Socialnetlink Les nouvelles technologies ne cessent d’apporter des mutations dans différents domaines qu’elles impliquent notamment dans le monde professionnel. Le recours systématique aux TIC sur les lieux de travail devient de plus en plus fréquent. Ainsi, beaucoup de changements se manifestent particulièrement sur la méthode et les conditions de travail. Ces outils technologiques sont devenus aujourd’hui des outils de travail car participent à l’exécution des tâches professionnelles de manière efficace.
Ainsi, dans le souci d’assurer la sécurité des personnes et des biens ou encore de faciliter l’activité de l’entreprise, certains dispositifs peuvent être utilisés pour contrôler les activités des salariés. Toutefois, à cette occasion, cela pourrait entrainer une violation des droits et libertés fondamentales des salariés.
D’abord, il est important de préciser que le salarié a droit au respect de sa vie privée dans le monde professionnel. Ce principe est consacré en France par l’arrêt Nikon1. Au Sénégal, la CDP a également reconnu ce principe concernent l’affaire Afrique pétrole2. Il s’agit donc de trouver un équilibre entre l’intérêt de l’entreprise et le respect des droits et libertés individuelles.
Dans le cadre de cette étude, nous allons nous intéresser à la géolocalisation des véhicules en entreprise. D’ailleurs, la CDP a récemment publié une délibération relative aux traitements mis en œuvre dans le cadre de l’exploitation d’un système de géolocalisation de véhicules.
Les dispositifs de géolocalisation permettent aux employeurs de prendre connaissance de la position géographique de leurs salariés, à un instant donné ou en continu, par la localisation des véhicules mis à leur disposition pour l’accomplissement de leur mission. Les systèmes de géolocalisation des véhicules sont basés sur le traitement d’informations issues de satellites (GPS) couplés à l’utilisation d’un réseau de communications électroniques.
La géolocalisation, un dispositif susceptible de porter atteinte aux droits et libertés des salariés.
Selon le dictionnaire « larousse.fr », la géolocalisation est une « technique de détermination de la situation géographique précise d’un lieu ou, à un instant donné, d’une personne, d’un véhicule, d’un objet, etc. ». Pour la CNIL, c’est un dispositif permettant aux employeurs privés ou publics de prendre connaissance de la position géographique, à un instant donné ou en continu, des employés par la localisation d’objets dont ils ont l’usage (badge, téléphone mobile) ou des véhicules qui leur sont confiés. Avec le développement de la technologie de géolocalisation, les véhicules ne peuvent plus uniquement trouver des itinéraires via le GPS. Désormais, les entreprises peuvent utiliser le GPS pour trouver des véhicules, peu importe où ils se trouvent sur la route.
Selon la CNIL, « ces traitements, en ce qu’ils permettent de collecter la donnée relative à la localisation du véhicule dont un employé déterminé a l’usage et d’identifier ainsi les déplacements de cet employé, portent sur des données à caractère personnel »3. C’est dire que ces informations permettent d’identifier indirectement une personne et rentrent alors dans la définition de données à caractère personnel prévue par l’article 4.6 de la loi sur les données à caractère personnel4.
Les systèmes de géolocalisation sont aujourd’hui des dispositifs très accessibles aux entreprises et sont devenus de plus en plus présents dans le milieu.
Cependant, l’utilisation de ces dispositifs dans les véhicules de fonctions ou de services, si elle ne fait pas l’objet d’un encadrement et d’un contrôle rigoureux, pourrait ouvrir la voie à toutes dérives et porter atteinte à la vie privée des salariés. En effet l’employeur serait tenté de s’immiscer dans la vie privée de son employé en prenant connaissance de ses lieux de fréquentations en dehors de ses temps de travail, y compris ces heures de pause.
La géolocalisation, un dispositif soumis à des finalités limitées
La CDP nous rappelle dans sa délibération, les finalités de la mise en place d’un dispositif de géolocalisation. Les données doivent être collectées pour des finalités déterminées, explicites et légitimes et ne peuvent être utilisées ultérieurement de manière incompatible avec ces finalités.
