Le contrôle des salariés mobiles par l'employeur: Aspects juridiques de la geolocalisation

Que ce soit par l’intermédiaire d’un récepteur GPS ou d’un téléphone portable GSM, les services de géolocalisation tendent actuellement à se banaliser dans les entreprises.

 Bien que la mise en place de ces outils soit en général justifié, par le souci d’optimiser les tournées de livraisons ou de dépannages, l’objectif indirect est souvent la surveillance des salariés : vérification des horaires, du temps passé chez un client, limitation de l’usage des véhicules professionnels à des fins privés, etc.

 Quelle que soit la méthode employée, ou le type de salariés visés par une telle mesure, il convient de s’assurer du respect d’un certain nombre de principes juridiques, tant en ce qui concerne le droit du travail, qu’au regard des obligations relatives aux traitements d’informations à caractère personnel.

  • L’information et le consentement du salarié

Préalablement à la mise en place d’un tel système, il est impératif pour l’employeur d’informer le Comité d’Entreprise ou à défaut, les Délégués du Personnel  sur les traitements automatisés qu’il  prévoit de mettre en place, ainsi que sur toutes modifications de ceux-ci.

 (Article L.432-2-1 du Code du Travail).

Il s’agit cependant d’une simple consultation, le Comité d’Entreprise n’ayant pas le pouvoir de s’opposer à la mise en place du traitement.

Cette étape est indispensable pour être en mesure de démontrer que les salariés ont bien été informés de la mise en place du système, et pouvoir, le cas échéant, utiliser les informations recueillies comme moyen de preuve dans le cadre d’un litige.

En outre, il n’est pas inutile, afin de renforcer cette information, de faire également signer à chaque salarié concerné un avenant à son contrat de travail, ou plus généralement d’insérer ces dispositions dans le règlement intérieur.

  • La déclaration préalable du traitement à la CNIL[1]

Il convient tout d’abord de rappeler que les pouvoirs de contrôle et de sanctions de la CNIL ont été largement renforcés par la Loi n° 2004-182 du 6 août 2004, relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel[2].

 Ainsi, la non déclaration d’un système de traitement de données à caractère personnel est punie de 5 ans d’emprisonnement et 300 000 euros d’amende[3].

 Inutile également d’espérer se soustraire aux contrôles de la CNIL puisque  l’entrave à ses investigations est désormais un délit, puni d’un an d’emprisonnement et de 15 000 euros d’amende.

 Les entreprises doivent donc être particulièrement vigilantes dès lors qu’elles mettent en place de nouveaux traitements d’informations de données à caractère personnel et notamment un système de géolocalisation.

En effet, les données de géolocalisation entrent dans le champ de la Loi du 6 août 2004 et sont définis par la Directive Européenne 2002/58[4] comme « les données traitées dans un réseau de communications électroniques indiquant la position géographique de l’équipement terminal d’un utilisateur d’un service de communications électroniques accessible au public ».

L’employeur souhaitant mettre en place un tel système devra donc, comme pour tout autre traitement d’informations personnelles, effectuer une déclaration préalable à la CNIL.

Il devra pour cela s’assurer qu’il a obtenu l’accord des personnes concernées, préciser la finalité du traitement mis en place et enfin limiter la conservation des données qui ne peut excéder les finalités du traitement envisagé.

La CNIL s’efforce actuellement de simplifier ce type de démarches en éditant des fiches de déclaration pour les traitements classiques (modèle simplifié).

Elle propose par exemple depuis le 24 janvier 2005, une nouvelle norme simplifiée pour la gestion des ressources humaines.

Cependant, aucune déclaration simplifiée n’existe encore concernant la déclaration des systèmes de géolocalisation. Le recours à un conseil extérieur peut donc s’avérer nécessaire.

  - La finalité du traitement

 En réalité, la difficulté d’une telle déclaration réside essentiellement dans la détermination de la finalité du traitement envisagé.

S’agit-il par exemple de contrôler simplement la position d’un véhicule de livraison pendant sa tournée, ou plus largement de s’assurer que c’est bien chez un client et non au restaurant qu’un commercial a passé son après-midi ?

Il est évident que l’information brute recueillie, relative aux trajets effectués, peut facilement être associée à des informations relatives aux temps d’arrêts, à l’heure de départ et d’arrivée et à la vitesse des véhicules.

