Vidéosurveillance, biométrie, géolocalisation, Internet, les nouvelles technologies se multiplient en entreprise. Simultanément, elles introduisent des dispositifs de contrôle des salariés, même si ce n'est pas leur objectif premier. En tout état de cause, elles amènent les employeurs à enregistrer de nombreuses informations à caractère personnel sur leurs salariés, protégées par la loi informatique et libertés (1). Alors, faut-il tomber dans la paranoïa Big Brother ? Pas sûr. La géolocalisation, par exemple, présente un réel intérêt en termes d'organisation des tournées de techniciens, d'économie de carburant et de sécurité en cas de vols. « Même si, au départ, cette technologie a été mal vécue par des conducteurs de camions habitués à la liberté, c'est aussi un moyen d'être moins isolé de sa base en cas d'agression. Et les dérapages sont un épiphénomène », estime Maxime Dumont, secrétaire général de la FGTE-CFDT (Fédération générale des transports et de l'équipement). Franck Gaulin, délégué syndical CGT de Carrefour, se souvient, lui, des pratiques occultes du distributeur, révélées par l'émission Pièces à conviction, sur France 3, le 20 janvier 2006. L'entreprise avait employé un agent de sécurité pour espionner les salariés, notamment en dissimulant des caméras. « Il faudrait avoir la certitude que les caméras non déclarées sont une pratique révolue », dit-il, sceptique.

La vie privée existe pourtant en entreprise, mais elle est « résiduelle », souligne Eric Barbry, avocat au cabinet Alain Bensoussan. Comment la concilier avec le devoir de contrôle de l'employeur sur l'activité des salariés ? S'agissant de l'usage d'Internet au bureau, la plupart des entreprises ont, aujourd'hui, formalisé une règle du jeu, introduite dans une charte Internet, qui est une extension du règlement intérieur (lire p. 25). « L'employeur peut limiter les accès de ses collaborateurs à Internet, et il y a même fortement intérêt, prévient Eric Barbry. En effet, sa responsabilité peut être engagée, à la fois civilement et pénalement, pour des actes commis par ses collaborateurs, comme, par exemple, le surf sur des sites pédophiles. »

La solution ? « Le filtrage d'URL (adresses Internet, NDLR), qui permet d'exclure d'emblée les sites illicites et d'affiner les interdits en fonction des problématiques de l'entreprise », préconise-t-il. Ce que propose, par exemple, l'éditeur français Olfeo, ou l'américain Websense. Des solutions qui devraient encore davantage retenir l'intérêt des employeurs après le vote de la loi Hadopi et de ses dispositions sur le téléchargement de fichiers illégaux.

Plus généralement, avant d'introduire une nouvelle technologie, quelques grands principes doivent être respectés par les entreprises, parmi lesquels l'information préalable des salariés. « La principale dérive est d'implanter une technologie permettant de surveiller les personnes, sans les avertir ou sans qu'elles sachent à quoi elle sert, ou bien de l'utiliser pour un objectif qui n'était pas annoncé au départ », souligne Ariane Mole, avocate associée au cabinet Bird & Bird. L'employeur doit également prévoir une information-consultation préalable du comité d'entreprise.

De plus, toute technique qui aboutit au recueil de données personnelles fait l'objet d'une déclaration à la Cnil (lire encadré ci-dessous). « Beaucoup d'entreprises, à l'exclusion des grandes, ne savent pas qu'il faut faire ces déclarations avant même la mise en place des dispositifs », remarque Florence Chafiol Chaumont, avocate au cabinet August & Debouzy. L'employeur peut recourir à deux formules : déclaration simple ou normale. Avec la première, il s'engage à se conformer strictement aux normes établies par l'institution ; avec la seconde, il s'autorise à ne pas suivre ces normes : « Il s'agit d'ailleurs d'un choix stratégique puisque la déclaration normale lui donne une marge de manoeuvre beaucoup plus importante que la déclaration simplifiée », précise Ariane Mole.

