Heloo

Chapitre 3 Le numérique dans l’entreprise et la protection des personnes

Un patron enfreint la loi en espionnant ses salariés avec des caméras de surveillance

1. Dans quelles conditions un employeur peut-il surveiller l’activité de ses salariés ?

Les employeurs paient leurs employés pendant leurs heures de travail. Il lui faut donc s’assurer que le salarié exécute les services pour lesquels il a été embauché et ainsi celui-ci peut percevoir son salaire.

2. Quels sont les risques et les excès potentiels de cette surveillance numérique ?

Les risques et les excès potentiels de ce suivi peuvent être, par exemple :

Sa nature potentiellement permanente ;

Les capacités de stockage et de mémoire à long terme des éléments surveillés;

Le risque d’interférer avec la vie privée des employés.

1. L’exploitation des données à caractère personnel (DCP)

A. Le respect par l’entreprise d’un cadre réglementaire

1. Expliquez pourquoi la CNIL est une autorité administrative et indépendante.

La CNIL est une autorité administrative car les problèmes liés aux fichiers numériques justifient une régulation par les pouvoirs publics. En effet, la puissance informatique est tellement quantitative et qualitative que des excès majeurs sont possibles et ne permettent pas aux acteurs privés d’être à l’abri de tout contrôle de l’administration. Cependant, la puissance publique étant elle-même un acteur utilisant des fichiers informatiques, il est nécessaire que la CNIL soit indépendante pour agir en toute liberté sur tous les fichiers, y compris ceux qui sont à la charge de la personne publique.

2. Montrez que l’action de la CNIL ne saurait être limitée à celle d’un gendarme des données à caractère personnel (DCP).

La CNIL a une mission d’information et de conseil: elle agit donc en amont pour contribuer au respect des règles, évitant ainsi des sanctions pour d’éventuelles violations. Par ailleurs, la CNIL est une agence qui contribue à la prospective et aux projets réglementaires liés au développement numérique par la surveillance.

3. Montrez en quoi le RGPD s’inscrit dans la continuité d’une réglementation existante tout en la renforçant.

Le RGPD est une amélioration de la loi du 6 janvier 1978 , “informatique et liberté” (elle-même ajoute régulièrement d’autres textes, tels que la loi sur la confiance dans l’économie numérique ou LCEN). Pour plus d’informations sur cette amélioration, voir. doc 3-Question 6.

4. Justifiez l’intérêt d’une réglementation à l’échelle supranationale.

Les données numériques sont immatérielles. Le stockage et le traitement de ces dernières peuvent donc être réalisés depuis des serveurs non localisés dans le même pays que celui où ces données ont été collectées. Il est donc essentiel d’empêcher les entreprises peu vertueuses de se livrer à un « dumping DCP » en localisant les serveurs dans les pays les moins protecteurs. Une harmonisation supranationale est donc utile pour lutter contre cette pratique.

B. Les nouvelles règles vis-à-vis des clients

5. Montrez que la règle relative à la portabilité des données est aussi une mesure en faveur de la concurrence.

Même si elle est une mesure protectrice de la liberté de tout consommateur de changer de fournisseur, la règle relative à la portabilité des données est aussi une mesure économique. En effet, elle retire aux entreprises la possibilité de mettre une barrière à la sortie pour leurs clients. Ceux-ci ayant dès lors la possibilité de changer de fournisseur, il y a bien un renforcement des pratiques concurrentielles.

6. Identifiez les mesures renforçant la responsabilisation de l’entreprise quant aux conséquences liées à l’usage des données personnelles.

Les mesures renforçant la responsabilisation de l’entreprise quant aux conséquences liées à l’usage des données personnelles sont :

le droit à notification en cas de piratage de ses données personnelles : l’entreprise étant obligée de communiquer publiquement sur une éventuelle défaillance, sa responsabilité, notamment en termes d’image, est donc bien accrue ;

le droit à réparation du dommage matériel ou moral : l’entreprise voit ici une responsabilisation, notamment financière, puisqu’elle devra indemniser les éventuels préjudices dont elle serait l’auteur.