Il s’agit précisément, pour les véhicules de fonction et de services des entreprises publiques et privées, de la gestion de la flotte de véhicules, de la sécurité des personnes et des véhicules, du contrôle à temps réel de trajets et itinéraires et production de rapports. Le recours à un système de géolocalisation peut se faire aussi pour le respect d’une obligation légale ou réglementaire imposant la mise en œuvre de ce dispositif, en raison du type de transport ou de la nature des biens transportés, également pour le contrôle des règles d’utilisation du véhicule définies par l’entreprise propriétaire.
Ces finalités listées par la CDP sont perçues comme des « garde-fous » visant à prévenir contre les éventuelles utilisations disproportionnées du dispositif de géolocalisation et qui seraient susceptibles de porter atteinte aux droits et libertés des salariés. Dès lors, un dispositif de géolocalisation installé dans un véhicule mis à la disposition d’un employé ne pourrait être utilisé pour contrôler le respect des limitations de vitesse, pour contrôler un employé en permanence, pour collecter la localisation en dehors du temps de travail ou encore pour calculer le temps de travaildes employés alors qu’un autre dispositif existe déjà.
Le contrôle du respect de ces finalités peut se faire, en amont, à l’occasion de la déclaration du traitement à laquelle est soumis l’employeur car, en effet, l’exploitation des systèmes de géolocalisation est soumise au régime juridique de la déclaration normale auprès de la CDP. Toutefois, lorsqu’il y’a une interconnexion à d’autres systèmes, ou que les données sont transférées vers un pays tiers, le système de géolocalisation est par conséquent soumis à une autorisation.
A cela s’ajoute le respect des principes généraux gouvernant le traitement des données comme le principe de proportionnalité et le principe de transparence.
Le dispositif de géolocalisation ne doit pas collecter toutes catégories de données
Pour l’atteinte des finalités mentionnées plus haut, la CDP a également précisé dans sa délibération, les catégories de données à traiter dans le cadre de l’exploitation d’un tel dispositif. Il s’agit précisément des données d’identification des employés (nom, prénom, fonction, numéro de matricule) et du véhicule (marque et numéro d’immatriculation), les données relatives à la localisation du véhicule et celles relatives aux dates et heures d’activation et de désactivation des systèmes de géolocalisation, pendant et en dehors des heures des heures de travail.
Ces données doivent cependant être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et traitées.
Elles ne peuvent non plus être conservées de manière indéfinie. Les données doivent être conservées pendant une durée qui n’excède pas la période nécessaire aux finalités pour lesquelles elles ont été collectées ou traitées. La CDP a fixé un délai de deux (2) ans pour la conservation des données d’identification des personnes physiques et de localisation, à compter de leur collecte. Au-delà de cette durée, elles doivent être archivées de manière sécurisée ou supprimées.
L’obligation pour l’employeur d’assurer la sécurité des données
Au-delà du respect des principes de base gouvernant le traitement, certaines obligations incombent aussi à l’employeur. Il doit prendre certaines mesures concernant la sécurité et la confidentialité des données personnelles des salariés dans le cadre d’un traitement.
Il est tenu de prendre des mesures techniques et organisationnelles pour assurer la sécurité des données conformément aux dispositions de l’article 71 de la loi.
Il doit s’assurer à cet effet que tout accès non autorisé aux données ne soit possible et empêcher notamment qu’elles soient déformées ou endommagées. Une analyse de risques sera alors nécessaire pour évaluer les mesures de sécurité adéquates pour la mise en place d’un dispositif de géolocalisation.
Ces obligations sont également valables dans le cadre de l’utilisation des outils ou logiciels et plateformes développées ou proposées par des tiers pour le traitement des données.
En cas de recours à un sous-traitant pour la mise à disposition et la gestion du dispositif, les mêmes obligations incombent à celui-ci. L’employeur doit, par ailleurs, faire recours à un sous-traitant qui apporte des garanties suffisantes pour le respect de ces obligations et lui faire signer un engagement de confidentialité.
