Au-delà des traditionnels systèmes de pointages qui – en se numérisant – deviennent plus intrusifs, les outils digitaux et numériques mis en place par les entreprises conduisent à une plus forte surveillance des salariés.
Article extrait de Décodage n° 40 | Avril 2025
De quoi s’agit-il ? Quels risques pour les salariés ?
Ces outils digitaux, logiciels et algorithmes de plus en plus perfectionnés permettent certes de fiabiliser la production et les services, d’en améliorer parfois la qualité.
Toutefois, ces systèmes ont des effets négatifs très importants : ils réduisent souvent la liberté d'action des salariés, en les rendant localisables en permanence par l’entreprise, ils incitent la direction à augmenter la productivité en réduisant les pauses, ils limitent les marges de manœuvre et les possibilités d’initiative des salariés, ils induisent des biais dans les choix pour les promotions… et sont parfois simplement illégaux.
|
Condamnation d’Amazon Logistique France par la CNIL Amazon logistique France a été condamné à 32 M€ d'amende, soit 3 % de son chiffre d'affaires. Son tort : "Mise en place d'un système de surveillance de l'activité et des performances des salariés excessivement intrusif" par le biais des outils qu'utilisent des employés des entrepôts pour scanner les colis. Argument : Cet outil conduit le salarié à devoir potentiellement justifier de chaque pause ou interruption. Les scanners enregistrent en effet les temps d'inactivité supérieure à 10 minutes et le rythme de traitement des colis. Un autre outil mesure le temps entre le badgeage à l'entrée du site et le scan du premier colis. Suite : Le groupe Amazon a annoncé demander recours de la décision devant le Conseil d'État. |
Une gestion du personnel basée sur l’intelligence artificielle
Le management algorithmique désigne le recours à des outils d’intelligence artificielle (IA) pour assurer le suivi et la gestion du personnel.
Des algorithmes fondés sur l’IA sont utilisés pour gérer, sanctionner et évaluer les performances des travailleurs :
- surveillance intrusive des travailleurs sur leur lieu de travail,
- prise de décisions relatives à la gestion du personnel basée sur l’IA.
Les algorithmes ont besoin d’importantes quantités de données pour fonctionner.
Des données de multiples sources sont recueillies.
La quasi-totalité des activités des employés est suivie et contrôlée.
La possibilité d’une surveillance permanente au travail
Le déploiement de nouvelles technologies au travail donne la possibilité d’une surveillance permanente et intrusive des travailleurs.
Certains outils basés sur l’IA surveillent les travailleurs :
- Performance physique au travail : mesure de la vitesse de travail, localisation, mouvements, rythme de travail, temps de pause…
- Conversations : des badges intelligents équipés d’un GPS et d’une puce surveillent les déplacements des travailleurs sur le lieu de travail et détectent également le ton des échanges entre collègues.
- "Comportement numérique" : Les outils d’IA enregistrent la frappe du clavier d’un ordinateur ou d’un PDA, surveillent l’utilisation des applications et l’historique de navigation, prennent des photos s’il y a une webcam, opèrent des enregistrements de l’écran... à des tarifs abordables par toutes les PME.
Les pratiques de surveillance permises par ces nouveaux outils numériques et algorithmiques peuvent conduire à s’immiscer dans la vie privée des travailleurs.
La surveillance permanente au travail augmente le stress des travailleurs
Une utilisation permanente ou malintentionnée des outils informatiques et algorithmiques a un réel impact sur la santé, qui commence à être mesuré.
Ces pratiques nuisent lourdement à la santé des travailleurs.
Certaines études ont mis en avant que la surveillance permanente des travailleurs engendre des niveaux élevés de stress (Trade Union Congress, 2021), et/ou de graves risques psychosociaux (Moore, 2009).
Les obligations légales pour les employeurs
Enjeux de sécurité
L’employeur doit prendre des mesures pour éviter que des personnes non autorisées accèdent aux informations du dispositif.
L’accès au dispositif doit :
- être réservé à des personnes habilitées,
- se faire avec un identifiant et un mot de passe si cela n’est pas garanti,
- garantir la sécurisation des échanges,
Par ailleurs, une journalisation des accès aux données et des opérations doit être effectuée. Une étude des risques sur la sécurité des données est également souhaitable afin de définir les mesures les mieux adaptées.