7. Justifiez chacune des différentes étapes du plan d’action.

1ère étape : tenir un registre des traitements de données : il est nécessaire pour l’entreprise car l’effet de volume pourrait faire qu’elle ignore elle-même ce qu’elle fait en ce domaine (notion d’inventaire permanent). En outre, cet outil sera à la base de toute procédure de contrôle.

2ème étape : trier les données. L’entreprise doit désormais être minimaliste et n’exploiter que les données véritablement pertinentes pour ses besoins ;

3ème étape : respecter les droits des personnes : c’est à la fois une obligation réglementaire et légale mais c’est aussi le gage, à long terme, de ne pas voir se développer une méfiance dissuasive des personnes fichées.

4ème étape : sécuriser les données personnelles. Celles-ci sont collectées par une personne désignée pour un usage précis. Il est donc normal de garantir aux personnes fichées que tout est fait pour empêcher qu’un tiers accède à ces données.

8. Identifiez l’étape de la protection des données pour laquelle l’entreprise Darty a été défaillante.

L’étape pour laquelle l’entreprise Darty a été défaillante est celle de la sécurisation des données personnelles.

9. Montrez que la publication de cette sanction peut porter un préjudice encore plus important à l’entreprise Darty.

Au-delà des 100 000 euros d’amende, le préjudice d’image peut être important pour Darty. En effet, les utilisateurs et clients peuvent perdre confiance dans la sécurité des bases informatiques de Darty et refuser d’y avoir des comptes (ou les fermer). Cela aura forcément un impact commercial.

Pour faire le point

Rédigez un schéma à destination des entreprises pour résumer les points essentiels du RGPD.

2. Enjeux et règles du numérique dans l’entreprise

A. L’identité numérique de l’entreprise et de ses salariés

1. Identifiez les éléments constitutifs de l’identité numérique d’une entreprise.

Les éléments constitutifs de l’identité numérique d’une entreprise sont :

ses traces volontaires : les e-mails qu’elle envoie, les textes et photographies de son site… ;

ses traces involontaires : les données de navigation de ses propres salariés, les avis des clients sur les moteurs de recherche… ;

ses traces héritées : les avis échangés entre eux par les clients, les commentaires sur les forums…

2. Précisez la relation entre l’identité numérique et l’e-reputation d’une personne ou d’une entreprise.

L’e-réputation est celle qui découle des traces qui ont constitué l’identité numérique. Cela est vrai pour l’ensemble de ces traces, d’où la nécessité de bien superviser les traces volontaires et de disposer d’une veille pour identifier et réagir aux traces héritées.

3. Montrez que l’e-reputation d’une entreprise dépend d’elle-même, mais aussi de ses clients et de ses salariés.

L’entreprise choisie ce qu’elle diffuse sur le réseau numérique et génère, de ce fait, une part de son e-reputation. Néanmoins, une entreprise est une entité morale : elle ne laisse pas de trace par elle-même mais à travers les femmes et les hommes qui la composent. Ce sont donc les salariés qui vont générer les traces volontaires ou involontaires en rédigeant des contenus, choisissant des photographies, répondant à des mails… De même, les clients parlent d’une entreprise en termes élogieux ou réprobateurs : ils sont donc aussi à l’origine de la réputation numérique de l’entreprise.

4. Expliquez pourquoi il y a un risque de confusion entre l’identité numérique d’une entreprise et celle de ses salariés.

Lorsqu’un salarié publie une information, il exprime, aux yeux des tiers, la position de son entreprise. Si, par exemple, un salarié d’un service réclamation répond à un mail par des propos injurieux, ce sera autant l’e-reputation de la personne, dont le nom signe le message, que celle de l’entreprise elle-même qui sera impactée par l’expression déplacée du salarié.

