« La vie privée en péril, des citoyens sous contrôle »: publié mi-avril, l'ouvrage d'Alex Türk, président de la Cnil, donne le ton. Si l'on n'y prend garde, les technologies numériques risquent de rogner sérieusement les libertés individuelles. Le monde de l'entreprise n'échappe pas à cette traçabilité accrue des individus. Ni à la tentation de certains employeurs d'utiliser ces technologies à des fins de contrôle de l'activité et de surveillance de leurs collaborateurs qui vont bien au delà des problématiques de sécurité. En mars dernier, la Revue pratique de droit social (RPDS), publication juridique de la CGT, consacrait d'ailleurs un numéro spécial à cette thématique, rappelant, point par point, la réglementation en vigueur.

Le « flicage »

« Nous avons aujourd'hui moins de plaintes liées à la cybersurveillance des salariés, nuance Norbert Fort, responsable du service des plaintes de la Cnil. Nous avons, en effet, beaucoup insisté sur l'intérêt des chartes informatiques pour formaliser les règles d'utilisation des systèmes d'information et de communication ». Les administrateurs de réseaux et systèmes ont d'ailleurs une obligation de confidentialité vis-à-vis des données auxquelles ils ont accès dans le cadre de leur fonction. Surtout lorsque ces informations relèvent de la vie privée des utilisateurs et qu'elles ne portent atteinte ni au fonctionnement des applications, ni à l’intérêt de l’entreprise.

« La géolocalisation pourrait se généraliser avec les smartphones », Norbert Fort, Cnil
« En revanche, la biométrie et, surtout, la vidéosurveillance gagnent du terrain », constate Norbert Fort, qui recense quelque 200 plaintes relatives à des systèmes de vidéosurveillance sur le lieu de travail l'année dernière. Nous percevons une certaine banalisation de ce sujet qui s'accompagne d'une miniaturisation des caméras, voire de systèmes de captation du son. » Les applications et services de géolocalisation aussi se perfectionnent. Suivi des livraisons, optimisation des déplacements...: « ces dispositifs sont, pour l'instant, limités aux véhicules, mais cette thématique pourrait se généraliser avec l'utilisation des smartphones », estime-t-il.

« Certes, la loi et la jurisprudence sont relativement protectrices à l'égard des salariés, convient Simon Denis, secrétaire national et juriste de l'Ugica-CFTC. Mais l'employeur peut bien faire ce qu'il veut des données collectées, sans nécessairement en faire état. Ce sont des procédés insidieux qu'il est difficile de contrer », objecte-t-il. Autre dérive que souligne le secrétaire national: l'utilisation, dans les centres d'appels, de logiciels permettant de comparer la productivité, « qui réduisent les collaborateurs à l'état de machine. »


« Sur les 4800 plaintes reçues par la Cnil en 2010, 20% concernent le secteur travail au sens large, expose Norbert Fort. Un volume important de plaintes concerne le droit d'opposition [cf article 38 de la loi I&L, NDLR]. Dans ce cas, les personnes s'interrogent sur la légalité d'un système de géolocalisation, de vidéosurveillance ou même, d'un fichier informatique classique. Les autres motifs de plainte concernent le droit d'accès, un défaut d'information, les flux transfrontières, le fait de savoir si un fichier a bien été déclaré à la Cnil, des durées de conservation excessives ou encore des failles de sécurité. »

Les systèmes d'information RH

Le « flicage » des salariés n'est qu'un des aspects de la problématique informatique et libertés dans l'entreprise. Outre les informations administratives de base du salarié, les employeurs engrangent, en effet, de plus en plus de données à caractère personnel dans leur système d'information RH (SIRH). Recrutement, annuaires d'entreprise « enrichis », entretiens d'évaluation, formation, rémunérations, mobilités, planification des carrières... Dans certaines grandes entreprises, tous les processus sont désormais dûment outillés. Des systèmes moins anodins qu'on ne le pense.

« La gestion des accès est le point délicat des SIRH », Pascale Gelly, AFCDP« Le recrutement soulève, à lui seul, plusieurs problématiques, illustre Pascale Gelly, avocate et administratrice de l'Association française des correspondants informatique et libertés (AFCDP). On pose souvent aux candidats des questions qui vont au delà des informations utiles pour le poste concerné. Les employeurs ont aussi tendance à garder ces données pendant trop longtemps et à les partager entre divisions ou filiales, en omettant de prévenir les intéressés. » Sans parler des recruteurs indélicats qui vont glaner des données personnelles sur Facebook. Les candidats disposent toutefois d'un droit d'accès à toutes les informations les concernant, résultats des tests et des évaluations professionnelles compris. Mais les entreprises ont également à résoudre une équation complexe: « d'un côté, on leur demande d'avoir recours à un personnel « diversifié » et de l'autre, la législation leur interdit toute discrimination à l'embauche fondée sur les critères de l'âge, du sexe, etc. ».

