Cet article a été publié il y a 6 ans, il est donc possible qu'il ne soit plus à jour.
Il est possible de mettre en place un contrôle de l’utilisation des outils informatiques de l’entreprise par les salariés à condition de respecter certaines règles. L’employeur peut également tolérer une utilisation personnelle de ces outils à condition de définir clairement les limites de cette tolérance et d’en informer les salariés.
Dans quels cas peut-on contrôler l’usage des outils informatiques professionnels ?
L’employeur peut contrôler et limiter :
- L’utilisation d’internet : dispositifs de filtrage de sites, détection de virus, etc… ;
- L’utilisation de la messagerie professionnelle : outils de mesure de la fréquence des envois et/ou de la taille des messages, filtres « anti-spam », etc...
Ce contrôle a pour objectif :
- D’assurer la sécurité des réseaux qui pourraient subir des attaques (virus, cheval de troie, etc...) ;
- De limiter les risques d’abus d’une utilisation trop personnelle d’internet ou de la messagerie (consultation de sa messagerie personnelle, achats de produits, de voyages, discussions sur les réseaux sociaux, etc…).
Les e-mails
Par défaut, les e-mails ont un caractère professionnel. L’employeur peut les lire, tout comme il peut prendre connaissance des sites consultés, y compris en dehors de la présence du salarié.
En revanche, l’employeur ne peut pas :
- Recevoir en copie automatique tous les messages écrits ou reçus par ses salariés ;
- Utiliser de « keyloggers » permettant d’enregistrer à distance toutes les actions accomplies sur un ordinateur ;
- Conserver les logs de connexion plus de 6 mois ;
- Librement consulter les courriels personnels de ses salariés, même s’il a interdit d’utiliser les outils de l’entreprise à des fins personnelles.
Pour qu’ils soient protégés, les salariés doivent identifier les messages personnels comme tels, par exemple en précisant dans leur objet « Personnel » ou « Privé », ou en les stockant dans un répertoire intitulé « Personnel » ou « Privé ». A défaut, les e-mails sont présumés être professionnels.
Les fichiers informatiques
Par défaut, les fichiers ont un caractère professionnel et l’employeur peut y accéder librement. Lorsque les fichiers sont identifiés comme personnels, l’employeur peut y accéder :
- En présence de l’employé ou après l’avoir appelé ;
- En cas de risque ou évènement particulier, qu’il appartient aux juridictions d’apprécier.
Les clés USB connectées à un ordinateur professionnel
Une clé USB connectée à un ordinateur professionnel est présumée utilisée à des fins professionnelles. L'employeur peut donc consulter son contenu sans la présence du salarié.
La communication des mots de passe
Les identifiants et mots de passe (session Windows, messagerie, etc…) sont confidentiels et ne doivent pas être transmis à l’employeur.
Les droits des salariés
Les salariés doivent être informés de :
- des finalités poursuivies,
- la base légale du dispositif (obligation issue du code du travail par exemple, ou intérêt légitime de l’employeur),
- des destinataires des données,
- leur droit d’opposition pour motif légitime,
- la durée de conservation des données,
- leurs droits d’accès et de rectification,
- la possibilité d’introduire une réclamation auprès de la CNIL.
Cette information peut se faire au moyen d’un avenant au contrat de travail ou d’une note de service, par exemple.
Les instances représentatives du personnel doivent également être informées ou consultées avant toute décision de mise en œuvre d’un dispositif de contrôle de l’activité.
Les règles de contrôle doivent être retranscrites dans le règlement intérieur de l’entreprise. Une charte informatique peut également être mise en place.
Si l’employeur a désigné un Délégué à la protection des données (DPO), celui-ci doit être associé à la mise en œuvre des dispositifs de contrôle. De plus les systèmes de contrôle de l’activité doivent être inscrits au registre des activités de traitement tenu par l’employeur.
Références
Articles L 1121-1, L 1222-3, L 1222-4, L 2312-38 du Code du Travail
RÈGLEMENT (UE) n° 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
Découvrir aussi : Protection des données personnelles : le RGPD Dossier synthèse
Assurez-vous d'être en conformité vis-à-vis du RGPD et évitez les sanctions Découvrez et respectez les droits et les devoirs de votre entreprise et de vos salariés en la matière Bénéficiez de nombreux documents inclus : modèles de lettres et de documents, notes d'informations ... Retrouvez notre livret à distribuer, au format PDF, afin de sensibiliser vos salariés au RGPD
Découvrir aussi : Le règlement intérieur Dossier synthèse
Obtenez les réponses à toutes vos questions sur le règlement intérieur : quel est son contenu ? Que puis-je y inclure ou non ? Comment le mettre en place ? Appuyez-vous sur le modèle de règlement intérieur complet inclus, qui reprend les clauses obligatoires à mentionner. Bénéficiez d'autres modèles de documents pour vous aider lors de la mise en place du règlement intérieur : dépôt à l'inspection du travail, clause Covid-19 ...