Ce type de contrôle doit alors être apprécié à la lumière de l’Article L.120-2 du Code du Travail qui dispose que « nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives des restrictions qui ne seraient pas justifiées par la nature des tâches à accomplir, ni proportionnées au but recherché ».

La CNIL a notamment considéré que la mise sous surveillance permanente des déplacements des salariés est disproportionnée lorsque la tâche à accomplir ne réside pas dans le déplacement lui-même, mais dans la réalisation d’une prestation pouvant faire elle-même l’objet d’une vérification.

 De même, un Arrêt du 26 novembre 2002 de la Chambre Sociale de la Cour de Cassation faisant application de cet article, juge qu’une filature organisée par l’employeur pour contrôler et surveiller l’activité d’un salarié constitue un moyen de preuve illicite, qui ne peut donc être invoqué en justice, même lorsque le salarié avait été informé de la possibilité de ce contrôle.

 De ce fait, la surveillance systématique des déplacements des salariés pourrait être assimilée par les juridictions à une véritable « filature électronique » et constituer ainsi une atteinte à la vie privée de ces derniers, susceptible de ne pouvoir être justifiée par les intérêts légitimes de l’employeur, eu égard à son caractère disproportionné.

  - La durée de conservation des données

Par ailleurs, la CNIL exerce également un contrôle sur la durée déclarée de conservation des données collectées qui ne peut excéder les besoins et la finalité du traitement mis en place.

L’employeur n’est donc pas supposé conserver ces données en vue de réaliser ensuite des statistiques sur l’activité quotidienne, mensuelle, voire annuelle de chacun de ses salariés.

Sur un système de géolocalisation utilisant les téléphones GSM, de nombreux abus sont également  susceptibles d’être commis en vue de contrôler les déplacements privés des salariés qui conservent le téléphone avec eux.

Il est même possible par ce biais de constater l’appartenance d’un salarié à un parti politique, un syndicat ou encore une institution religieuse, en fonction des visites qu’il y fait ! Chacun comprendra aisément les risques d’une telle dérive.

Rappelons néanmoins, qu’aux termes de l’Article 31 de la Loi du 6 janvier 1978[5], il est «interdit de mettre ou conserver en mémoire informatique, sauf accord exprès de l’intéressé, des données nominatives qui, directement ou indirectement, font apparaître les origines raciales ou les opinions politiques, philosophiques ou religieuse ou les appartenances syndicales ou les mœurs des personnes ».

- La divulgation des données à des tiers

Enfin, les informations recueillies ne doivent évidement pas faire l’objet de divulgation à des tiers (prestataires de géolocalisation, ou autres), à moins qu’elles ne soient anonymisées, ou que les personnes concernées aient explicitement donné leur accord.

En définitive, pour que le marché des services lié à la géolocalisation n’échoue pas avant même d’avoir démarré, et pour que les salariés acceptent la mise en place de telles mesures, ces derniers ne devront pas se sentir traqués.

On ne saurait donc trop conseiller à un employeur qui souhaite mettre en place un système de géolocalisation d’organiser une large concertation avec les salariés concernés, avant d’effectuer une déclaration préalable à la CNIL.

Seules ces deux actions permettront de garantir l’employeur contre toutes poursuites émanant de ses salariés, ou de la CNIL elle-même.

Faute de déclaration simplifiée, il conviendra de rédiger soigneusement les déclarations à la CNIL ou de prévoir la mise en place  d’un correspondant à la protection des données en entreprise, qui dispensera alors la société de la plupart des déclarations.

Ce nouvel interlocuteur, innovation de la loi du 6 août 2004, pourra être un salarié de l’entreprise ou le Conseil habituel de cette dernière, mais devra dans tous les cas disposer de qualifications techniques et juridiques afin de représenter son employeur ou la société auprès de la CNIL.

 


[1] Commission Nationale Informatique et Liberté (www.cnil.fr)

[2] La loi 6 août 2004 transpose la Directive 95/46 du Parlement Européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données.

[3] Article 226-16 à 226-24 du Code Pénal

[4] Directive Européenne 2002/58 du 12 juillet 2002 sur le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.

[5]Modifiée par la Loi du 6 août 2004.

Tous droits de reproduction réservés.