fbpx

Gestion du télétravail imposé par le Covid-19 au regard du RGPD

A la suite des mesures de distanciation sociale mises en place pour lutter contre la pandémie de Covid-19, de nombreuses entreprises ont été amenées à généraliser le télétravail de façon relativement soudaine.  S’il était déjà pratiqué à raison d’un ou deux jours par semaine par un bon nombre d’employeurs, il s’agit d’une situation totalement neuve pour d’autres.
Outre un casse-tête matériel et organisationnel non négligeable (comment équiper rapidement les employés en matériel informatique adéquat à la maison ? Comment permettre l’accès sécurisé à distance au ressources informatiques de l’entreprise ?), le télétravail brouille les frontières entre vie privée et professionnelle et pose dès lors certaines questions en matière de gestion du temps et de la charge de travail, de contrôle des travailleurs et de protection de leurs données à caractère personnel.
1. En tant qu’employeur, ai-je la possibilité (ou l’obligation) de surveiller le télétravail de mes employés ?
Dans la situation actuelle – avec notamment de nombreux employés contraints de s’occuper de leurs enfants tout en télétravaillant –, l’employeur pourrait légitimement s’interroger sur l’efficacité de ses employés ou sur le temps qu’ils sont réellement en mesure de consacrer au télétravail.
Bien qu’il convienne avant tout de privilégier le dialogue et la confiance, il est en même temps indispensable de mettre en place certaines mesures de surveillance et de contrôle du télétravail.  Ces mesures peuvent certes être motivées par une volonté de surveiller les employés et le travail qu’ils accomplissent, mais elles peuvent également être imposées par les contraintes en matière de protection des données personnelles.
En effet, le télétravail va pratiquement toujours impliquer le traitement de telles données (a minima, les données qui seront utilisées pour permettre aux employés de communiquer entre eux, mais par exemple également les bases de données de clients ou de prospects). Or, le Règlement général sur la protection des données (« RGPD ») impose de mettre en place des mesures de sécurité appropriées au niveau de risque qu’implique le traitement des données.  A un autre niveau, l’article 14 de la Convention collective de travail (« CCT ») n°85 concernant le télétravail stipule que « L’employeur doit prendre les mesures […] assurant la protection des données utilisées et traitées par le télétravailleur à des fins professionnelles ».
2. Quelles mesures de surveillance puis-je mettre en place ?
Les mesures de surveillance des employés en télétravail peuvent tout d’abord s’envisager de manière automatisée au niveau de leur utilisation des ressources informatiques de l’entreprise (a).  En pratique, la surveillance des employés peut également prendre d’autres formes et certains employeurs rivalisent de créativité (b).
a) Des règles spécifiques pour le contrôle des données de communication électroniques en réseau
La CCT n°81 veille à articuler la protection de la vie privée des travailleurs avec la nécessité, pour les entreprises, de contrôler les données de communication électroniques en réseau.  En vertu de l’article 14 de la CCT n°85 susvisée, la CCT n°81 s’applique mutatis mutandis dans la situation du télétravail, y compris lorsque le travailleur utilise son propre ordinateur pour se connecter au réseau de l’entreprise.
Il sera toutefois difficile d’utiliser ces données de communication électronique en réseau pour surveiller directement la qualité et la quantité du télétravail fourni par les employés.  En effet, en vertu de la CCT n°81, le contrôle des données de communication électroniques en réseau n’est autorisé que pour quatre finalités déterminées :
  1. La prévention de fait illicites ou diffamatoires […] ;
  2. La protection des intérêts économiques, commerciaux et financiers de l’entreprise auxquels est attaché un caractère de confidentialité […] ;
  3. La sécurité et/ou le bon fonctionnement technique des systèmes informatiques en réseau de l’entreprise […] ;
  4. Le respect de bonne foi des principes et règles d’utilisation des technologies en réseau fixés dans l’entreprise.
Le contrôle de l’assiduité et de la productivité des employés n’est pas repris dans ces finalités et la CCT n°81 ne permet donc pas l’utilisation de ces données à cette fin.
b) Quid des autres formes de surveillance ?
La presse s’est faite écho de certaines mesures de surveillance pour le moins originales mises en place par des employeurs chinois : certains employés sont ainsi sommés d’envoyer un selfie toutes les demi-heures, de partager leur position en temps réel, ou encore de se filmer lorsqu’ils travaillent.
De telles mesures pourraient-elles être reproduites en Belgique ? La réponse est vraisemblablement négative.  En effet, toute mesure ayant un impact sur la vie privée des employés doit être examinée sous le prisme de la proportionnalité : la finalité de la mesure doit être mise en balance avec son efficacité et l’atteinte engendrée aux droits et libertés des personnes concernées.  Or, sous cet angle :
  • un contrôle permanent du télétravailleur (par vidéo ou géolocalisation notamment) sera à notre sens toujours considéré comme disproportionné ;
  • un contrôle non permanent (ex : envoi d’un selfie toutes les demi-heures) pêchera sur le plan de l’efficacité car il ne permet pas en tant que tel de vérifier réellement que l’employé est bien en train de travailler.  L’atteinte à la vie privée ne pourra donc pas être justifiée puisqu’elle passera à côté de l’objectif poursuivi.
L’employeur est-il pour autant démuni ?  Si la question du contrôle reste l’une des problématiques les plus discutées en matière de télétravail, les auteurs semblent s’accorder sur le fait qu’en lieu et place de la supervision et du contrôle directs, il convient de privilégier la gestion par les résultats.  Cette approche consiste à identifier et définir de façon claire les tâches et les résultats attendus, ainsi que les deadlines y associés.  De cette façon, l’employeur conserve une visibilité sur l’efficacité et la productivité de ses employés, tout en leur offrant une flexibilité bienvenue en temps normal et particulièrement essentielle en période de confinement.
3. Si je mets des mesures de surveillance en place, quelles précautions faut-il prendre ? 
Les précautions à prendre dépendront de la nature des mesures mises en place.
Dans tous les cas, à partir du moment où l’employeur traite des données à caractère personnel, il sera indispensable de respecter les règles mises en place par le RGDP, avec un accent particulier sur les principes de proportionnalité et d’information préalable des employés quant à la finalité et aux modalités du traitement de leurs données.
Lorsque l’employeur décide de mettre en place des mesures de surveillance des communications électroniques en réseau de l’entreprise au sens de la CCT n°81 – ce que, comme exposé ci-avant, le respect du RGPD imposera dans la majorité des cas – il faudra en outre se conformer au prescrit de la CCT n°81, qui prévoit des mesures ad hoc d’information des employés (notamment via le conseil d’entreprise).
Par ailleurs, en cas de détection d’une anomalie (ex : volume de téléchargement anormalement élevé, virus, activité inhabituelle…), l’employeur souhaitera vraisemblablement individualiser les données collectées – c’est-à-dire identifier l’employé auquel elles se rapportent. Si la CCT n°81 l’autorise à le faire directement pour les trois premières finalités évoquées ci-avant, dans le cadre de la quatrième finalité l’employeur devra préalablement informer l’ensemble de ses employés de l’anomalie constatée et ne pourra individualiser les données que si une nouvelle anomalie similaire survient.