SYSTÈME D’INFORMATION - VIE DES AFFAIRES - 04.09.2020

COVID-19, télétravail et RGPD : quelles précautions ?

Mi-mars 2020, le confinement dû à la COVID-19 a contraint bon nombre d’employeurs à une mise en télétravail de leurs salariés dans l’urgence. Dans ce contexte, certaines obligations réglementaires peuvent avoir été mises de côté. Il est encore temps pour chaque entreprise de revoir sa copie.

L’encadrement du télétravail

Formalités préalables. La mise en place du télétravail doit, en situation normale, être anticipée, respecter certaines conditions et faire l’objet de certaines formalités particulières : recueillir l’accord du salarié, rédiger un avenant au contrat de travail, informer le comité social économique (CSE), s’il existe, etc. Toutefois, le COVID-19 est l’une des circonstances exceptionnelles prévues par les textes (C. trav. art. L 1222-11) autorisant une mise en œuvre en urgence du télétravail, sans le consentement du salarié. À l’issue de la crise, l’employeur devra rétablir la situation précédente ou effectuer les conditions et formalités exigées en situation normale de télétravail.

Bon à savoir. Toute donnée collectée via un dispositif non conforme est illégale, donc inutilisable dans le cadre d’un litige interne à l’entreprise ou devant un tribunal. À l’inverse, le salarié peut se servir des données collectées illégalement par l’employeur contre lui.

Sensibilisation indispensable. Il est recommandé, particulièrement si le télétravail est une nouveauté dans l’entreprise de sensibiliser le personnel, notamment en rappelant que la charte informatique élaborée par l’employeur s’applique. La charte doit être mise à jour pour le télétravail et plus encore pour le « Bring Your Own Device (BYOD) » , pratique consistant à autoriser les employés à travailler avec leur matériel personnel. En effet, rares sont les entreprises qui ont en stock assez de matériel pour la mise en télétravail de l’ensemble des effectifs ; or le matériel d’un particulier est nécessairement moins sécurisé que le matériel professionnel.

Sécurité et confidentialité des données. Le salarié doit être élevé au rang de garant de la confidentialité des données professionnelles : nul ne doit avoir accès aux données de l’entreprise ou au matériel professionnel ou l’avoir utilisé à titre professionnel à part lui. Il doit éviter de se déplacer avec le matériel ou les données, doit verrouiller son poste dès qu’il le quitte et l’éteindre s’il le quitte de façon prolongée.

À noter. En télétravail, la connexion Internet du personnel est généralement dégradée par rapport à celle de l’entreprise, et l’échange de données, ne serait-ce qu’entre collègues, est rendu plus difficile. Une difficulté devant être anticipée par l’entreprise en étudiant dès que possible la mise en place d’outils « officiels » d’échange de données afin d’éviter que les personnes recourent à des outils non maîtrisés et sans autorisation (p.ex., le bien connu WeTransfer).

Pérennité des données. Le salarié doit se voir interdire, sauf contrainte technique incontournable, de traiter des données en local sur son poste de travail, tout particulièrement s’il s’agit d’un poste de travail personnel, et, au contraire, ne traiter les données que sur le système de fichiers de l’entreprise pour bénéficier des règles de sécurité et sauvegarde. Le salarié doit, en outre, s’interdire d’effectuer des sauvegardes de données sur son matériel personnel qui peuvent facilement être perdues ou détournées. Il doit également s’interdire de travailler à partir d’une connexion Internet publique, particulièrement si l’employeur ne peut pas mettre en place de dispositif sécurisant cette connexion (VPN p.ex.).

La surveillance du télétravailleur

Nouvelles pratiques à évaluer. En situation de télétravail, les méthodes classiques de suivi du temps de travail (pointeuse, surveillance du manager, etc.) deviennent inopérantes. Les entreprises peuvent alors être tentées de déployer de nouveaux mécanismes en vue de s’assurer de l’assiduité de leurs équipes. Parmi les solutions les plus courantes : obligation d’activer la webcam à la demande pour prouver la présence au poste de travail, analyse plus poussée qu’à l’accoutumée des sites Internet visités pour vérifier que le salarié n’a pas manqué d’implication dans son travail, analyse des statistiques relatives aux e-mails, voire analyse des frappes de touches du clavier pour vérifier que le salarié a effectué un volume de travail normal.

Bon à savoir. Comme pour les caméras de vidéosurveillance, il est interdit de filmer constamment un employé avec une webcam. Et comme pour la mise en place de caméras, le CSE doit être informé en amont des dispositifs de suivi mis en place dans le cadre du télétravail (C. trav. art. L 2312-38) .

Transparence, parcimonie et granularité. Le recours à ces dispositifs peut conduire à surveiller excessivement les employés ou à capter des éléments d’ordre privé (courriels personnels, conversations orales entendues via la webcam, mots de passe personnels tapés sur le clavier, etc.). Ils sont particulièrement intrusifs et doivent donc être strictement encadrés.

