Marie-Laure Denis, la Présidente de la CNIL a récemment accordé une interview au magazine Challenges dans laquelle elle revient sur le télétravail et les enjeux qu'il présente en matière de protection des données.
Contrôle proportionné
La CNIL rappelle que l'employeur est soumis aux dispositions du code du travail qui imposent le respect de la vie privée des salariés et une loyauté dans les dispositifs mis en œuvre pour contrôler leur activité.
L’article L. 1121-1 du code du travail prévoit que « nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ».
Ce principe est rappelé régulièrement par la Cour de cassation et la CNIL dans leurs jurisprudences en particulier en matière de contrôle des horaires ou de géolocalisation.
Cela signifie en pratique que le choix du moyen de contrôle doit être le moins intrusif, quand bien même il serait moins efficace. La Cour l’a récemment rappelé dans un arrêt concernant la géolocalisation des salariés.
Ce principe trouve tout son sens avec la mise en place du télétravail. S’assurer que ses employés travaillent est légitime pour l’employeur mais les moyens mis en œuvre ne doivent pas dépasser la raison. L’employeur ne peut pas placer le salarié sous surveillance constante, que ce soit par une webcam ou un micro, allumés en permanence. De même, le partage permanent de l’écran, ou les enregistreurs de frappe sont invasifs et disproportionnés. Enfin, en visioconférence, l’employeur ne peut pas imposer la diffusion et encore moins la captation de l’image : un salarié devra donc pouvoir s’y opposer.
Ce droit d’opposition souffre toutefois de quelques exceptions, notamment en cas d’obligation légale ou de motifs légitimes et impérieux de la part de l’employeur. On pourrait penser par exemple à un impératif fort de sécurité.
Loyauté et transparence
La CNIL nous rappelle l’exigence de loyauté de l’employeur rappelée par l’article L. 1222-4 du code du travail qui impose que tout salarié soit informé personnellement avant collecte de données le concernant. Cela interdit par exemple de mettre en place des stratagèmes pour piéger les employés.
La Présidente insiste sur l’exigence de loyauté et de confiance qui doit régner entre l’employeur et l’employé. Un évènement sur l’éthique et le travail était organisé ce jour par la CNIL.
Sécurité de l'environnement informatique
Des mesures de sécurité essentielles doivent être mises en œuvre tant pour assurer la sécurité des données personnelles que du patrimoine de l’entreprise :
- Charte informatique
- Matériel équipé en pare-feu et antivirus à jour
- VPN pour sécuriser la connexion vers les serveurs de l’entreprise
- Séparation des dossiers personnels et professionnels
La CNIL met en avant des solutions sécurisées (cela fait partie de ses missions de promouvoir des technologies protectrices de la vie privée), notamment la plateforme bretonne Tixeo, certifiée CSPN par l'ANSSI (sécurité de premier niveau). Enfin, la Présidente nous rappelle que toute violation de données doit être notifiée dans les 72 heures (celles qui présentent un risque pour les personnes).
Plaintes
La CNIL rappelle que les plaintes dans le secteur RH représentent 20 % du total et qu’elles sont liées à la surveillance excessive.
Et de rappeler que les « outils de télétravail ne doivent pas altérer la confiance entre employeurs et salariés ».
Documentation
Dans tous les cas, il faudra documenter les traitements de données mis en oeuvre au sein du registre. Parfois, l'information et la consulation du CSE sera nécessaire.
Dastra vous permet de tenir votre registre et d'embarquer l'ensemble des collabarateurs dans son édition. Donnez un accès à votre responsable RH, il pourra directement saisir et évaluer les outils qu'il met en oeuvre.
Venez tester simplement et directement Dastra sur https://app.dastra.eu/signup.