ordinateur,
- demander aux salariés d’activer leur caméra toute la journée afin de vérifier leur présence.
Ce qu’il est possible de faire pour contrôler l’activité en télétravail
Rien n’interdit à l’employeur de contrôler l’activité des salariés placés en télétravail, par exemple en :
- contrôlant les heures de connexion et de déconnexion des salariés,
- contrôlant l’importance des flux entrants et sortants de la messagerie professionnelle d’un salarié.
La Cnil recommande de privilégier une adaptation des méthodes d’encadrement passant notamment par le contrôle de la réalisation par objectifs et la réalisation de comptes rendus réguliers.
Pour contrôler l’activité des salariés placés en télétravail, il est donc primordial pour l’employeur de :
- respecter les conditions préalables à l’implémentation d’un dispositif de contrôle,
- ne pas recourir à un dispositif contrôlant ses salariés de manière permanente,
- ne pas recourir à un dispositif de contrôle trop intrusif pour ses salariés.