Actualités de la sécurité

Télétravail : surveiller son salarié en permanence est interdit

Bastien Dubuc, 2 décembre 2020

La CNIL a été sollicitée ces derniers mois pour répondre à des questions en lien avec le télétravail et le respect de la vie privée.

Jusqu’à présent peu développé en France, le télétravail a connu un essor important depuis le début de la pandémie de COVID-19 et le premier confinement, permettant aux entreprises et administrations françaises de maintenir leurs activités. Avec cette explosion du travail à domicile, beaucoup de questions se sont posées quant aux droits et devoirs des entreprises et des salariés qui ont dû s'adapter très rapidement à de nouvelles façons de travailler. Parmi ces nombreuses questions que la CNIL a reçu, les sujets autour du contrôle du temps de travail, de la surveillance des salariés et de leur activité à distance ont fait leur apparition.

Avec la fin des vacances d'été et le début de la deuxième vague de coronavirus et du deuxième confinement, les questions n'ont pas cessées et le télétravail semble devenir un mode de travail de plus en plus prisé et qui pourrait s'installer dans la durée. La CNIL a donc mis en ligne un « questions/réponses » le 12 novembre dernier, qui devrait désormais faire référence en ce qui concerne le respect des données personnelles et de la vie privée des salariés en télétravail, et qui permet notamment de savoir ce que les entreprises ont le droit de faire en matière de surveillance à distance.

Alors que certaines entreprises peuvent être tentées d’utiliser des outils intrusifs par manque de confiance vis-à-vis de leurs employés, la CNIL rappelle certains principes essentiels communs au droit du travail et au RGPD.

L'employeur doit informer les salariés des dispositifs de contrôle de leur activité avant de les mettre en place.

Dans ce cadre, l’employeur peut contrôler l’activité des salariés en télétravail mais doit justifier que les dispositifs mis en œuvre sont proportionnés à l’objectif poursuivi et ne portent pas atteinte excessive au respect des droits et libertés des salariés et au respect de leur vie privée. L'employeur doit également informer les salariés des dispositifs de contrôle de leur activité avant de les mettre en place.

L’employeur ne peut pas placer ses employés sous surveillance permanente

Si l’employeur peut donc contrôler l’activité de ses salariés, il ne peut pas les placer sous surveillance permanente. Dans ce sens, l'employeur ne peut pas demander à un employé d'allumer sa webcam tout au long de son temps de travail pour s’assurer de sa présence derrière son écran. Egalement, la CNIL bannit le partage permanent de l’écran ou l’utilisation de « keyloggers » (logiciels qui permettent d’enregistrer l’ensemble des frappes au clavier effectuées par une personne sur un ordinateur).

Ces procédés sont particulièrement invasifs et s’analysent en une surveillance permanente et disproportionnée des activités des employés.

Un employeur ne peut pas obliger un salarié à activer sa caméra lors d’une réunion

De la même manière, un employeur ne peut pas obliger un salarié à activer sa caméra lors d’une réunion. En effet, imposer l’activation de leur caméra aux salariés en télétravail qui participent à des visioconférences viendrait en opposition à l’article 5.1.c du RGPD selon lequel les données traitées doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées »... Or, dans la plupart des cas, une participation via le micro est suffisante.

Pour s’assurer qu’un salarié respecte son temps de télétravail, la CNIL propose aux entreprises d'adopter des moyens moins intrusifs et d'adapter les méthodes d’encadrement et d’évaluation comme la mise en place d'un contrôle de la réalisation par objectifs pour une période donnée, ou des comptes rendus réguliers.



Avast est un leader mondial de la cybersécurité et de la protection de la vie privée avec des centaines de millions d'utilisateurs dans le monde. Protégez tous vos appareils avec notre produits antivirus, anti-ransomware et de protection de la vie privée.