RGPD : Les entreprises peuvent-elles surveiller les communications personnelles de leurs employés ?

Le 5 septembre, la Cour européenne des droits de l’Homme (CEDH) a pris sa décision concernant la surveillance des mails personnels d’un salarié par son employeur.

Cet Arrêt renverse la décision d’un tribunal d’instance inférieure qui soutenait une organisation ayant licencié l’un de ses employés pour avoir utilisé une application de messagerie à des fins personnelles.

A l’époque, la CEDH avait jugé que la surveillance sur le lieu de travail était autorisée puisque le fait que l’employeur souhaite vérifier « que les salariés accomplissent leurs tâches professionnelles durant les heures de travail » était justifié. Mais suite à un nouvel examen des faits, la cour a conclu que l’entreprise n’avait pas protégé le droit à la vie privée des employés.

La décision arrive quelques mois seulement avant la mise en application du Règlement Général Européen sur la Protection des Données (RGPD) et aura un impact important sur la façon dont les entreprises se prépareront à ce nouveau règlement.

 

Qu’est-ce qui est permis ?

La décision de la CEDH n’interdit pas pour autant la surveillance sur le lieu de travail mais fixe des lignes directrices sur quand et comment la surveillance est permise ainsi que les obligations des entreprises dans ce domaine.

Avant la mise en place de systèmes de surveillance, les entreprises doivent informer leurs employés concernant les « dispositifs mis en place et les modalités de contrôle ». La décision de la CEDH est claire quant au fait qu’un certain niveau de communications personnelles doit être toléré en précisant que « les instructions d’un employeur ne peuvent pas réduire la vie sociale privée sur le lieu de travail à zéro ».

Alors que les communications privées correspondent à la définition des données personnelles (comme décrit dans l’article 4 du RGPD), les entreprises doivent prouver qu’elles ont des raisons légitimes de collecter et surveiller ces données.

De nombreuses personnes pensent à tort que cela signifie, obtenir le consentement, mais, en plus du fait que le consentement est compliqué à obtenir et conserver, le RGPD précise qu’un salarié ne peut pas donner son consentement à son employeur étant donné le déséquilibre de pouvoir intrinsèque entre les parties concernées. En d’autres termes, le consentement ne peut être « donné librement » si la personne concernée risque de faire face à des conséquences négatives en cas de non-consentement. Il est raisonnable de s’attendre à ce qu’un salarié ait peur de perdre son emploi (ou bien de ne plus être apprécié par leurs responsables) s’il n’accepte pas d’être surveillé.

Les entreprises doivent donc obtenir l’une des cinq autres raisons légitimes de traiter les données. La raison la plus appropriée sera surement l’intérêt légitime, bien que les règles le concernant ne soient pas encore très claires.

Un des aspects clarifiés par les juges de la CEDH est que les entreprises doivent être aussi réfléchies et discrètes que possible dans le domaine de la surveillance. Les employeurs ne peuvent en aucun cas utiliser des méthodes de surveillance extensives et automatisées (telles que les spyware) afin de consulter l’historique de navigation et les communications ayant lieu sur le lieu de travail d’un employé dans l’éventualité de trouver des preuves d’utilisation abusive.

Les employeurs doivent également s’abstenir d’utiliser des méthodes ne laissant aucune trace de surveillance, telles que de s’asseoir au poste d’un employé afin de consulter ses communications privées.

En résumé, dans le cas où un employé abuse de son droit à une vie sociale sur son lieu de travail, l’entreprise ne devrait pas avoir à chercher bien loin pour trouver des preuves.

 

Ne pas enfreindre la loi

Les politiques de contrôle des entreprises devraient faire partie de leur système de gestion de la sécurité de l’information (SGSI), il s’agit de l’une des bonnes pratiques décrites dans la norme ISO 27001.

Cette documentation devra expliquer pourquoi le contrôle est nécessaire (par exemple, pour éviter des vols ou mauvaises utilisations de données). Elle devra également faire la distinction entre les communications personnelles et professionnelles.

Les entreprises auront probablement plus de libertés concernant le contrôle des correspondances professionnelles mais auront aussi l’obligation de s’assurer que les employés n’utilisent pas leurs comptes personnels de manière excessive ou au mépris des règles de sécurité (par exemple, en téléchargeant des pièces-jointes douteuses).

De la même façon, les entreprises devront s’assurer que ses employés n’envoient pas de documents de travail confidentiels via leurs comptes email personnels. En effet, il s’agit clairement d’une faille de sécurité et ne devrait donc jamais se produire.

Les messageries instantanées autorisées sur le lieu de travail sont quant à elles en équilibre entre les communications privées et professionnelles. Bien que les employés utilisent principalement des applications pour le travail, les communications déborderont presque certainement sur des sujets personnels – tout comme lors d’une conversation en face à face. Les entreprises ont le droit à un certain niveau de surveillance, mais la nature de ces technologies créent des tentations dangereuses en ce qui concerne l’archivage excessif et non-justifié de données personnelles.

 

Formation RGPD

Bien que vous ayez surement une équipe travaillant à la préparation de votre entreprise au RGPD, tous les salariés de votre entreprise qui gèrent des données personnelles doivent également connaitre leurs obligations.

Notre formation e-learning de sensibilisation des employés au RGPD est une manière simple d’initier votre personnel aux obligations de conformité au règlement. Elle couvre le champ d’application du règlement, les rôles clés de protection des données, les principes de collecte et de traitement des données personnelles ainsi que la meilleure façon d’appliquer les obligations de votre organisation.

Cette formation est adaptée à tout employé et devient essentielle étant donné l’augmentation continue du coût des atteintes à la protection des données.

Pour une formation RGPD plus approfondie, consultez notre liste de formations certifiées. Selon votre niveau d’expertise, une des formations suivantes peut vous intéresser :

Formation certifiée d’introduction au Règlement Général Européen sur la Protection des Données (RGPD)

Formation certifiée de spécialisation au Règlement Général Européen sur la Protection des Données (RGPD)

Les formations sont disponibles en classe ou à distance (en ligne).

Réservez ces formations ensembles et économisez 15% en réservant notre offre de formations combinées.

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.