Géolocalisation du matériel informatique en entreprise : les bonnes pratiques.

Une entreprise créée par des chercheurs du MIT a imaginé faire porter des capteurs à des employés, afin d’enregistrer leurs déplacements et leurs interactions sociales, dans le but de réorganiser les espaces et les conditions de travail. Cette approche, théorisée par le PDG de Sociometrics solutions, a pour ambition d’appliquer les techniques de profilage comportemental aux salariés [1].

Cet exemple, qui nous vient de l’autre côté de l’Atlantique, paraît tout droit tiré d’un film de science-fiction. Il met néanmoins en exergue une problématique émergeante depuis plusieurs années au sein des entreprises et des services de ressources humaines, celle de la mesure des performances des salariés à l’aune des nouveaux outils technologiques et la nécessité de leur régulation.

De nombreuses entreprises font aujourd’hui le choix d’utiliser la géolocalisation, non plus seulement des véhicules, mais de tous les outils informatiques fournis aux salariés, notamment les ordinateurs, les téléphones portables ou encore les badges mis à disposition. La géolocalisation permet de déterminer, en temps réel, la position géographique d’une personne par la localisation d’un objet dont elle a l’usage, en fonction de ses coordonnées géographiques. Elle s’opère généralement au moyen de dispositifs d’informatique embarquée ou plus précisément de géolocalisation GPS/GSM. Il existe différentes manières de géolocaliser un dispositif et, par extension, son salarié, via notamment :
(i) Les paramètres du système d’exploitation d’un ordinateur ;
(ii) Les logiciels de suivi par GPS de véhicules ou d’un portable au moyen d’une application GPS installée sur un téléphone ;
(iii) Les applications dotées de GPS dont le but premier est le pointage et le suivi du temps et qui peuvent demander de confirmer l’emplacement de l’utilisateur.

Les dispositifs de localisation des salariés ne sont pas illicites par principe, mais doivent respecter un certain nombre de conditions avant et pendant leur mise en place. En effet, si la géolocalisation des outils informatiques confiés aux salariés est utile à plusieurs égard, l’éparpillement du temps de travail causé notamment par le développement du télétravail contribue à créer une intrusion de la sphère professionnelle dans la sphère personnelle.

Dès lors, les responsables de la sécurité des systèmes d’information (RSSI) doivent être garants de la mise en œuvre d’un tel système, gérer les risques de cyber attaque, en assurer le suivi, et surtout sa conformité au regard du règlement général sur la protection des données (RGPD). Aussi, dans la mesure où la mise en place d’un système de géolocalisation présente un risque important pour le respect de la vie privée des salariés, des conditions d’utilisation strictes ont été posées en amont comme dans la mise en œuvre.

1. Rappel des principes essentiels avant toute mise en œuvre d’un dispositif de contrôle des salariés.

Les déclarations et autorisations préalables ont disparu mais les dispositifs de contrôle doivent néanmoins être conformes au RGPD. Aussi, avant d’envisager l’introduction d’un contrôle des salariés par géolocalisation, il est impératif de s’assurer du respect des droits et libertés des salariés et de déterminer précisément les finalités de la mise en place du dispositif.

1.1. Un principe fondamental : le respect des droits et libertés individuelles des salariés.

L’employeur, en vertu de son pouvoir de direction à l’égard des salariés, peut contrôler les salariés, sans que ce contrôle ne soit clandestin ou déloyal [2]. En effet, même « au temps et sur le lieu de travail », le salarié a droit au respect de sa vie privée [3] et à ses libertés individuelles.

La législation n’autorise que les atteintes aux droits et libertés qui sont justifiées par la nature de la tâche et proportionnées au but recherché [4]. En outre, certains droits et libertés garantis aux salariés par le droit du travail sont « non négociables », et ne peuvent jamais faire l’objet d’une quelconque restriction par l’employeur : le droit de grève, la liberté syndicale, le droit de retrait et le droit à la formation. De même, l’employeur veillera à respecter des mesures de confidentialité s’agissant des salariés dans l’exercice de leur mandat représentatif, y compris durant ses horaires de travail.

La commission nationale de l’informatique et des libertés (Cnil) veille scrupuleusement au respect de l’exigence de justification et de la proportionnalité de l’atteinte aux droits et libertés pour la validité de tous les dispositifs qui présentent des risques d’intrusion dans la vie privée des salariés [5].

1.2. Finalité de la géolocalisation : pour un usage déterminé, explicite et légitime.

Les données personnelles des salariés ne peuvent être collectées et traitées que pour un usage déterminé, explicite et légitime. Si le régime de déclaration préalable n’est plus applicable, la Cnil recommande néanmoins aux employeurs de s’appuyer sur l’ancienne norme NS 51 [6] concernant les systèmes de géolocalisation des véhicules professionnelles des salariés.

Concrètement, l’employeur doit se demander si suivre ses employés via leur matériel informatique et/ou lors de tous leurs déplacements n’est pas démesuré par rapport à la nature des tâches qu’ils effectuent. Il doit garder à l’esprit que le recours à un tel système ne doit être mis en œuvre que pour tout ou partie des finalités suivantes :
- Assurer le respect d’une obligation légale ou réglementaire imposant la mise en œuvre d’un dispositif de géolocalisation ;
- Permettre le suivi et la facturation d’une prestation de transport de personnes ou de marchandises ou d’une prestation de services directement liée à l’utilisation du véhicule, ainsi que la justification d’une prestation auprès d’un client ou d’un donneur d’ordre ;
- Garantir la sûreté ou la sécurité du salarié, ou des marchandises ou véhicules dont il a la charge ;
- Assurer une meilleure allocation des moyens pour des prestations à accomplir en des lieux dispersés, notamment pour des interventions d’urgence ;
- Permettre le contrôle du respect des règles d’utilisation d’un véhicule ou d’un matériel.