Ces dispositifs évoqués peuvent être proportionnés, donc valablement mis en œuvre, lorsqu’ils sont utilisés sous réserve de la mise en place effective des garanties suivantes : le besoin est avéré, les salariés en sont informés au préalable, le contrôle est limité à la sphère professionnelle et le dispositif n’est actif que pendant le temps de travail.

En pratique. Il est recommandé de pouvoir constater une baisse de productivité avant de mettre en place des mesures de suivi complémentaires aux mesures préexistantes dans les locaux de l’entreprise. Par ailleurs, il est préférable que le salarié puisse désactiver de façon autonome le suivi lorsqu’il quitte son poste, prend une pause, etc.

Retour sur site et données de santé

Traitements sensibles. Lors du retour sur site, contrôler l’état de santé des salariés est, en principe, interdit, sauf exception (RGPD art. 9) . Toutefois, l’employeur ayant une obligation légale de protection de la santé de son personnel, il est autorisé à mettre en œuvre des mesures et procédures préventives avec le référent COVID-19 et le service de santé au travail (SST) en vue de détecter les salariés « à risque ». Les traitements de ces données doivent être mis en œuvre dans le cadre d’un strict respect du RGPD.

Transparence. Les salariés doivent être informés en amont du traitement de leurs données ou au plus tard en temps réel, sauf urgence ou motif impérieux. P.ex., si l’employeur souhaite effectuer un signalement de suspicion de contamination d’une personne et qu’il ne peut prévenir au préalable cette personne, cette dernière doit au moins recevoir copie du signalement fait aux autorités publiques. Il est conseillé de prévoir une communication en ce sens à tout le personnel afin d’éviter d’avoir à prévenir une à une les personnes qui seront éventuellement concernées. Cela peut se matérialiser par un e-mail ou un courrier postal de la direction (afin que tous les salariés, présents ou non sur site, aient l’information) précisant quelles informations peuvent être transmises à quelles autorités, et pourquoi.

Bon à savoir. Toutes les démarches collectives engagées devraient, par ailleurs, être portées à la connaissance du CSE et des représentants du personnel.

Minimisation. L’employeur ne doit traiter que les données strictement nécessaires, à mesure qu’elles le deviennent. P.ex. dans un premier temps, il doit recenser l’identité des personnes suspectées d’avoir été exposées et la date d’exposition supposée dans une « fiche signalement » pour les autorités. Il renseigne si les personnes font partie des profils « à risque », selon les critères définis par le gouvernement.

Il renseigne en parallèle les mesures prises (télétravail, chômage partiel des personnes concernées p.ex.) et transmet directement sa « fiche signalement » aux autorités sanitaires. Si, et seulement si, cela est demandé par les autorités, l’employeur approfondit la collecte d’informations qui pourraient être utiles à la prise en charge médicale : contexte de l’exposition, nature de l’exposition, etc.

En pratique. L’employeur ne doit en aucun cas collecter, sauf instruction des autorités publiques, des données hautement personnelles (fait que l’exposition résulte d’une relation sexuelle p.ex.) ou données de santé indépendantes du COVID-19 (p.ex. le fait que la personne potentiellement exposée a un cancer). Au besoin, c’est le salarié qui transmet lui-même ces informations aux autorités.

Confidentialité. L’employeur peut indiquer à l’ensemble de son personnel qu’un cas de COVID-19 a été recensé dans l’établissement, mais pas désigner nommément le salarié concerné, sauf exception, notamment si suggéré par les autorités sanitaires. Le service des ressources humaines (RH) disposant nativement d’informations suffisantes pour identifier et avertir du risque toute personne susceptible d’avoir approché la personne contaminée, cela ne ferait que nuire gravement à la vie privée de cette dernière.

Conservation. Lorsque sont organisés des relevés de température ou mesures équivalentes, le contrôle doit être instantané, sans conservation, ni historisation. Les listes de personnes atteintes ou susceptibles d’être atteintes du COVID-19 ne doivent être consultables que par la direction, le service RH et, au besoin, le SST.

À l’issue de la crise, les données devront être supprimées des bases de « production » pour être archivées à des fins de preuve en matière de droit du travail (cinq ans le plus souvent) ou de fiscalité (dix ans le plus souvent).

À noter. Il est rappelé que « l’archivage » correspond à un stockage des données séparé physiquement, ou au moins logiquement de la production, et accessible par un nombre très limité de personnes.

Le télétravail en période de crise sanitaire impose à l’employeur flexibilité, réactivité et transparence. Si la protection de la santé du personnel doit demeurer l’objectif numéro un de l’employeur, la réglementation du travail et la protection des données personnelles de vos salariés doivent également être respectées pour éviter les contentieux et le risque de sanctions pécuniaires.

Contact

Éditions Francis Lefebvre | 42 Rue de Villiers, CS50002 | 92532 Levallois Perret Cedex

Tél. : 03 28 04 34 10 | Fax : 03 28 04 34 11

service.clients.pme@efl.fr | pme.efl.fr

SAS au capital de 241 608 € • Siren : 414 740 852
RCS Nanterre • N°TVA : FR 764 147 408 52 • APE : 5814 Z