Surveillance au travail : droits et devoirs des salariés & employeurs

Aux directeurs/directions des ressources humaines, aux représentants du personnel, aux délégués syndicaux, aux Directeurs/directions des systèmes d'information, aux Directeurs/directions juridiques, aux Responsables de la Sécurité des Systèmes d'information, aux Directeurs/direction Sûreté-Sécurité, aux cabinets d'intelligence économique, aux avocats & juristes en droit du travail.

Introduction

Titre 1: Quels moyens de cybersurveillance au travail ?

Chapitre 1 : Surveillance des locaux

I. Gardiennage et sécurité privée

• A. Responsabilité de l'entreprise cliente d'une société de sécurité privée
• B. Responsabilité de la société de sécurité privée

II. Vidéoprotection ou vidéosurveillance ?

• A. La vidéosurveillance des lieux privés par un organisme privé

• 1) Un peu d'histoire pour comprendre le régime actuel
• 2) Principes
• 3) Formalités préalables et régulateurs

• B. La vidéosurveillance des lieux publics par un organisme privé

• 1) Principes
• 2) Formalités

• C. La vidéoprotection des lieux accessibles au public

• 1) Principes
• 2) Formalités préalables, conservation et droit d'accès
• 3) Contrôles et sanctions
• 4) Evaluation et conseil auprès du ministre de l'Intérieur

Chapitre 2 : Les contrôles d'accès physique

I. Contrôles d'accès avec ou sans contact (hors biométrie)

• A. Les finalités les plus courantes
• B. Information des usagers et notification à la CNIL vont de pair

II. Biométrie

• A. La biométrie "sans trace"
• B. La biométrie "à trace"

Chapitre 3 : Les contrôles d'accès logique

I. L'accès au poste de travail

II. Contrôles de l'activité

• A. Applications communicantes ou/et localisantes
• B. Ecoute et enregistrement téléphoniques

• 1) Une pratique largement développée depuis les années 1990
• 2) Des normes professionnelles précises pour les centres d'appels

III. Usage et localisation du véhicule professionnel

IV. Alertes professionnelles et enquêtes internes

• A. Depuis 2005, le "whistleblowing" est l'affaire de la CNIL
• B. Un champ d’application limité

• 1) Des domaines spécifiques
• 2) Des enjeux généraux
• 3) Principes directeurs

• C. Coordination avec le droit du travail et le droit pénal
• D. Le fonctionnement des dispositifs d'alerte

• 1) Le recueil des alertes peut porter sur n'importe quel sujet
• 2) Le traitement des alertes, selon les sujets concernés
• 3) Un mot d'ordre : confidentialité

• E. L'information des personnes

• 1) L'information des personnels de l'entreprise
• 2) L'information de la personne mise en cause est différée

Titre 2 : Les principes et sanctions de la cybersurveillance

Chapitre 1 : Quelques évidences préliminaires…

I. Prévenir des risques sans en prendre d'autres

II. S'adapter aux objectifs et aux moyens de l'entreprise

III. Coordonner les compétences-clé autour de la direction

Chapitre 2 : Légitimité

Chapitre 3 : Transparence et proportionnalité

I. Transparence

• A. La consultation des représentants du personnel
• B. L'information des salariés
• C. A quelles données les salariés peuvent-ils accéder ?

II. Le contrôle de la proportionnalité

• A. Par les Instances Représentatives du Personnel (IRP)
• B. Par l'inspection du travail
• C. Par la CNIL, à l'occasion d'une notification ou d'une plainte
• D. Par les juridictions sociales, civiles ou pénales

Chapitre 4 : Les sanctions applicables à l'employeur

I. Les sanctions pénales et administratives

• A. En l'absence de formalité préalable auprès de la CNIL

• 1) Les sanctions pénales
• 2) Les sanctions administratives

• B. En l'absence de consultation des IRP
• C. En l'absence d'information des salariés

II. L'irrecevabilité des moyens de preuve

• A. En cas de procédure prud'homale ou sociale

• 1) Des preuves irrecevables résultant d'un procédé clandestin
• 2) Des preuves irrecevables résultant d'un procédé qui n'a pas été notifié à la CNIL

• B. En cas de procédure pénale

Titre 3 : Quelle stratégie adopter ?

Chapitre 1 : Les acteurs de la surveillance des salariés

I. L'entreprise : quelle organisation interne ?

• A. La coordination des structures internes
• B. Quelles délégations de pouvoirs et de responsabilité ?
• C. Quelle responsabilité du DSI ou du RSSI ?

II. Les salariés, acteurs de la sécurité de l'entreprise

III. Les prestataires et fournisseurs de services de l'entreprise

• A. Les prestataires informatiques et technologiques
• B. Les auxiliaires de justice

• 1) L'avocat
• 2) L'huissier

IV. Les sociétés mère/sœurs/filiales liées à l'employeur

V. La coordination des acteurs au service d'une stratégie efficace

Titre 4 : Quelles formalités accomplir ?