Les conséquences d'un défaut d'information ou de déclaration peuvent être préjudiciables. « La question la plus douloureuse pour un employeur est celle de la preuve. S'il présente une vidéo démontrant la faute lourde d'un salarié, et qu'il a omis de déclarer son installation à la Cnil, sa preuve sera non seulement irrecevable, mais il risque aussi de très lourdes sanctions pénales », rappelle Jean-Emmanuel Ray, professeur à Paris 1-Sorbonne. L'article 226-16 du Code pénal prévoit que les manquements aux obligations de déclaration sont punis par une peine d'emprisonnement pouvant aller jusqu'à cinq ans et une amende de 300 000 euros.

Mais la Cnil agit davantage sur le registre de la pédagogie que sur celui de la répression. Lorsqu'elle reçoit une plainte, elle écrit à l'entreprise ou à l'administration concernée pour lui demander une réponse, dans un certain délai. « Les sanctions ne sont pas fréquentes, car, en général, le responsable du traitement se met en conformité », indique Norbert Fort, chef du service des plaintes. En revanche, la Cnil reçoit de plus en plus de plaintes liées à la vidéosurveillance (une croissance de 43 % en 2008) : sur 200 plaintes en 2008, près de 100 concernaient des lieux de travail.

Autre exigence liée à l'usage de technologies intrusives : tout matériel installé doit avoir une finalité précise, un « usage déterminé et légitime », précise la Cnil (2). Par exemple, la géolocalisation peut servir à assurer la sécurité des personnes ou des marchandises transportées ; une meilleure gestion des personnels et des véhicules dispersés ; le suivi et la facturation d'une prestation ; le suivi du temps de travail des employés quand il ne peut pas être réalisé par d'autres moyens. A l'inverse, ce procédé ne peut pas être justifié pour des VRP ou des visiteurs médicaux, qui sont libres dans l'organisation de leurs déplacements. Enfin, pour éviter un contrôle permanent, la Cnil recommande la désactivation du système en dehors des horaires de travail, pour les véhicules de fonction.

En plus d'un objectif précis, le dispositif installé doit respecter un principe de proportionnalité. Illustration : « La mise sous vidéosurveillance permanente d'un poste de travail ne pourrait intervenir qu'en cas de risque particulier et dûment avéré pour la sécurité du salarié concerné », explique la Cnil. « Attention à l'emplacement et à l'orientation des caméras, insiste Norbert Fort. Sauf rares exceptions, il n'est pas nécessaire qu'elles filment les bureaux, les couloirs et encore moins les vestiaires et les lieux de pause. » Idem pour la biométrie : l'accès à des locaux contrôlé par les empreintes digitales ne peut se justifier que par un fort impératif de sécurité. La Cnil est particulièrement vigilante sur ce procédé, qui touche à des caractéristiques physiques : « Il faut obtenir une autorisation expresse et un défaut de réponse dans les deux mois équivaut à un refus, explique Ariane Mole. Elle distingue les biométries sans traces, comme celles qui reposent sur la reconnaissance du contour de la main ou du réseau veineux et qui ne peuvent s'effectuer à l'insu des personnes, et les biométries avec traces, comme les empreintes digitales, qui laissent des marques sur tous les objets touchés et sont donc facilement capturables. » Elle juge l'utilisation de l'empreinte digitale totalement disproportionnée pour un système de contrôle du temps de travail des salariés, et lui préfère la volumétrie de la main (lire p. 30).

L'employeur qui collecte des données personnelles doit en assurer la sécurité et la confidentialité. C'est pour cette raison que chaque salarié doit disposer d'un mot de passe individuel régulièrement changé. Et ces données ne peuvent être consultées que par les personnes habilitées, à savoir les administrateurs réseaux pour les données de connexion à Internet. En outre, les informations recueillies sont conservées pour une durée limitée, un mois pour les enregistrements de vidéosurveillance par exemple. On est loin de la licence «perpétuelle» à laquelle Facebook a dû renoncer en ce début d'année. Mais le débat n'en est pas moins révélateur. Les entreprises commencent à réfléchir à leur façon de «gérer» les réseaux sociaux. A l'instar de Patrick Langrand, responsable de la sécurité des systèmes d'information du groupe La Poste, qui signale que l'entreprise va bientôt « trancher sur l'autorisation de l'usage des réseaux sociaux ».