B. L’obligation de respect de la vie privée des salariés

5. Expliquez pourquoi l’employeur pensait pouvoir prendre connaissance des messages de son employé.

L’employeur pensait pouvoir prendre connaissance des messages de son employé car ceux-ci avaient été rédigés sur son temps de travail à l’aide de son ordinateur professionnel, propriété de l’entreprise.

6. Justifiez les positions de la cour d’appel, puis de la Cour de cassation devant cette argumentation.

La cour d’appel a suivi l’argument de l’employeur puisque son arrêt retient la qualification de faute grave pour justifier le licenciement du salarié. Telle n’est pas la position des juges de cassation puisqu’ils estiment que la cour d’appel a violé l’article 9 du Code civil relatif à la protection de la vie privée, que la Cour de cassation applique donc au salarié sur son lieu et sur son temps de travail.

7. Expliquez-en quoi un panneau d’affichage à destination des clients ou des salariés d’une entreprise permet à cette dernière de respecter la règle de droit.

L’article de loi 1222-4 impose de porter à la connaissance d’un salarié les dispositifs permettant de collecter des informations sur lui. En apposant un panneau d’affichage à l’entrée de ses locaux, l’entreprise se conforme donc à cette obligation légale.

8. Justifiez qu’un salarié, employé comme chauffeur de cars de tourisme, ne puisse refuser de se soumettre à l’interdiction d’une consommation excessive d’alcool pendant sa pause déjeuner au motif que les menus de ses repas relèvent de sa vie privée.

L’article de loi 1221-1 interdit de porter atteinte à une liberté individuelle sauf si cela est justifié par les tâches à accomplir. En l’espèce, l’interdiction de consommer une boisson est bien une atteinte à une liberté individuelle. Néanmoins, l’activité de chauffeur de car justifie que l’employeur interdise la consommation excessive d’alcool pour le bon déroulement de sa prestation de travail.

Pour faire le point

Rédigez une courte note sur l’ensemble des risques auxquels s’expose une entreprise en ne respectant pas les règles de surveillance de ses salariés.

La forme de la note est libre mais voici les éléments de fond devant y figurer :

risques internes : perte de confiance, dégradation du climat social, décisions managériales fondées sur des informations fausses ;

risques externes : dégradation de l’image de l’entreprise auprès de la clientèle et des pouvoirs publics ;

risques juridiques : amendes, plaintes civiles des salariés…

3. Les salariés et l’usage du numérique au travail

A. L’usage personnel de l’informatique par les salariés

1. Indiquez et justifiez, pour chacune des situations ci-dessous, si elle est conforme ou non aux règles de droit.

a. Un employeur interdit toute utilisation personnelle de l’outil informatique professionnel.

Situation illicite : l’employeur doit accepter une utilisation personnelle raisonnable.

b. Un employeur bloque la possibilité de télécharger sans autorisation des programmes.

Situation licite : un téléchargement de programme peut affecter la sécurité du système informatique, générer des conflits d’opérabilité avec d’autres programmes…

c. Un employeur interdit le stockage de fichiers personnels occupant une place – même infime – sur le disque dur.

Situation illicite : si le stockage occupe une place infime, il n’affecte pas la disponibilité professionnelle des matériels.

2. Présentez la cohérence entre les règles de « protection » des messages personnels et le respect de la vie privée étudié précédemment.

Si l’employeur doit respecter la vie privée du salarié, il est bien nécessaire qu’il sache quelles informations sont susceptibles d’en relever. Il est normal de penser que les données du matériel de travail sont professionnelles par principe et personnel par exception. En imposant aux salariés d’indiquer ce caractère personnel/privé, le droit permet à l’employeur de respecter la vie privée de ses collaborateurs.

3. Montrez que les règles relatives aux identifiants et mots de passe personnels du salarié cherchent à concilier les intérêts légitimes des deux parties.