Chapitre 1 : La consultation des représentants du personnel

I. Les enjeux soumis à une consultation préalable

• A. Avant l'introduction de nouvelles technologies, modifiant les conditions de travail
• B. Recrutement des salariés et contrôle de leur activité

II. La consultation elle-même

• A. Les droits du Comité d'entreprise et du CHSCT
• B. Que faire si les représentants du personnel ne se prononcent pas ?

Chapitre 2 : Les formalités et procédures de la loi "Informatique & Libertés"

I. Si l'employeur s'est doté d'un "Correspondant Informatique & Libertés"

II. Les déclarations

• A. La déclaration simplifiée de la gestion du personnel suffit-elle ?
• B. La déclaration "normale"

III. La demande d’autorisation à la CNIL

IV. La durée de conservation des données et sa notification

• A. Le traitement légal de la durée de conservation

• 1) Les principes de nécessité et de légitimité…
• 2) … et la sanction du « mensonge » par commission ou par omission

• B. La durée de conservation dépend de la déclaration effectuée auprès de la CNIL
• C. Appliquer une grille d’analyse des critères de conservation…
• D. … pour justifier les durées de conservation retenues et les respecter

Chapitre 3 : Les pouvoirs de contrôle et de poursuite de la CNIL

I. Les contrôles

II. Les avertissements

III. Les dénonciations au Parquet

• A. Par quelle formalité commencer ?
• B. La saisine de l'inspection du travail

Titre 5 : Comment informer les salariés ?

Chapitre 1 : Que doit-on dire ?

I. Ce que la loi exige

II. Que doit-on dire, en complément ?

• A. Rappeler quelques grandes règles renvoyant aux lois en vigueur
• B. Poser des principes de comportement impératifs au sein de l'entreprise

Chapitre 2 : Que peut-on ne pas dire ?

Chapitre 3 : Que doit-on ne pas dire ?

I. "Nous n'utiliserons jamais ces données à des fins disciplinaires"

II. "Merci de nous retourner votre accord sur ce document"

Chapitre 4 : Les formes de l'information des salariés

Titre 6 : Effectuer un contrôle

Chapitre 1 : Quels contrôles un employeur peut-il effectuer ?

I. Sur les réseaux informatiques utilisés par l'entreprise

• A. Quelles données de connexion et d'utilisation l’employeur peut-il consulter ?
• B. Pendant combien de temps l'employeur peut-il les conserver ? Les utiliser ?

II. Sur l'utilisation du téléphone fixe ou mobile

III. Sur les espaces et moyens de travail du salarié

• A. L'usage personnel de l’ordinateur professionnel est-il licite ?
• B. Qu'est-ce qu'un fichier, un espace ou un message "personnel"

• 1) Le caractère personnel doit être indubitable
• 2) Un fichier personnel attaché à un message professionnel devient… professionnel
• 3) La découverte de fichiers personnels à partir des données de connexion

• C. Faut-il informer le salarié lors d'un contrôle ?

• 1) L'information n'est pas requise lors du contrôle de fichiers et espaces professionnels
• 2) La présence du salarié est sollicitée pour le contrôle de fichiers et espaces personnels
• 3) Des circonstances exceptionnelles justifient de contrôler des fichiers et espaces personnels en l'absence du salarié
• 4) Le juge peut constater un motif légitime d'accès aux messages personnels

Chapitre 2 : Synthèse et analyse critique

I. Synthèse des conditions d'accès à des fichiers ou messages personnels

II. Analyse critique

Chapitre 3 : L'employeur peut-il utiliser des données de localisation ?

Titre 7 : Quelle vie privée hors de l'entreprise ?

Chapitre 1 : Réseaux sociaux : une expression à publicité variable

I. Chacun peut s'exprimer mondialement… ou intimement

II. Des contours mouvants entre les mains des utilisateurs

Chapitre 2 : Réseaux sociaux et vie professionnelle

I. Le cadre classique des relations salariés/employeur

• A. L'obligation de loyauté du salarié
• B. La proportionnalité des restrictions apportées aux libertés du salarié
• C. Le droit d'expression des salariés

II. La pérennité des principes à l'épreuve du Web 2.0

• A. La qualification du contenant : Facebook, un espace public
• B. La qualification du contenu : le salarié, maître en sa demeure ?
• C. Lorsque le salarié s'exprime chez un tiers
• D. La preuve de la publicité d'un contenu préjudiciable incombe au plaignant

III. Conséquences prospectives

Titre 8 : La "charte informatique"

Avertissement

Un exemple de charte informatique

Épilogue

Remerciements