Remarque : les outils ou logiciels développés par des prestataires sont sous la responsabilité de l’employeur qui doit vérifier qu’ils respectent les obligations de la loi, en particulier les mesures de sécurité.
Une durée de conservation limitée
Les données "sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées" (Loi du 6 janvier 1978, art.4, alinéa 5).
Celle-ci doit être conforme à la finalité poursuivie par le traitement mis en place et ayant fait objet d’une déclaration à la CNIL. La mesure impose ici à la technique une conservation limitée dans le temps. Les informations ne peuvent être conservées de façon indéfinie dans les fichiers informatiques.
Concrètement :
- Moins de 2 mois en principe.
- Jusqu’à 1 an si elles sont utilisées pour optimiser les tournées ou à des fins de preuve des interventions effectuées, lorsqu’il n’est pas possible de rapporter cette preuve par un autre moyen.
- Jusqu’à 5 ans si elles sont utilisées pour le suivi du temps de travail.
Délégué à la protection des données
Si l’employeur a désigné un délégué à la protection des données (DPO), celui-ci doit être associé à la mise en œuvre du dispositif.
Avec une fonction située au cœur de la conformité au règlement européen sur la protection des données (RGPD), le DPO conseille et accompagne les organismes qui le désignent. Il est chargé de piloter la conformité au RGPD au sein de l’organisme qui l’a désigné.
Sa désignation est obligatoire dans certains cas : les autorités ou les organismes publics, les organismes dont les activités les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle ou à traiter à grande échelle des données dites "sensibles" ou relatives à des condamnations pénales et infractions.
Pour garantir l’effectivité de ses missions, le délégué doit disposer de qualités professionnelles et de connaissances spécifiques et bénéficier de moyens matériels et organisationnels, des ressources et du positionnement lui permettant d’exercer efficacement ses missions.
Registre des activités de traitement
Tout système de géolocalisation doit être inscrit au registre des activités de traitement tenu par l’employeur. Le registre est prévu par l’article 30 du RGPD. Il participe à la documentation de la conformité.
Document de recensement et d’analyse, il doit refléter la réalité des traitements de données personnelles et permet d’identifier précisément : les parties prenantes (représentant, sous-traitants...) qui interviennent dans le traitement des données ; les catégories de données traitées ; à quoi servent ces données, qui accède aux données et à qui elles sont communiquées ; combien de temps elles sont conservées ; comment elles sont sécurisées.
L’obligation de tenir un registre des traitements concerne tous les organismes, publics comme privés et quelle que soit leur taille, dès lors qu’ils traitent des données personnelles.
Autres points à retenir
Proportionnalité et pertinence des données : les données collectées doivent être "adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs" (article 4 de la loi "Informatique et Libertés").
Principe de loyauté : L’information du salarié sur les dispositifs de contrôle de son activité doit exclure les modes de preuves ayant pour objet ou pour effet de le piéger. Les salariés peuvent demander à accéder aux données les concernant enregistrées par l’outil (dates et heures de circulation, trajets effectués, etc.). Les employés doivent pouvoir désactiver la collecte ou la transmission de la localisation géographique en dehors du temps de travail. Attention : L’employeur peut contrôler le nombre ou la durée des désactivations et, le cas échéant, demander des explications au conducteur et sanctionner les éventuels abus.
Un salarié peut demander à son employeur les relevés du dispositif de géolocalisation installé dans son véhicule à la suite d’un accident de la circulation.
Les salariés ont droit d’accéder aux données personnelles les concernant traitées par leur employeur et, le cas échéant, d’en demander la rectification, l’effacement ou le verrouillage des données dont le traitement n’est pas conforme (article 4 de la loi "Informatique et Libertés").
Nul ne peut apporter de restrictions aux droits des personnes et aux libertés individuelles et collectives (article L1121-1 du Code du travail) qui ne seraient pas justifiées par la nature de la tâche à accomplir, ni proportionnées au but recherché.
Les moyens de prévention et d’action des salariés, IRP et OS
La négociation collective
Face aux avancées technologiques et à l’essor du management algorithmique, la négociation collective apparaît comme un outil essentiel pour protéger les travailleurs de certaines pratiques. En effet, les conventions collectives peuvent poser les limites de la surveillance des travailleurs par les outils d’IA ou exiger de définir des critères permettant de renforcer la transparence des décisions basées sur l’IA.
