Les libertés individuelles sont précieuses pour tout citoyen et particulièrement pour les salariés.
Il en ressort le principe fondamental suivant en droit du travail, qui vise à les protéger : « nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché » (article L1121-1 du code du travail).
Le CSE est un garde-fou ou contre-pouvoir en entreprise qui permet de porter les réclamations individuelles et collectives des salariés c’est-à-dire s’assurer du respect du cadre légal et conventionnel en veillant entre autres à ce que la finalité des dispositifs de suivi et/ou de surveillance mis en place par l’employeur soit respectueuse de ce principe.
C’est ainsi que tout CSE d’au moins 50 salariés (ce qui est d’ailleurs regrettable pour les CSE d’entreprises plus petites) doit être consulté sur « les questions intéressant l’organisation, la gestion et la marche générale de l’entreprise, notamment (…) sur l’introduction de nouvelles technologies » en vertu de l’article L2312-8 du code du travail. Sans compter la précision supplémentaire apportée par l’article L2312-38 du même code selon lequel « le CSE est informé et consulté, préalablement à la décision de mise en œuvre dans l’entreprise, sur les moyens ou les techniques permettant un contrôle de l’activité des salariés ».
Face au développement des nouvelles technologies, la CNIL (Commission Informatique et Libertés), autorité administrative indépendante, a été créée en 1978. Elle arbore trois axes principaux sur la page d’accueil de son site internet : protéger les données personnelles, accompagner les innovations et préserver, elle aussi, les libertés individuelles. Dans l’univers numérique, elle est le régulateur des données personnelles et accompagne les professionnels dans leur mise en conformité tout en aidant les particuliers à maîtriser leurs données personnelles et exercer leurs droits.
L’employeur doit par conséquent être en mesure de protéger les données personnelles en informant les salariés et le CSE de la finalité du traitement installé, la durée de conservation des images, du nom ou la qualité et le numéro de téléphone du responsable/délégué à la protection des données personnelles (DPO), du droit d’introduire une réclamation auprès de la Cnil, en précisant ses coordonnées, la base légale du traitement, les destinataires des données personnelles, y compris ceux établis hors UE.
Il doit ensuite justifier que les dispositifs mis en place respectent les principes énoncés ci-dessus.
Ainsi, les systèmes de vidéosurveillance sur les lieux de travail ne peuvent être utilisés qu’à des fins de protections des biens et des personnes à savoir garantir la sécurité de ses employés et celle de ses locaux, annihiler les velléités de vol, identifier les auteurs de dégradations ou d’agressions, etc. Le dispositif ne doit donc pas filmer les salariés sur leurs postes de travail, sauf circonstances particulières, ni prévoir de filmer sans interruption les employés ce qui serait considéré comme une méthode abusive de surveillance.
De même, les outils dénommés « keylogger » que sont les logiciels permettant d’enregistrer notamment toutes les frappes effectuées par un salarié sur son clavier, ne saurait se justifier en l’absence d’un fort impératif de sécurité (lutte contre la divulgation de secrets industriels, par exemple), puisque ce type de logiciel conduit celui qui l’utilise à pouvoir exercer une surveillance constante et permanente sur l’activité professionnelle des salariés concernés mais aussi sur leur activité personnelle résiduelle effectuée à partir du poste informatique.
Jusqu’à récemment, l’employeur qui n’avait pas informé et consulté le CSE avant la mise en place de tels outils de surveillance, ne pouvait pas se prévaloir des images ou données récoltées à l’appui d’une sanction disciplinaire pouvant aller jusqu’au licenciement. La chambre sociale de la Cour de cassation considérait qu’il s’agissait d’une preuve illicite puisqu’obtenue à l’insu des salariés eux-mêmes et de leurs représentants du personnel et dès lors irrecevable par les juges.
Elle a infléchit sa position depuis 2020 en considérant que « l’illicéité d’un moyen de preuve n’entraîne pas nécessairement son rejet des débats, le juge devant apprécier si l’utilisation de cette preuve a porté atteinte au caractère équitable de la procédure dans son ensemble, en mettant en balance le droit au respect de la vie personnelle du salarié et le droit à la preuve, lequel peut justifier la production d’éléments portant atteinte à la vie personnelle d’un salarié à la condition que cette production soit indispensable à l’exercice de ce droit et que l’atteinte soit strictement proportionnée au but poursuivi ».
Dans un tel contexte de plus en plus incertain, la CNIL reste un levier non négligeable pour tenter de contourner la mise en place de dispositifs similaires sans respect des formalités et protections évoquées ci-dessus. Cette commission en a encore fait la preuve récemment en sanctionnant une entreprise du secteur immobilier pour surveillance excessive des salariés. Une amende de 40 000 euros lui a été infligée en raison d’une surveillance permanente des salariés (image et son) dans les locaux, sur les lieux de travail et dans les espaces de pause des salariés. Cette surveillance était aussi disproportionnée à travers un logiciel paramétré pour comptabiliser des périodes « d’inactivité » supposée qui pouvaient faire l’objet d’une retenue sur salaire et pour effectuer des captures d’écran régulières de leurs ordinateurs y compris des éléments d’ordre privé (courriels personnels, conversations de messageries instantanées ou mots de passe confidentiels par exemple).
Délibération SAN-2024-021 du 19 décembre 2024 – Légifrance