Les identifiants et mots de passe permettent au salarié d’avoir des éléments stockés qu’il ne souhaite pas forcément communiquer à son employeur. Il est donc normal que ce dernier ne puisse pas les exiger par principe. Néanmoins, la raison d’être principale de l’activité de l’entreprise est son exploitation quotidienne. De ce fait, si un salarié est absent et qu’il est nécessaire que son employeur accède à des données permettant le bon déroulement de l’activité, le droit lui permet d’en exiger la communication.

B. La surveillance de l’activité des salariés avec des outils numériques

4. Montrez que les règles relatives à la vidéosurveillance permettent de servir les intérêts légitimes de l’entreprise, tout en protégeant ceux des salariés.

La sécurisation des locaux et des matériels par une vidéosurveillance est une attente légitime des entreprises qui doivent lutter contre les malveillances, les vols… Pour autant, afin que cela ne puisse constituer une surveillance permanente des salariés, ce qui serait pénible au quotidien, cet objectif licite doit être respecté, ce qui exclut une surveillance du poste de travail lui-même (sauf exceptions).

5. Précisez si chacune des situations ci-dessous est conforme aux règles de droit.

a. Un employeur reproche à son salarié de ne pas savoir où il a déjeuné pendant sa pause.

Situation non conforme : l’employeur peut suivre son salarié pendant le temps de travail mais non sur un temps de pause.

b. Une entreprise de transport de déchets nucléaires installe une géolocalisation directement reliée à des services de secours.

Situation conforme : le type de produits transportés justifie une mesure de géolocalisation, pour intervenir en cas de problème par exemple.

6. Citez la règle de surveillance des salariés qui n’a pas été respectée par cet employeur.

La règle de surveillance que n’a pas respectée cet employeur est l’information préalable des salariés à la mise en place d’un dispositif de surveillance.

Pour faire le point

Rédigez un extrait de la charte informatique d’une entreprise pour résumer les points essentiels relatifs à la vie privée du salarié sur son lieu de travail.

Extraits de certains paragraphes :

Utilisation de l’Internet et du téléphone

Vous disposez d’un droit aux correspondances privées, l’employeur ne peut y accéder, y compris en votre présence. Pour autant, cette utilisation ne doit pas porter préjudice à la réalisation de votre travail.

Stockage des fichiers sur le matériel informatique

Tous les fichiers stockés sont présumés professionnels et, si vous les avez identifiés comme personnels, ils ne peuvent être consultés qu’en votre présence.

Droit à la déconnexion

Notre entreprise vous propose des solutions pour ne pas avoir à réaliser de tâches professionnelles en dehors de votre temps de travail.

Surveillance

Pour des raisons de sécurité il a été établi, après consultation des représentants du personnel, un dispositif de vidéosurveillance/géolocalisation/badgeuses, etc., qui a pour but d’assurer la sécurité des biens et des personnes.

A vos cas Conseil, la réponse aux problématiques en droit du numérique des entreprises

1. Apportez une réponse à l’interrogation de l’entreprise X.

a) Dans les faits, un salarié a injurié trois cadres de son entreprise par des messages laissés sur la messagerie des téléphones portables professionnels de ces derniers.

b) Un employeur peut-il utiliser des messages sur un répondeur téléphonique professionnel comme preuve pour caractériser une faute professionnelle ?

c) Deux règles de droit sont applicables en l’espèce :

l’article L1222-4 du Code du travail qui interdit de collecter une information sur un salarié sans l’en avoir préalablement informé ;

l’arrêt du 23 mai 2007 de la chambre sociale près la Cour de cassation qui précise que lorsqu’il est connu de tous qu’un procédé technique enregistre les propos d’une personne, il n’est pas nécessaire de procéder à cette information préalable.

d) Ainsi, comme pour les SMS évoqués dans la jurisprudence, il est de notoriété publique qu’un répondeur téléphonique enregistre les propos de la personne y déposant un message. Dès lors, s’appuyant sur l’arrêt du 23 mai 2007, l’entreprise X pourrait utiliser ces messages comme preuve lors d’une action en justice en écartant l’éventuelle convocation par le salarié de l’article 1222-4 du Code du travail, inapplicable en l’espèce.

