Donnée personnelle du travailleur : décryptage du rapport annuel 2020 de la Cnil

La donnée personnelle, un enjeu de protection du travailleur

Qu’elle soit collectée et/ou enregistrée par vidéosurveillance, géolocalisation, ou écoutes téléphoniques, l’usage par l’employeur de la donnée du travailleur génère toujours de nombreuses plaintes, soit pas moins de 19 % de celles reçues par la Cnil ! C’est la vidéosurveillance sur le lieu de travail ou en « distanciel » via la caméra du PC qui concentre encore et toujours le plus de plaintes dans le secteur du travail (750 nouvelles plaintes en 2020).

Faisant preuve de pédagogie, la Cnil présente un cas de contentieux où un salarié « était filmé en permanence sur son poste de travail dans un PC Sécurité ». La Commission est alors intervenue après de son employeur afin de lui rappeler que « les caméras installées doivent être orientées sur les accès et les installations techniques sensibles mais ne doivent pas filmer les postes de travail des agents qui s’y trouvent ». Selon elle, ce système de vidéosurveillance était excessif et portait atteinte à ses libertés individuelles.

=> Pour plus de détails sur l’affaire et son illégalité juridique, consultez la brève dédiée.

L’usage du numérique pour satisfaire les mesures de distanciation sociale a également fait émerger de nouvelles pratiques en entreprise susceptibles de porter atteinte à la donnée du travailleur. Elles sont au moins de deux ordres à la lecture du rapport.

• En premier lieu, sur la collecte des données de santé des salariés. La Cnil a reçu de nombreuses sollicitations de la part des salariés et des employeurs « en particulier sur les possibilités de collecter, en dehors de toute prise en charge médicale, des données concernant des employés ou des visiteurs afin de détecter ou de retracer des cas de contamination à la Covid-19». Sollicitations qui faisaient, semble-t-il, souvent suite à la « diffusion de questionnaires sur l’état de santé des salariés ou à la mise en place de caméras thermiques [sur le lieu de travail] ». La Commission rappelle que quand bien même l’usage par l’employeur de ces systèmes de captations numériques des données de santé des travailleurs répondrait à son obligation de sécurité et de santé, il ne peut en aucun cas tout se permettre !

 

Suivant ainsi le principe de proportionnalité, les données collectées doivent être strictement nécessaires à la réalisation de cet objectif de santé et de sécurité et ne peuvent être utilisées à d’autres fins. Selon la Cnil, il n’est donc pas possible « pour l’employeur, de collecter des informations relatives à des symptômes, d’établir un diagnostic ou d’effectuer toute autre analyse médicale sur ses salariés ». Sauf à ce qu’il s’appuie, s’il envisage « d’aller plus loin, (…) sur le service de santé au travail, seul compétent en la matière ».

 

=> Pour plus de détails sur les limites au pouvoir qu’a l’employeur de collecter les données de santé des travailleurs, consultez la brève dédiée.

• En second lieu, portant sur la collecte et le traitement des données du télétravailleur. Le recours massif au télétravail a conduit bon nombre d’entreprises « à recourir à des solutions technologiques (…) sans prise en compte systématique des enjeux de protection des données personnelles » souligne la Cnil. Logiciels dont le déploiement rapide pouvait faire « craindre des défauts de conformité vis-à-vis de la collecte et du traitement des données personnelles ».

Cela a pu occasionner deux types de risques pour les salariés. Tout d’abord un risque exogène à l’entreprise en ce que sa donnée personnelle pouvait faire l’objet « d’attaques par rançongiciels et par hameçonnage » du fait selon la Commission « d’une explosion de transmission de données par courriel » accompagné « d’un assouplissement non maîtrisé des mesures de sécurité ». Pour parer à cela, la Cnil a émis des recommandations le 12 mai 2020.  

Mais au-delà des problématiques liées à la sécurisation des données, c’est plutôt un risque endogène à l’entreprise, soit la surveillance informatique de l’activité des salariés quiles a davantage inquiétés. Le gendarme des données explique en effet avoir reçu de nombreuses sollicitations sur les modalités d’organisation du travail à distance et sur les possibilités de contrôle par l’employeur des salariés. Elle rappelle encore une fois - chose qu’elle a pu faire dans ses Q/R du 12 novembre 2020  « que la surveillance constante » des données du corps du télétravailleur, « au moyen de dispositifs vidéo (tels qu'une webcam) et audio » ; ou de son esprit « par le partage permanent d’écran ou encore l’enregistrement de frappe (keyloggers) sont des dispositifs particulièrement excessifs et attentatoires à la vie privée : leur utilisation doit donc être, en principe, interdite ».