Plus généralement, le principal problème lié au déploiement de SIRH se niche, pour Pascale Gelly, dans la gestion des accès. « Auparavant, chaque service RH avait son fichier Excel. Aujourd'hui, on a des solutions informatiques qui permettent de tout faire. Le risque, c'est que certaines personnes aient accès à trop d'informations au regard de leur fonction. On peut craindre des fuites par malveillance ou une mauvaise utilisation des données par des collaborateurs mal formés. »

« Les employeurs ont la possibilité de croiser les données », Bernard Salengro, CFE-CGC.L'informatisation permet, par ailleurs, de faire toutes sortes de requêtes. « Les employeurs ont la possibilité de croiser les données, dont les arrêts maladie, pour mieux cerner les gens et, au besoin, trouver des moyens de pression », souligne Bernard Salengro. Secrétaire national de la CFE-CGC en charge des conditions de travail, du handicap et de la santé au travail. Simon Denis pointe également l'externalisation des processus RH. « Le danger étant de voir la gestion du personnel centralisée et confiée à une équipe n'ayant aucune connaissance concrète des collaborateurs. »

Pour Serge Gauthronet, consultant et président du directoire du cabinet Arete (expertise pour les CE et CHSCT), c'est la durée de conservation des données qui peut être gênante. « Certaines entreprises ont tendance à tout stocker, ce qui est plus facile aujourd'hui que d'organiser des vagues d'apurement de fichiers. » En fonction de sa nature, chaque information doit pourtant avoir une « date de péremption ». « Les outils collaboratifs servant, par exemple, à la gestion de projets doivent eux aussi être soumis à des règles de purge et d'archivage réguliers afin que ne soient conservées, de façon active, que les informations utiles », complète Pascale Gelly.

Les réseaux sociaux d'entreprise bouleversent la donne

Le contexte s'est cependant complexifié avec l'arrivée des réseaux sociaux d'entreprise (RSE). Dotés d'annuaires enrichis, chaque collaborateur peut, de fait, y peaufiner son profil: compétences, projets en cours, centres d'intérêt, communautés d'appartenance, etc. « L'avantage de ces outils, c'est qu'ils permettent d'avoir une information à jour et de qualité, contrôlée par le salarié lui-même, considère Serge Gauthronet. Encore faut-il que les recruteurs internes en fassent un bon usage et qu'ils s'y réfèrent scrupuleusement », nuance t-il. Mais « que se passera-t-il pour ceux qui refuseront de renseigner leur fiche ? », s'interrogent certains.

« Des managers pourront être tentés d'utiliser l'activité sociale d'un individu pour l'évaluer », Arnaud Rayrole, Useo.Ces réseaux sociaux bouleversent surtout les échanges et les rapports au sein des organisations. « Dans une très grosse entreprise, un RSE est un espace semi-public, une sorte « d'entre-nous » flou dans lequel va circuler de l'information personnelle accessible à beaucoup de personnes, expose Arnaud Rayrole, fondateur du cabinet de conseil en organisation et nouvelles technologies Useo. Les gens vont s'exprimer ouvertement entre pairs. Certains vont mal le vivre, d'autres vont commettre des maladresses qu'il faudra gérer. Des managers pourront aussi être tentés d'utiliser l'activité sociale d'un individu pour l'évaluer. » Et que va-t-on faire de toutes les contributions en ligne d'un collaborateur qui quitte l'entreprise? Les RSE suscitent beaucoup de questions, notamment autour de la transparence des échanges. Arnaud Rayrole en est convaincu: « les partenaires sociaux doivent se mettre autour de la table pour initier une réflexion sur ces nouveaux usages. » Pour Jean-Paul Bouchet, secrétaire général de la CFDT Cadres, c'est même une évidence: « les RSE vont devenir structurants pour l'organisation du travail au quotidien et doivent donc rentrer dans le champ du dialogue social. »

Une négociation préalable et collective

Mais les équipes syndicales et les salariés sont-ils suffisamment armés pour se saisir de toutes ces problématiques numériques? « Les gens n'ont pas toujours conscience des risques. Le droit est bien fait, mais pas toujours appliqué et la Cnil est débordée », considère Bernard Salengro. La CFDT cadres a, de son côté, synthétisé ses réflexions sur la cybersurveillance et prône une négociation préalable et collective des règles d'usage des technologies. « Mais nous regrettons de ne pas être plus souvent sollicités sur ces sujets, confie Jean-Paul Bouchet. Le pouvoir se prend par les technologies de l'information. Le contre-pouvoir doit s'organiser en conséquence! » Une chose est sûre: pour la plupart des syndicats, la vigilance s'impose. Particulièrement à l'égard des solutions anglo-saxonnes, leurs éditeurs ayant une fâcheuse tendance à imposer leurs modèles... Avec une tout autre conception des libertés individuelles.