2. Apportez une réponse à l’interrogation de l’entreprise Y, en suivant la méthode décrite ci-dessus.

Dans les faits, un salarié a communiqué des informations de son entreprise à la concurrence. Cela a été découvert par un autre salarié qui a consulté un ordinateur dont la session était ouverte sur un site de cloud computing. La connexion y était réalisée par un terme générique « Alpha » et le nom du répertoire contenant les documents incriminés était celui de l’entreprise.

Un employeur peut-il, dans une procédure disciplinaire, utiliser des preuves obtenues par la consultation d’un site de stockage en ligne dans le cadre d’une connexion personnelle mais qu’aucun élément ne pouvait faire savoir à l’employeur cette dernière caractéristique ?

Deux règles de droit sont applicables en l’espèce :

l’article 9 du Code civil qui permet à chacun de voir protéger sa vie privée ;

l’arrêt du 12 février 2013 de la chambre sociale près la Cour de cassation. Ce dernier précise que sont présumés professionnels les supports de stockage connectés à un ordinateur professionnel.

Ainsi, comme pour la clef USB évoquée dans la jurisprudence, un site de cloud computing constitue un support de stockage. Ce site étant accessible depuis une connexion ouverte sur un ordinateur professionnel et sans qu’aucun élément ne précise que les documents stockés soient personnels, l’entreprise Y peut se prévaloir des documents obtenus dans le cadre d’une procédure disciplinaire.

Synthèse

1. L’exploitation des données à caractère personnel (DCP)

A. Le respect par l’entreprise d’un cadre réglementaire

Créée en 1978 par la loi Informatique et Libertés, la CNIL est une autorité administrative indépendante en charge de la régulation des données personnelles. Ses missions sont :

l’information des particuliers et des professionnels sur leurs droits et obligations en matière de DCP ;

le contrôle des entreprises et administrations traitant des données personnelles et les sanctionner en cas de manquement à leurs obligations ;

l’analyse des problématiques nouvelles afin d’anticiper l’élaboration des règles pour les encadrer ;

la représentation de la position française dans les constructions de règles communes avec les « autres CNIL » européennes.

Jusqu’à l’entrée en vigueur en mai 2018 du règlement européen n°2016/679 du 27 avril 2016 sur la protection des données personnelles (cf. B), le cadre réglementaire relatif aux données à caractère personnel découlait principalement de la loi Informatique et Libertés, dont les principales dispositions pour l’entreprise sont :

d’obtenir le consentement des personnes fichées. Il s’agit de l’étape de la collecte des données : la personne fichée doit être informée et avoir explicitement accepté que des DCP la concernant soient recueillies. Les informations données pour obtenir ce consentement doivent être loyales (pas de faux motif) et transparentes ;

de définir les finalités du fichier : le responsable de traitement doit préciser à quoi les DCP collectées vont lui servir. Il ne pourra pas par la suite utiliser ces données pour un autre objectif que celui annoncé. Par ailleurs, une communication de ces données à des tiers sans le consentement préalable de la personne fichée est interdite ;

de respecter les droits des personnes :

droit d’accès : une personne peut demander directement au responsable d’un fichier s’il détient des informations sur elle et se les voir communiquer ;

droit de rectification s’il y a des erreurs dans les données enregistrées ;

droit d’opposition : toute personne physique peut, si elle a un motif légitime, s’opposer à ce que des données la concernant fassent l’objet d’un traitement ;

déréférencement : une personne peut demander aux moteurs de recherche de ne plus indiquer une page web associée à son nom et à son prénom ;

de sécuriser les données (locaux, sécurité informatique, contrôle des personnes habilitées) ;

de limiter la collecte aux seules données pertinentes et les conserver sur une durée justifiée.