Si  a contrario la surveillance numérique n’est pas constante, encore faut-il que l’employeur respecte deux exigences : être transparent, c’est-à-dire informer le télétravailleur concerné de l’ensemble des données personnelles qu’il récolte et traite pour quelle(s) finalité(s) et respecter le principe de proportionnalité. Cela suppose pour l’employeur de ne collecter que les données personnelles qui sont strictement nécessaires pour atteindre le but poursuivi (par exemple l’évaluation du télétravailleur).

La donnée personnelle, un enjeu d’émancipation du travailleur

Au-delà des fonctions purement répressives de la Cnil à l’encontre des employeurs qui méconnaîtraient le droit des données personnelles des salariés, la Commission s’avère forte de propositions pour que le travailleur puisse se réapproprier sa donnée en entreprise. Donnée qui, une fois traitée par des algorithmiques, se donne à voir en une « identité numérique » du travailleur en ce qu’elle serait la projection de ses capacités productives (ranking informatique) et comportementales au travail (IA de recrutement d’entretiens vidéo différés).

Cette réappropriation du travailleur sur sa donnée passe à la fois pour le gendarme des données par la mise en exergue des droits issues du RGPD, comme celui de l’accès à ses données, ainsi qu’un travail de sensibilisation et de pédagogie conséquent en la matière.

On soulignera dans le rapport de la Cnil la mention, semble-t-il inédite, d’un cas concret de l’exercice du droit d’accès au travail. Cette mention est d’autant plus importante que la problématique pour le travailleur de l’accès à ses données personnelles devient centrale. En vertu de ce droit, le travailleur peut obtenir « l’accès et la communication de l’ensemble des données le concernant qu’elles soient conservées sur un support informatique et papier » selon la Cnil. Son intérêt est d’autant plus évident qu’à mesure où l’entreprise se digitalise, les travailleurs laissent de plus en plus de traces numériques témoignant de leurs aptitudes professionnelles, de leurs compétences et de leurs capacités à échanger… autant d’informations qui peuvent nourrir un dossier devant le conseil de prud’hommes.

Cette voix de droit, plutôt méconnu jusqu’à récemment, semble désormais être empruntée par davantage de justiciables, à en croire le rapport : « la CNIL est également saisie par des personnes pour des difficultés d’accès à leur dossier personnel (dossier médical, dossier CAF, pôle emploi…). » Au point que « l’exercice de ses droits auprès de son employeur (…) génère aussi un nombre élevé de plaintes, dans un contexte généralement tendu, voir conflictuel entre employé et employeur ».

C’est ainsi qu’un salarié décidant de poursuivre son ancien employeur « en vue de contester son licenciement (…) demande l’accès à l’ensemble des données personnelles contenues dans son dossier professionnel ». La société refuse au motif que le « contentieux les opposant empêche de transmettre ces éléments ».

La Cnil est alors intervenue, relate le rapport, « pour lui rappeler que le droit d’accès peut s’exercer y compris lorsqu’une procédure contentieuse est en cours, et qu’elle est donc tenue d’examiner la demande reçue et d’y répondre dans les conditions prévues par le RGPD ».  C’est là implicitement la consécration du droit pour un salarié d’accéder à ses données personnelles pouvant servir d’éléments de preuves afin d’étayer ses prétentions en justice face à son employeur. 

Nuançons tout de même, puisqu’il ne faudrait pas y lire que la Cnil donne un blanc-seing à tout justiciable voulant récolter des éléments probants, ni surtout, qu’un traitement de données puisse avoir comme finalité l’exercice même de ce droit d’accès !

=> Pour plus de détails sur le droit d’accès du salarié comme renfort de son droit à la preuve, consultez la brève dédiée.

On ne peut que saluer le travail de la Cnil, qui participe, avec sa « double casquette » d’accompagnant et de gendarme de la donnée, à l’émancipation du citoyen au travail… Emancipation qui se manifesterait, puisque la donnée est l’expression du travail et du travailleur, en sa réappropriation au sein du collectif du travail. Sans vouloir à tout prix « lui chercher des poux », on notera tout de même dans la pratique la faiblesse, voire l’absence de contrôle de la Cnil au sein d’entreprises se la jouant Big Brother….

On relèvera enfin la timidité du rapport sur les questions pourtant épineuses que soulève la gestion par la donnée des travailleurs de plateformes, et plus largement de l’intelligence artificielle au travail : le travailleur peut-il être piloté par une IA ? Quid des biais discriminatoires de l’algorithme ? De l’atteinte à sa vie personnelle, à sa dignité ?

Sans doute que la publication par son homologue espagnol d’un guide pour auditer les IA en janvier 2021 lui donnera matière à réflexion….