La protection des données personnelles dans le cadre du contrôle des outils informatiques

Actualité Métiers des ressources humaines

Il est possible de mettre en place un contrôle de l’utilisation des outils informatiques de l’entreprise par les salariés à condition de respecter certaines règles. L’employeur peut également tolérer une ...

Accès illimité même hors ligne

PDF

Il est possible de mettre en place un contrôle de l’utilisation des outils informatiques de l’entreprise par les salariés à condition de respecter certaines règles. L’employeur peut également tolérer une utilisation personnelle de ces outils à condition de définir clairement les limites de cette tolérance et d’en informer les salariés.

Dans quels cas peut-on contrôler l’usage des outils informatiques professionnels ?

L’employeur peut contrôler et limiter :

  • L’utilisation d’internet : dispositifs de filtrage de sites, détection de virus, etc… ;
  • L’utilisation de la messagerie professionnelle : outils de mesure de la fréquence des envois et/ou de la taille des messages, filtres « anti-spam », etc...

Ce contrôle a pour objectif :

  • D’assurer la sécurité des réseaux qui pourraient subir des attaques (virus, cheval de troie, etc...) ;
  • De limiter les risques d’abus d’une utilisation trop personnelle d’internet ou de la messagerie (consultation de sa messagerie personnelle, achats de produits, de voyages, discussions sur les réseaux sociaux, etc…).

Les e-mails

Par défaut, les e-mails ont un caractère professionnel. L’employeur peut les lire, tout comme il peut prendre connaissance des sites consultés, y compris en dehors de la présence du salarié.

En revanche, l’employeur ne peut pas :

  • Recevoir en copie automatique tous les messages écrits ou reçus par ses salariés ;
  • Utiliser de « keyloggers » permettant d’enregistrer à distance toutes les actions accomplies sur un ordinateur ;
  • Conserver les logs de connexion plus de 6 mois ;
  • Librement consulter les courriels personnels de ses salariés, même s’il a interdit d’utiliser les outils de l’entreprise à des fins personnelles.

Pour qu’ils soient protégés, les salariés doivent identifier les messages personnels comme tels, par exemple en précisant dans leur objet « Personnel » ou « Privé », ou en les stockant dans un répertoire intitulé « Personnel » ou « Privé ». A défaut, les e-mails sont présumés être professionnels.

Les fichiers informatiques

Par défaut, les fichiers ont un caractère professionnel et l’employeur peut y accéder librement. Lorsque les fichiers sont identifiés comme personnels, l’employeur peut y accéder :

  • En présence de l’employé ou après l’avoir appelé ;
  • En cas de risque ou évènement particulier, qu’il appartient aux juridictions d’apprécier.

Les clés USB connectées à un ordinateur professionnel

Une clé USB connectée à un ordinateur professionnel est présumée utilisée à des fins professionnelles. L'employeur peut donc consulter son contenu sans la présence du salarié.

La communication des mots de passe

Les identifiants et mots de passe (session Windows, messagerie, etc…) sont confidentiels et ne doivent pas être transmis à l’employeur.

Les droits des salariés

Les salariés doivent être informés de :

  • des finalités poursuivies,
  • la base légale du dispositif (obligation issue du code du travail par exemple, ou intérêt légitime de l’employeur),
  • des destinataires des données,
  • leur droit d’opposition pour motif légitime,
  • la durée de conservation des données,
  • leurs droits d’accès et de rectification,
  • la possibilité d’introduire une réclamation auprès de la CNIL.

Cette information peut se faire au moyen d’un avenant au contrat de travail ou d’une note de service, par exemple.

Les instances représentatives du personnel doivent également être informées ou consultées avant toute décision de mise en œuvre d’un dispositif de contrôle de l’activité.

Les règles de contrôle doivent être retranscrites dans le règlement intérieur de l’entreprise. Une charte informatique peut également être mise en place.

Si l’employeur a désigné un Délégué à la protection des données (DPO), celui-ci doit être associé à la mise en œuvre des dispositifs de contrôle. De plus les systèmes de contrôle de l’activité doivent être inscrits au registre des activités de traitement tenu par l’employeur.

Références

Articles L 1121-1, L 1222-3, L 1222-4, L 2312-38 du Code du Travail

RÈGLEMENT (UE) n° 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).