B. Les nouvelles règles vis-à-vis des clients

Le RGPD (Règlement Général sur la Protection des données) crée de nouveaux droits, dont les principaux sont :

le droit à la portabilité de ses données : une personne peut récupérer et transférer ses données sans subir de problème d’interopérabilité qui pourraient la dissuader de changer de prestataire ;

le droit à notification en cas de piratage de ses données personnelles ;

le droit d’intenter une action de groupe : des personnes victimes d’une infraction relative à leurs DCP peuvent agir collectivement en justice via une association ;

le droit à réparation du dommage matériel ou moral pour les conséquences issues d’un préjudice lié à un mauvais traitement de leurs DCP (en général une faille de sécurité).

2. Enjeux et règles du numérique dans l’entreprise

A. L’identité numérique de l’entreprise et de ses salariés

L’identité numérique est l’ensemble des éléments sur supports technologiques qui sont relatifs à une personne réelle. Elle est généralement constituée de ses traces volontaires, involontaires et héritées.

Elle est l’une des composantes majeures de l’e-reputation, qui désigne les éléments de la notoriété d’une entreprise véhiculés sur des supports en ligne. Cette e-reputation de l’entreprise ne doit pas être confondue avec l’e-reputation propre à chacun de ses salariés en tant que personnes privées.

L’identité numérique est protégée par le droit : son usurpation en vue de troubler la tranquillité d’une personne est passible d’un an d’emprisonnement et de 15 000 € d’amende (art. 226-4-1 du Code pénal).

B. L’obligation de respect de la vie privée des salariés

Le premier principe à respecter ne découle pas du Code du travail mais de l’article 9 du Code civil, « Chacun a droit au respect de sa vie privée », que la jurisprudence (arrêt Nikon – 2001) applique à la vie en entreprise. On peut y ajouter deux autres règles du Code du travail :

tout dispositif de surveillance d’un salarié doit avoir été porté à sa connaissance (article L1222-4) ;

les atteintes aux libertés individuelles (ex. : s’exprimer sur un réseau social) et collectives d’un salarié doivent être justifiées et proportionnées (article L1121-1).

3. Les salariés et l’usage du numérique au travail

A. L’usage personnel de l’informatique par les salariés

Un employeur peut surveiller l’activité informatique de ses salariés en les en ayant informés au préalable, idéalement au moyen d’une charte informatique. Il peut ainsi veiller à ce que les utilisations personnelles de l’outil informatique demeurent raisonnables (notamment en termes de volume horaire), ne remettent pas en cause la sécurité du système informatique (pas de téléchargement potentiellement infecté), ne limitent pas la disponibilité du système informatique pour les besoins professionnels (pas de stockage trop volumineux ou de captation excessive de la bande passante) et ne diminuent pas la productivité du salarié (diminution de ses rendements en raison de ses occupations personnelles).

La consultation du poste informatique du salarié est licite, à l’exception des documents identifiés comme personnels. Dans ce cas, l’employeur ne peut les consulter qu’en la présence du salarié.

B. La surveillance de l’activité des salariés avec des outils numériques

Les outils numériques peuvent être utilisés pour la surveillance des locaux ou des matériels de l’entreprise et, dans une certaine mesure, de l’activité des salariés. Ces principaux outils sont les badgeuses, les solutions de vidéosurveillance et de géolocalisation.

Dans tous les cas, l’employeur doit respecter les règles suivantes :

consultation des représentants du personnel ;

licéité de la finalité déclarée puis suivie par la mise en place de cet outil ;

proportionnalité de l’outil et de son utilisation au but poursuivi (par exemple, lutter contre les vols ne justifie pas une caméra filmant des comptables à leurs bureaux) ;

information préalable des salariés de la mise en place et utilisation de ces dispositifs.

En cas de manquement à ces obligations, outre les éventuelles infractions commises, l’entreprise se verrait priver de l’utilisation des informations collectées comme preuve lors d’une action en justice.