Sur le lieu de travail, l’employeur a un pouvoir et un devoir de contrôle. À ce titre, l'entreprise peut mettre en place des systèmes de surveillance des salariés.
Toutefois, la surveillance excessive des salariés reste punissable. En effet, ces systèmes de surveillance doivent respecter des procédures précises et conformes à la législation applicable (droit du travail, loi Informatique et libertés, règlement général sur la protection des données – RGPD).
Jusqu'où un employeur peut-il aller dans le contrôle de l'activité de ses salariés ? Le point dans cette astuce.
Surveillance des salariés : que dit le Code du travail ?
Pour rappel, les mesures prises par l'employeur pour surveiller l'activité de ses salariés doivent respecter le principe de proportionnalité, conformément à l'article L. 1121-1 du Code du travail :
- Ce dernier rappelle que « nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ».
- Ainsi, une entreprise ne peut pas surveiller en permanence ses salariés ou utiliser des moyens de contrôle trop intrusifs.
- En outre, l'entreprise doit respecter les obligations liées à la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles, et réécrite par l’ordonnance n° 2018-1125 du 12 décembre 2018 applicable au 1er juin 2019), ainsi que les obligations du règlement européen sur la protection des données personnelles (RGPD). À défaut, elle risque d'être sanctionnée par des amendes de la CNIL, voire par le juge pénal.
Bon à savoir : l'employeur doit respecter les obligations liées à la CNIL sans attendre que celle-ci contrôle son activité. En effet, près de 25 % des contrôles de la CNIL sont issus de plaintes déposées par les salariés ou les syndicats directement auprès de cette commission. La CNIL a ainsi prononcé une sanction de 20 000 € à l’encontre d’une société qui avait mis en place un dispositif de vidéosurveillance plaçant les salariés sous surveillance constante (délibération SAN-2019-006 du 13 juin 2019).
À noter : depuis le 25 mai 2018, la désignation d'un délégué à la protection des données personnelles (DPO) est devenue obligatoire dans certains cas. Ce délégué assiste le responsable de traitement des données. Il a pour mission de veiller au respect de la législation européenne et de la loi Informatique et libertés, par l'organisme au sein duquel il travaille, afin d'éviter les sanctions de la CNIL. La désignation du délégué peut être effectuée via le téléservice mis en place par la CNIL.
Remarque : le comité social et économique (CSE) doit être informé et consulté préalablement à la décision de mise en œuvre de moyens ou de techniques permettant un contrôle de l'activité des salariés (Cass. soc., 11 décembre 2019, n° 18-11.792).
Employeurs : attention aux amendes en cas d'abus !
Tout manquement à la loi Informatique et libertés lors de la surveillance des salariés peut être sanctionné. Ces dernières années, les amendes plafonnent en général à 10 000 €. Toutefois, elles peuvent aller, selon la catégorie de l’infraction, jusqu'à 10 ou 20 millions d’euros ou, dans le cas d’une entreprise, de 2 % à 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
En cas de non-respect des conditions de surveillance fixées par la CNIL, l'employeur peut encourir des sanctions pénales importantes :
- 1 an de prison et de 45 000 € d’amende (voire 2 ans d'emprisonnement et 60 000 € d'amende lorsque les faits sont commis par le conjoint ou le concubin de la victime ou son partenaire de PACS) au titre de l’article 226-1 du Code pénal en cas d'atteinte à la vie privée d’une personne ;
- 5 ans de prison et 300 000 € d’amende au titre de l’article 226-18 du Code pénal en cas de collecte de données par un moyen frauduleux, déloyal ou illicite.
Enfin, les salariés doivent être informés de la mise en place de ces systèmes de surveillance :
- À défaut, la collecte des données des salariés constituent une collecte déloyale et illicite des données, punissable pénalement de 5 ans de prison et 300 000 € d'amende.
- En complément, le défaut d'information des salariés est également punissable de 1 500 à 7 500 € d'amende, soit par infraction constatée, soit par salarié non informé (article R. 625-10 du Code pénal).
Bon à savoir : n’oublions pas que la plus grande sanction pour l’entreprise n’est pas pécuniaire. Elle concerne plutôt l'image de marque. En effet, la publication des mises en demeure de la CNIL suffit à entacher l’image de l’entreprise !
À noter : un employeur peut faire contrôler l’activité d’un salarié, pendant son temps et sur son lieu de travail, par un service interne de l’entreprise chargé de cette mission. Les preuves d’une faute du salarié établies par le biais de ce contrôle sont licites même si le salarié n’a pas été informé de ce contrôle au préalable et même si les représentants du personnel n’ont pas été consultés. Cette règle s’applique aussi lorsque le contrôle porte sur un salarié protégé (CE, 13 juillet 2020, n° 417972).
Pour approfondir la question :
- Salariés, sachez que, si votre employeur a le droit de vous surveiller, vous n'êtes pas sans recours en cas d'abus. Consultez notre astuce Surveillance des salariés : quels sont vos droits ?
- Voir aussi notre page CNIL et vidéosurveillance.
- Pour saisir la CNIL, vous devez écrire un courrier. Notre modèle de lettre est là pour vous guider.