Télétravail et surveillance des salariés : la Cnil publie ses recommandations

Contrôle de l’activité des travailleurs, méthodes d’encadrement, confidentialité des données, la Cnil, commission nationale de l’informatique et des libertés, répond aux questions les plus fréquentes sur le télétravail dans un « Questions-réponses ».

 

teletravail surveillance cnil

Un accord sur le télétravail est nécessaire en dehors de la période de crise sanitaire. Il permet d’encadrer les mesures de surveillance des salariés. Photo montage à partir du site de la Cnil.

Avec la pandémie, l’usage du télétravail, auparavant peu développé au sein des entreprises françaises, connaît un essor spectaculaire. Ce dernier pose cependant de nombreuses questions notamment en termes d’évaluation du travail ou encore de protection des données. Afin de guider les employeurs, la Cnil a publié un ensemble de mises en garde et de préconisations* sur le sujet. Petit passage en revue.

 

 

 

 

_______________

Consulter les offres de formation Document unique et risques professionnels

________________

 

Contrôler l’activité des salariés en télétravail : oui mais sous certaines conditions

 

Certes, le télétravail n’est qu’un mode de travail et donc, en tant qu’employeur, vous conservez votre pouvoir d’encadrement et de contrôle. Cependant, la surveillance de vos salariés doit se faire de manière proportionnée et ne pas porter atteinte au respect des droits et des libertés des salariés, rappelle la Cnil.

 

_______________

Lire aussi l’article : Accord télétravail du 26 novembre 2020

_______________

 

 

Conformément au code du travail et au règlement général de protection des données (RGPD), vous avez par ailleurs une obligation de loyauté à l’égard de vos employés. Vous devez ainsi les informer au préalable à chaque fois que vous mettez en place un dispositif de contrôle de leurs activités. Si vous manquez à cette obligation, votre responsabilité peut être engagée. Par ailleurs, il est important que vous informiez et consultiez les représentants du personnel. Enfin, vous devez enregistrer ce système de surveillance au registre des traitements. Lorsque votre dispositif présente un risque élevé pour les droits et les libertés des salariés, alors il doit obligatoirement faire l’objet d’une analyse d’impact relative à la protection des données (voir encadré ci-dessous).

 

La surveillance des salariés permanente n’est pas autorisée

 

C’est le code du travail qui le dit : vous ne pouvez pas placer vos salariés sous surveillance permanente. En pratique, la Cnil rappelle ainsi qu’il n’est pas possible de contraindre vos salariés à :

  • Se mettre en visioconférence tout au long de leur temps de travail pour s’assurer de leur présence derrière l’écran.
  • Faire un partage permanent de l’écran et/ou d’utiliser des « keyloggers » (logiciels qui permettent d’enregistrer l’ensemble des frappes du clavier effectuées par une personne sur un ordinateur) ;
  • Cliquer toutes les X minutes sur une application pour s’assurer qu’ils soient bien au travail derrière leurs ordinateurs.

 

Pour contrôler l’activité de vos salariés, il existe des moyens alternatifs, souligne la commission. En tant qu’employeur, vous pouvez, par exemple, décider de mettre en place un « contrôle de la réalisation par objectifs pour une période donnée ». Un compte-rendu régulier du salarié peut également être décidé.

 

De la même manière, la Cnil recommande aux employeurs de ne pas « imposer l’activation de leur caméra aux salariés en télétravail qui participent à des visioconférences ». Pourquoi ? Cette recommandation découle du « principe de minimisation des données ». L’article 5.1.c du RGPD précise en effet que les données traitées doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». En pratique, une participation via le micro est donc suffisante, souligne la Cnil.

 

Notez que la Cnil peut effectuer des contrôles à distance ou sur place. En cas de non-respect du RGPD ou de la loi, elle peut mettre en demeure votre entreprise ou prononcer une sanction financière.

 

 

_______________

Consulter les offres de formation Négociation d’accord

_______________

 

 

Assurer la confidentialité des données

 

Vous devez vous assurer, même si vos salariés utilisent leurs propres équipements informatiques (téléphone portable, ordinateur, tablette), que « le niveau de sécurité et de confidentialité des données traitées soit le même », rappelle la commission.

 

En tant qu’employeur, vous êtes en effet « responsable de la sécurité des données personnelles de votre entreprise, y compris lorsqu’elles sont stockées sur des terminaux » dont vous n’avez pas la maîtrise physique.

 

 

 Les registres des activités de traitement et d’analyse d’impact relative à la protection des données (AIPD)

 

A quoi servent ces deux registres ?

–          Le registre des activités de traitement est prévu par l’article 30 du RGPD. Ce document vous permet de recenser vos traitements de données et de disposer d’une vue d’ensemble de ce que vous faites avec les données personnelles dans l’entreprise.

 

–          Le registre d’analyse d’impact relative à la protection des données ou AIPD, est un outil important pour la responsabilisation des organismes. Il les aide non seulement à construire des traitements de données respectueux de la vie privée, mais aussi à démontrer leur conformité au règlement général sur la protection des données (RGPD). L’analyse est obligatoire pour les traitements susceptibles d’engendrer des risques élevés.

 

Source : Cnil

 

 

Lou-Eve Popper

*https://www.cnil.fr/fr/les-questions-reponses-de-la-cnil-sur-le-teletravail