Se connecter
Service & Contact Securex.be
Se connecter

Quelles sont les limites du contrôle imposées à l'employeur par la CCT n° 81 ?

La CCT n° 81 nous informe sur l'étendue du droit de contrôle de l'employeur dans le cadre de la relation de travail, en ce qui concerne les données de communication électroniques en réseau.

Dernière mise à jour le 24 janvier 2024

Ainsi, la possibilité est reconnue à l’employeur d’effectuer un contrôle, sur les données de communication électroniques en réseau à caractère personnel (pas leur contenu) pour une ou plusieurs finalités reconnues comme légitimes.

Nous allons passer en revue, point par point, les éléments à prendre en considération par l'employeur qui désire contrôler l’utilisation faite par son travailleur des outils électroniques mis à sa disposition.

Le contrôle doit avoir une finalité légitime

Un contrôle ne peut s'opérer que s'il se fait dans un but légitime. La CCT n° 81 énumère une série de finalités qui peuvent être considérées comme légitimes :

  • La prévention de faits illicites ou diffamatoires, de faits contraires aux bonnes mœurs ou susceptibles de porter atteinte à la dignité d’autrui (par exemple : des actes de piratage informatique, la consultation de site à caractère pornographique ou pédophile, etc…) 
  • La protection des intérêts économiques, commerciaux et financiers de l’entreprise auxquels est attaché un caractère de confidentialité ainsi que la lutte contre les pratiques contraires (comme par exemple : de la publicité dénigrante, la violation de secrets d’affaires, etc…) 
  • La sécurité et/ou le bon fonctionnement technique des systèmes informatiques en réseau de l’entreprise, en ce compris le contrôle des coûts y afférents, ainsi que la protection physique des installations de l’entreprise (par exemple : l’introduction d’un virus dans le système d’une entreprise) 
  • Le respect de bonne foi des principes et règles d’utilisation des technologies en réseau fixés dans l’entreprise

L’employeur doit définir clairement et de manière explicite la ou les finalités du contrôle.

Le contrôle doit être proportionnel au but recherché

Si le contrôle entraîne une ingérence dans la vie privée du travailleur, cette ingérence doit être réduite à un minimum. Seules les données nécessaires au contrôle doivent être collectées.

Dans le cadre spécifique de la CCT n° 81, cela signifie que la collecte de données doit, en principe, rester globale et qu'une individualisation (c'est-à-dire, une identification d'un travailleur déterminé) n'est en principe pas permise.

Toutefois, la CCT permet, dans certains cas, à l'employeur qui détecte une anomalie de retracer directement, à partir des données globales dont il dispose, le travailleur qui est à l'origine de l'anomalie.  Nous examinerons cet aspect au point "Les règles relatives à l’individualisation".

Le contrôle doit être transparent

Pour que le contrôle puisse être qualifié de transparent, les travailleurs doivent être suffisamment informés par rapport à tous les aspects du contrôle.

Information collective

L’employeur doit tout d’abord procéder à une information collective des travailleurs, via le conseil d’entreprise (CE), ou à défaut le comité pour la prévention et la protection au travail (CPPT), ou à défaut, la délégation syndicale, ou à défaut, directement aux travailleurs.

L’information collective doit avoir lieu avant toute installation d’un quelconque système de contrôle. Elle doit porter sur :

  • La politique de contrôle ainsi que les prérogatives de l’employeur et du personnel de surveillance 
  • La (ou les) finalité(s) poursuivie(s) 
  • Le fait que les données personnelles sont ou non conservées, le lieu et la durée de conservation 
  • Le caractère permanent du contrôle

Information individuelle

Lors de l’installation du système de contrôle des données de communication électroniques en réseau, l’employeur doit procéder à une information individuelle.

La CCT n° 81 prévoit que cette information individuelle doit porter sur :

  • L’utilisation de l’outil mis à disposition des travailleurs pour l’exécution de leur travail, en ce compris les limites à l’utilisation fonctionnelle 
  • Les droits et devoirs des travailleurs et les interdictions éventuellement prévues dans l’utilisation des moyens de communication électronique en réseau de l’entreprise 
  • Les sanctions prévues au règlement de travail en cas de manquement

Au niveau de l’information individuelle, la CCT ne prévoit pas de support spécifique. L’employeur peut donc réaliser cette information :

  • Dans le cadre d’instructions générales 
  • Par mention dans le règlement de travail 
  • Par mention dans le contrat de travail individuel 
  • ou par des consignes d’utilisation fournies à chaque utilisation de l’outil

Compte tenu du RGPD, l'information individuelle doit aussi concerner :

  • La base légale pour le traitement de ces données 
  • Qui fait l'objet du contrôle 
  • La mesure dans laquelle il y a un contrôle et les prérogatives de l'employeur et du personnel chargé de la surveillance 
  • Les données traitées 
  • La nature des abus qui peuvent mener à un contrôle
  • La durée des contrôles, le caractère permanent ou non du contrôle 
  • Les objectifs du contrôle 
  • Le fait que les données personnelles sont conservées, le lieu et la durée de conservation 
  • Et, si les données sont envoyées en dehors de l'Union européenne

Les règles relatives à l’individualisation

Comme nous l’avons vu, le contrôle de l’employeur ne peut normalement s’effectuer que de façon globale et non individualisée[1].

Dans certains cas, l’employeur peut toutefois procéder à une individualisation de son contrôle.

Les règles prévues à cet effet dans la CCT n° 81 ne s’appliquent pas à l’objet et au contenu des données de communication électroniques dont le caractère professionnel n’est pas contesté par le travailleur. Elles s’appliquent exclusivement à l’individualisation des données de communication électroniques privées.

La CCT distingue deux types d’individualisation, l’individualisation directe et l’individualisation indirecte (avec une phase préalable d’information).

L’individualisation des données de communication électroniques en réseau doit également respecter les principes de finalité, de proportionnalité et de transparence.

Dans les catégories de finalité mentionnées ci-dessous, l’employeur peut procéder à une individualisation directement, dès qu’il constate une anomalie :

  • Prévention de faits illicites ou diffamatoires, de faits contraires aux bonnes mœurs ou susceptibles de porter atteinte à la dignité d’autrui 
  • Protection des intérêts économiques, commerciaux et financiers de l’entreprise auxquels est attaché un caractère de confidentialité ainsi que la lutte contre les pratiques contraires 
  • Sécurité et/ou bon fonctionnement technique des systèmes informatiques en réseau de l’entreprise, en ce compris le contrôle des coûts y afférents, ainsi que la protection physique des installations de l’entreprise 

Par contre, si le contrôle poursuit comme finalité le respect de bonne foi des principes et règles d’utilisation des technologies fixés dans l’entreprise (4e catégorie de finalité), l’individualisation doit être indirecte, c’est-à-dire précédée par une phase préalable d’information.

Cette information a pour objet de porter à la connaissance du travailleur l’existence de l’anomalie et de l’avertir d’une individualisation des données de communication électronique lorsqu’une nouvelle anomalie de même nature sera constatée.

En outre, l’employeur doit également inviter le travailleur concerné à un entretien, pour permettre à ce dernier de faire part à l’employeur de ses objections vis-à-vis de la décision ou de l’évaluation envisagée et de s’expliquer sur l’utilisation faite par lui des moyens de communication électronique mis à sa disposition.

 

[1] Voir ci-dessus : "Le contrôle doit être proportionnel au but recherché"

Tous les articles sur Le contrôle électronique des travailleurs