Surveillance des salariés par l’employeur : les règles à respecter

Le 22 mars dernier s’ouvrait, devant le tribunal correctionnel de Versailles, le procès de l’affaire qualifiée d’espionnage chez le géant de l’ameublement IKEA. Parmi les différents chefs d’accusation, la multinationale se voit notamment reprocher la collecte par un moyen frauduleux, déloyal ou illicite, et la conservation illégale de données à caractère personnel concernant ses salariés.Elle aurait, par le biais de son directeur du département gestion du risque, sollicité des investigations sur des collaborateurs auprès de sociétés prestataires et obtenu des informations relatives aux antécédents judiciaires des nouveaux embauchés, strictement réservées aux autorités de police.Cette affaire est l’occasion de rappeler les limites des pouvoirs de l’employeur en matière de contrôle et de surveillance de ses salariés.

 

  1. Les mesures que l’employeur peut mettre en place

Si l’employeur est effectivement en droit de collecter des informations portant personnellement sur ses salariés (type de permis de conduire détenu par le salarié, personne à prévenir en cas d’urgence…), c’est à condition de les en informer préalablement, conformément aux dispositions des articles L.1221-9 et L.1222-4 du Code du travail, ceci y compris en simple phase de recrutement. Dans cette hypothèse, les informations doivent avoir un lien direct et nécessaire avec l’emploi proposé ou l’évaluation des aptitudes professionnelles du candidat. Il est donc interdit de demander à un candidat son numéro de sécurité sociale, ses opinions politiques, son appartenance syndicale.

 

L’employeur est également recevable à contrôler leur activité. Mais là encore, la mise en œuvre d’un tel contrôle doit être préalablement portée à la connaissance des salariés en vertu de l’article L.1221-3. Plus encore, cette possibilité est subordonnée à une information et une consultation préalable du comité social et économique (CSE) portant sur les moyens techniques permettant le contrôle de l’activité (vidéosurveillance, géolocalisation des véhicules, écoute et enregistrement des appels…), en vertu de l’article L.2312-38 du même code.

 

  1. Les précautions à prendre lors de la mise en place de ces mesures

En tout état de cause, et afin d’assurer le respect de la vie privée des salariés, les mesures prises par l’employeur tendant à la collecte d’informations personnelles ou au contrôle de l’activité doivent être strictement nécessaires, c’est-à-dire justifiées par la sécurité des biens et des personnes (prévenir les risques de vol, harcèlement…) ou par des motifs économiques (assurer la bonne exécution du travail par les salariés). Dans cette même logique, elles doivent également être proportionnées au but recherché, comme le prévoit l’article L.1121-1 du Code du travail. L’utilisation de keyloggers (dispositifs d’espionnage qui enregistrent les suites de touches sur un clavier d’ordinateur) est, par exemple, disproportionnée. De même, l’employeur n’a pas la possibilité de consulter les emails, fichiers ou dossiers identifiés comme personnels ou privés, y compris lorsqu’ils sont stockés sur le lieu de travail.

 

Etant par ailleurs précisé que la collecte d’informations ou le contrôle de l’activité entraînent souvent le traitement de données à caractère personnel portant sur le salarié. Or, un tel traitement doit, de manière additionnelle, être diligenté dans le respect de la règlementation applicable à ces données particulières, notamment la Loi Informatique et Libertés du 6 janvier 1978 et le Règlement Général sur la Protection des Données (RGPD). Ces deux fondements imposent également à l’employeur, une fois la collecte ou le contrôle effectué, d’assurer la sécurité des données afin d’empêcher toute violation.

 

  1. Le risque en cas de non-respect de ces précautions

En cas de collecte d’informations personnelles sur les salariés ou de contrôle de leur activité en méconnaissance de ces dispositions, les éléments recueillis par l’employeur selon ces moyens de preuve illicites ne peuvent être versés aux débats en cas de contentieux devant les juridictions prud’homales. A fortiori, les informations collectées ne peuvent servir au soutien d’une sanction ou d’un licenciement.

 

De même, le défaut de consultation préalable du CSE peut être constitutif du délit d’entrave sanctionné par l’article L.2317-1 du Code du travail par une peine d’amende de 7.500 euros. En toute hypothèse, les membres du CSE peuvent exercer leur droit d’alerte en cas d’atteinte au droit à la vie privée des salariés découlant d’un dispositif de contrôle, de leur propre initiative ou à la demande d’un salarié. L’employeur est alors tenu de déclencher une enquête, et à défaut de solution, le salarié ou les membres du CSE peuvent saisir le bureau de jugement du conseil de prud’hommes qui statue en la forme des référés sur le fondement de l’article L.2312-59 du Code du travail, afin d’ordonner à l’employeur de prendre toute mesure propre à faire cesser l’atteinte.

 

Plus encore, le bon respect du cadre juridique encadrant le traitement des données personnelles est contrôlé par la Commission Nationale de l’Informatique et des Libertés (CNIL), qui dispose d’un pouvoir normatif et peut ainsi prononcer des sanctions pécuniaires. La CNIL a ainsi sanctionné d’une amende de 1.000 euros l’installation d’un système de vidéosurveillance à l’insu des salariés et sans déclaration préalable. La CNIL peut également saisir le juge des référés en cas d’atteinte grave et immédiate aux droits et libertés, ou encore dénoncer au parquet les infractions dont elle prend connaissance.

 

A l’instar de l’entreprise IKEA, l’employeur s’expose également à une condamnation pénale sur le fondement de l’article 226-18 du Code pénal pour collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite. Cette infraction est sanctionnée d’une peine d’emprisonnement de 5 ans et de 300.000 euros d’amende. Le non-respect de son obligation de sécurisation des données expose lui aussi l’employeur à une peine pénale identique, sur le fondement de l’article 226-16 du même code.

 

A ce risque pénal s’ajoute la possibilité, pour le salarié, d’engager la responsabilité civile de son employeur en cas d’atteinte préjudiciable à sa vie privée ou de saisir l’inspection du travail.

 

Par David Laurand, associé du cabinet Cinetic Avocats