La réglementation européenne attribue à la convention collective un rôle essentiel pour assurer la protection des droits et libertés en ce qui concerne le traitement des données à caractère personnel des travailleurs. L’article 88 du règlement général de l’UE reconnaît le rôle des conventions collectives pour la protection des droits en matière de traitement de données des travailleurs et pour la réglementation des processus de décision algorithmique. Les conventions collectives sont considérées comme des instruments qui permettent de garantir un traitement juste et légal des données à caractère personnel dans le cadre des relations de travail (notamment aux fins du recrutement et de l’exécution du contrat de travail). Par conséquent, les conventions collectives pourraient exiger des informations sur la façon dont les employeurs utilisent les données personnelles des travailleurs ainsi que sur la manière dont ces données sont traitées par les systèmes d’IA.
L’information des IRP
L’employeur doit informer et consulter le CSE avant toute décision de mise en œuvre dans l’entreprise de techniques permettant un contrôle de l’activité des salariés (article L2312-38 du Code du travail). Exemple : mise en place d’un dispositif de géolocalisation dans les véhicules mis à la disposition des employés.
L’employeur doit justifier précisément les raisons l’incitant à contrôler le personnel. Exemple : il est légitime pour un employeur de prévoir des dispositifs pour vérifier les horaires d’entrée et de sortie des salariés, contrôler l’accès aux bâtiments ou encore garantir la sécurité des biens et des personnes. En revanche, celui-ci ne peut pas, par exemple, tracer les déplacements des représentants du personnel, ou mettre les locaux syndicaux sous vidéosurveillance.
L’information des salariés
Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance (L. 1222-4 du Code du travail). Exemple : dispositif de géolocalisation sur un véhicule utilisé par un salarié
Plus précisément, chaque employé doit être informé :
- de l’identité du responsable de traitement ;
- des finalités (objectifs) poursuivies (article 4 de la loi Informatique et Libertés);
- les données doivent être collectées et traitées de manière loyale et licite.
- Les finalités doivent être déterminées, explicites et légitimes.
- Toutefois, un traitement ultérieur de données à des fins statistiques ou à des fins de recherche scientifique ou historique est compatible avec les finalités initiales de la collecte des données.
- de la base légale du dispositif (obligation issue du Code du travail, ou intérêt légitime de l’employeur…) ;
- des destinataires des données issues du dispositif de géolocalisation ;
- de son droit d’opposition pour motif légitime ;
- de la durée de conservation des données ;
- de ses droits d’accès et de rectification ;
- de la possibilité d’introduire une réclamation auprès de la CNIL.
Cette information peut se faire au moyen d’un avenant au contrat de travail ou d’une note de service, par exemple.
Les recours possibles
Si un salarié estime que les dispositifs de surveillance sont excessifs, il peut saisir le service des plaintes de la Commission nationale de l’informatique et des libertés, les services de l’inspection du Travail et/ou le procureur de la République
L’employeur pourra être sanctionné : la CNIL peut désormais prononcer des amendes jusque 20 M€ ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial (cf. condamnation d’Amazon Logistique).
Conclusion
Les technologies se développent très rapidement et leurs conséquences sont difficiles à anticiper. D’autant plus lorsqu’on les croise.
Il est donc fondamental :
- De se tenir informé de ces technologies et de leurs conséquences sur l’emploi et les conditions de travail ;
- De faire respecter les lois qui régissent leur application ;
- D’être force de proposition pour améliorer la législation afin de protéger les travailleurs des potentielles dérives.
Les textes de référence :
- Article 9 du Code civil (droit à la vie privée)
- Article L. 1121-1 du Code du travail (droits et libertés dans l’entreprise)
- Article L. 1222-3 et L. 1222-4 du Code du travail (information des employés)
- Article L. 2323-32 du Code du travail (information/consultation du comité d’entreprise)
- Articles 226-1 et suivants du Code pénal (protection de la vie privée)
- Articles 226-16 et suivants du Code pénal (atteintes aux droits des personnes résultant des traitements informatiques)
- La loi Informatique et Libertés
- Le règlement européen sur la protection des données (RGPD)
