Par un arrêt du 19 décembre 2018, la Chambre sociale de la Cour de cassation a confirmé qu’un employeur ne peut utiliser un système de géolocalisation de ses salariés pour contrôler leur temps de travail qu’à certaines conditions strictes. Cet arrêt est l’occasion de rappeler que le déploiement de dispositifs de surveillance et/ou de contrôle des salariés doit faire l’objet d’une vigilance accrue, en vue de s’assurer de leur déploiement dans des conditions conformes au droit du travail mais également aux dispositions applicables en matière de protection des données à caractère personnel (règlement européen sur la protection des données dit « RGPD », loi Informatique et libertés,…), sous peine d’illicéité de tels dispositifs.
Conditions de licéité de la mise en œuvre d’un dispositif de géolocalisation à des fins de surveillance des salariés : convergence entre le droit du travail et le droit de la protection des données à caractère personnel
La Cour de cassation est venue rappeler les conditions d’application de l’article L.1121-1 du Code du travail, aux termes duquel : « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ».
Partant, elle ajoute que l’utilisation par un employeur d’un dispositif de géolocalisation à des fins de contrôle du temps de travail de ses salariés ne peut être considérée comme licite que si ce contrôle ne peut pas être fait par un autre moyen, fût-il moins efficace que la géolocalisation (par exemple, à l’aide de badges, d’une pointeuse ou encore d’un système d’auto-déclaration de la part du salarié). Elle considère également que l’utilisation d’un tel dispositif n’est pas justifiée lorsque le salarié dispose d’une liberté dans l’organisation de son travail (par exemple, s’agissant d’un VRP disposant d’une certaine liberté dans l’organisation de ses déplacements).
Ainsi, selon la Cour de cassation, un système de géolocalisation mis en œuvre par un employeur pour procéder au contrôle de la durée du travail de ses salariés ne peut être licite que s’il constitue le seul moyen lui permettant d’assurer un tel contrôle.
Cet arrêt de la Cour de cassation est une confirmation de la jurisprudence antérieure sur le sujet, mais s’inscrit également dans la droite ligne des recommandations de la Commission nationale de l’informatique et des libertés (la « Cnil ») qui, dans sa norme simplifiée n°51, précise qu’un tel traitement de données à caractère personnel des salariés opéré grâce à un dispositif de géolocalisation peut avoir « pour finalité accessoire le suivi du temps de travail, lorsque ce suivi ne peut être réalisé par un autre moyen, sous réserve notamment de ne pas collecter ou traiter de données de localisation en dehors du temps de travail des employés concernés ».
Aussi, cette décision est l’occasion de rappeler que tout dispositif de surveillance mis en œuvre par un employeur s’agissant de ses salariés doit tenir compte des droits et libertés des salariés au sens des dispositions du Code du travail mais également des dispositions applicables en matière de protection des données à caractère personnel, qui bien souvent convergent, la Cnil ayant une doctrine particulièrement important en matière de données à caractère personnel des salariés (géolocalisation, vidéosurveillance, contrôle de l’utilisation d’internet et de la messagerie électronique, …).
En tout état de cause, outre la nécessité de tenir compte des contraintes imposées par le droit du travail, le respect de la règlementation applicable en matière de protection des données à caractère personnel dans le cadre de la mise en œuvre d’un dispositif de géolocalisation (et plus généralement de surveillance et de contrôle) des salariés doit être une priorité.
Analyse préalable à la mise en œuvre de dispositifs de surveillance des salariés au regard du droit de la protection des donnée à caractère personnel
En amont du déploiement d’un tel dispositif de surveillance des salariés à l’aide de systèmes de géolocalisation, et plus généralement de tout dispositif de surveillance des salariés, il appartient donc à l’employeur de conduire une réflexion en application du principe de protection des données dès la conception, dit « privacy by design ». Cette analyse vise à prévenir toute atteinte à la vie privée des personnes concernées et à s’assurer de la conformité des traitements de données à caractère personnel lors de leur conception au regard de la réglementation applicable en matière de protection des données à caractère personnel.
Par ailleurs, aux termes de cette règlementation et des recommandations de la Cnil, une analyse de risque et d’impact relative à la protection des données (mesures prises dans le cadre de la mise en œuvre du dispositif en vue du respect des droits et libertés des salariés concernés, de la sécurité et de la confidentialité des données,…) peut s’avérer nécessaire dans la mesure où celle-ci doit être menée pour tout traitement de données à caractère personnel susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. La Cnil estime en effet qu’une telle analyse est requise pour les traitements ayant pour finalité de surveiller de manière constante l’activité des salariés concernés dans la mesure où ceux-ci sont considérés comme des personnes « vulnérables » et où de tels dispositifs engendrent une surveillance systématique de ces derniers (cf. liste des traitements publiée par la Cnil le 11 octobre 2018 pour lesquels une analyse d’impact est requise).
*
* *
En conclusion, cet arrêt de la Cour de cassation est l’occasion de rappeler que les aspects juridiques du déploiement d’un dispositif de surveillance et/ou de contrôle des salariés doivent être anticipés afin de s’assurer que la mise en œuvre d’un tel dispositif se fera dans des conditions qui en garantissent la licéité :
(i) tant au regard des dispositions applicables en droit du travail (cf. principe de proportionnalité des restrictions éventuellement apportées aux droits et libertés des salariés, information et/ou consultation des instances représentatives du personnel le cas échéant,…) ;
(ii) qu’au regard des dispositions applicables en matière de protection des données à caractère personnel, non seulement sous peine d’illicéité d’un tel dispositif, mais également sous peine de sanctions administratives qui pourraient être prononcées par la Cnil en cas de manquement à la règlementation précitée (ex : suspension ou interdiction de mise en œuvre du dispositif, sanction pécuniaire pouvant atteindre 20 millions d’euros, voire 4% du chiffre d’affaires annuel mondial de l’entreprise ayant commis un manquement,…).
Par AGIL’IT – Pôle IT & Data protection
Laure LANDES-GRONOWSKI, Avocate associée
Marie MILIOTIS, Avocate
