Quelles sont les règles en matière de contrôle d’activité des salariés par les logs de connexion ? Devant le recours massif au télétravail en période de confinement, cette question nécessite un rappel des principes.
Rappel des principes
Le manager ou plus généralement l’employeur a-t-il le droit de contrôler le travail de ses collaborateurs ?
La réponse est affirmative, c’est même une prérogative de l’employeur. Il doit en effet satisfaire aux obligations légales qui lui incombent en particulier dans certains secteurs. Il doit également répondre du bon usage professionnel des système d’information mis à la disposition de ses salariés.
Ces règles se trouvent généralement dans la charte d’utilisation des systèmes d’information (ordinateur, smartphone, messagerie professionnelle, etc.) qui est le prolongement du règlement intérieur de l’entreprise.
Les outils de traçage de l’activité des salariés
Il n’y a rien de nouveau en droit puisque le Code du travail encadre depuis longtemps le télétravail. Mais la situation liée au confinement et au télétravail généralisé conduit à quelques précautions dans l’usage des possibilités offertes par la technologie pour contrôler l’activité des salariés en confinement.
En effet, depuis le 17 mars, les entreprises recourent massivement au télétravail sans s’y être nécessairement préparées. Ce qui peut poser des questions quant l’ensemble de l’entreprise passe du jour en lendemain en télétravail.
Les relations de travail et surtout de production doivent être adaptées pour anticiper tout conflit. Plus précisément, lorsque l’entreprise dispose d’un logiciel « dédié » de contrôle interne (type traceur ou keylogger, sorte de e-mouchards) et que la finalité d’un tel outil est le contrôle individuel des salariés, il est nécessaire d’informer et de consulter préalablement le CSE (C. trav. Art. L. 2312-38).
Par ailleurs, les salariés doivent être informés de tout dispositif permettant de collecter des informations les concernant personnellement (C. trav. art. L. 1222-4).
Les nouvelles obligations issues du RGPD
En plus du Code du travail, les dispositions relatives à la protection des données à caractère personnel doivent également être respectées, notamment celles liées à la tenue du registre des activités de traitement et à l’étude d’impact prévues par le RGPD.
En effet, les logs de connexion qui permettent d’enregistrer la date, l’heure et les durées de connexion des salariés, sont des traitements de données personnelles qui doivent être inscrits au registre des activités de traitement (Règl. UE 2016/679 art. 30).
De même, dès qu’un traitement présente un risque élevé pour les droits et les libertés des personnes, le RGPD prévoit l’obligation de réaliser une analyse d’impact sur la vie privée selon les conditions prévues par l’article 35 du RGPD.
Or, le terme « vie privée » désigne l’ensemble des libertés et droits fondamentaux, notamment ceux évoqués dans :
- le RGPD et
- l’article 1 de la Loi du 8 janvier modifiée, à savoir « vie privée, identité humaine, droits de l’homme et libertés individuelles ou publiques ».
Le traitement des données de connexion (adresses IP, journaux d’événements, log de connexion, etc.) et de localisation (déplacements, données GPS, GSM, etc.) fait donc partie des traitements soumis à analyse d’impact.
Nos outils d’implémentation au RGPD en mode SaaS permettent la réalisation d’analyses d’impacts (DPIA).
Emmanuel Walle
Lexing Département Social Numérique
Voir notre vidéo « Contrôle individuel de l’activité des salariés dans le cadre du télétravail » sur la chaîne YouTube Lexing Alain Bensoussan – Avocats.