Attention, car un système de géolocalisation peut servir à assurer le suivi du temps de travail, mais celui-ci n’est licite que lorsque ce contrôle ne peut pas être fait par un autre moyen. De même, il n’est pas justifié lorsque le salarié dispose d’une liberté dans l’organisation de son travail [7].

2. Mise en place du dispositif : mode d’emploi et de conformité.

Si la mise en place de contrôle des salariés par un dispositif de géolocalisation GPS/GSM n’est plus soumise aux déclarations et autorisations préalables de la Cnil, elle nécessite néanmoins de respecter les règles du RGPD, ainsi que l’information préalable des salariés et l’information et la consultation préalable des représentants du personnel.

2.1. Respect du RGPD et conservation des données.

S’agissant de « traitements ayant pour finalité de surveiller de manière constante l’activité des employés concernés », il est recommandé au responsable de traitement des données personnelles - c’est-à-dire l’employeur [8] - de mener préalablement une analyse d’impact complète sur la protection des données, faisant apparaître les caractéristiques du traitement, les risques et les mesures adoptées [9].

Par ailleurs, l’employeur devra impérativement :
- Impliquer le Délégué à la protection des données (DPO), s’il existe ;
- Inscrire le dispositif dans le registre des activités de traitement tenu par l’entreprise ;
- Informer les salariés des conditions dans lesquelles seront traitées les données ;
- Prévoir des mesures de sécurité adaptées au regard des risques.

A ce titre, la Cnil propose de nombreux outils pour faciliter ces démarches, et notamment :
- Un guide pratique de sensibilisation au RGPD pour les petites et moyennes entreprises [10] ;
- Un exemple de mentions d’information aux salariés [11] ;
- Des guides pour réaliser une analyse d’impact ainsi qu’un logiciel gratuit [12] ;
- Un modèle de registre [13] ;
- Un guide sur la sécurité des données personnelles [14].

En principe, les données récoltées ne peuvent être conservées plus de deux mois, mais ce délai peut aller jusqu’à un an dans certains cas.

L’employeur doit être particulièrement vigilant sur le respect du RGPD, au risque de voir sa responsabilité civile engagée, si un salarié démontre un préjudice matériel ou moral du fait de la violation. La Cnil veille également au respect de ces prescriptions et a mis à la disposition des salariés qui estimeraient qu’un dispositif n’est pas conforme un formulaire de plainte en ligne anonyme [15].

2.2. Information préalable des salariés.

Il est impératif d’informer préalablement les salariés [16] : cette information peut être réalisée par tout moyen, oral ou écrit, individuel ou collectif - même si la forme écrite est à privilégier, pour des raisons évidentes de preuve. Il est possible de procéder par affichage, remise en main propre contre décharge, ou encore par lettre recommandée avec demande d’avis de réception.

Cette information doit être précise, dénuée d’ambiguïté et relative à tous les aspects concrets du dispositif. En pratique, les salariés devront être informés de l’identité du responsable de traitement ou de son représentant, de la finalité poursuivie par le traitement, de la base légale du dispositif, des destinataires ou catégories de destinataires des données, de l’existence d’un droit d’accès aux données les concernant enregistrées par l’outil (dates et heures de circulation, trajets effectués, etc.), d’un droit de rectification et d’un droit d’opposition pour motif légitime, de la durée de conservation des données et de la possibilité d’introduire une réclamation auprès de la Cnil.

Sans le respect de cette obligation, les preuves recueillies par le dispositif de surveillance ne pourront pas être alléguées à l’encontre des salariés [17] et aucun d’entre eux ne pourra être sanctionné pour des faits recueillis à leur insu par ce dispositif.

2.3. Information et consultation préalable des représentants du personnel.

Le comité social et économique (CSE) doit être informé et consulté, préalablement à la décision de mise en œuvre dans l’entreprise, sur les moyens et les techniques permettant un contrôle de l’activité des salariés [18]. À défaut, la violation de l’obligation de consultation du CSE sur le dispositif de contrôle des salariés constitue une entrave au fonctionnement du CSE [19] mais prive également de licéité le dispositif en cause. Dans cette hypothèse, ce dernier pourra saisir le juge des référés afin d’obtenir la suspension du projet jusqu’à la mise en place de la consultation.

En outre, tout dispositif n’ayant pas été soumis à la consultation préalable du CSE ne pourra pas être opposé au salarié et sera considéré, le cas échéant, comme un moyen de preuve illicite, y compris lorsque le salarié a été personnellement informé de sa mise en place [20].

Marion Narran-Finkelstein, Avocat,
Barreau de Paris.

Article initialement publié sur le site Le Village de la Justice.

Rédaction du site des Experts de l’entreprise.


Notes

[8Si certains dispositifs nécessitent de faire appel à des prestataires de services pour fournir et assurer la maintenance du système GSM/GPS, ceux-ci ne sont pas responsables du traitement.