Le droit des salariés au contrôle de leurs données
Comme évoqué au début, toute personne a droit au respect de sa vie privée quel qu’en soit le milieu. Le législateur a expressément consacré des droits visant à protéger les données personnelles de la personne concernée dans le cadre du traitement. Le salarié bénéficie desdits droits notamment le droit à l’information préalable, le droit d’accès, le droit d’opposition et le droit à la rectification ou de suppression.
L’information préalable des salariés de l’existence du dispositif de géolocalisation est un aspect déterminant dans le cadre du processus de cybersurveillance car, nul ne peut être surveillé à son insu et toute personne dispose d’un droit de regard sur ses propres données.
L’employeur peut formellement informer par note de service, par note d’information ou par tout document d’information dûment notifié aux employés concernés.
Ces informations concernent l’identité de l’exploitant du système de géolocalisation et du sous-traitant, le cas échéant ; la ou les finalités du système ; les catégories de données collectées ou traitées ; les règles d’activation et de désactivation du système ; les mesures de sécurité prises ; les mesures de protection de la vie privée des salariés et les modalités d’exercice des droits d’accès, de rectification et d’opposition.
Pour assurer le respect de la vie privée des salariés, il est fait obligation aux entreprises de prendre un certain nombre de mesures dans l’utilisation d’un système de géolocalisation.
Ces mesures consistent notamment en la désactivation du système à l’issue des horaires de travail ou durant les heures de pause. Ceci peut résulter d’une programmation du logiciel par l’entreprise ou offrir à l’employé, la possibilité de le faire lui-même de manière simple. A défaut de la possibilité de désactiver le système en dehors des horaires de travail, les données collectées durant ces heures ne peuvent pas être utilisées pour prendre des décisions à l’encontre des employés.
Il s’agit également de s’engager formellement à l’égard des employés de ne pas porter atteinte à leur vie privée et de faire signer un engagement aux employés à utiliser les véhicules conformément aux règles prédéfinies par l’entreprise.
Quelques réflexions critiques sur le cadre juridique relatif au traitement des données de géolocalisation des salariés.
Sur les formalités préalables
La CDP a retenu le régime de la déclaration normale pour le traitement de données issues des dispositifs de géolocalisation. Cependant, la loi lui offre la possibilité de prévoir des normes simplifiées de déclaration pour les catégories de traitement de données qui ne sont pas, en principe, susceptible de porter atteinte à la vie privée des personnes dans des conditions régulières. La CDP a déjà eu à prendre des mesures allant dans ce sens et dont la forme reste très similaire à celle concernant la géolocalisation.
En outre, la règlementation étant dans une logique de suppression de certaines formalités préalables comme l’atteste le projet de loi sur les données personnelles, il serait judicieux de procéder à un allègement des formalités préalables pour les traitements de données de géolocalisation en prévoyant une norme simplifiée de déclaration afin d’inciter davantage les entreprises à se conformer à la législation.
Sur la durée de conservation
Une durée de deux (2) ans a été prévue pour la conservation des données de géolocalisation des employés. Cette durée semble être excessive au regard des finalités retenues par la CDP pour la mise en place de ce dispositif. Les données de géolocalisation ne devraient pas être conservées pour une telle durée par rapport à n’importe quelle finalité.
La CDP devrait, en principe, prévoir une petite durée raisonnable pour la conservation des données et mettre en place un régime de dérogation pour l’atteinte de certaines finalités ou si une disposition légale l’impose.
Si la finalité consiste au suivi du temps de travail du salarié, et qu’il n’existe pas un autre moyen de le faire, la CDP devrait alors, dans ce cas, permettre une conservation plus longue des données et exiger que seules les données relatives aux horaires effectuées ne soient conservées.
Sur l’information des personnes
Pour assurer une plus grande transparence dans le traitement des données personnelles des salariés, l’information sur l’existence du dispositif ne doit pas seulement concerner les salariés, mais également leurs représentants.
Comme l’a toujours consacré la CDP, la consultation des instances représentatives des salariés devait être toujours recommandée pour la mise en place de tout dispositif visant à collecter et traiter des données des salariés. Il est à noter que cette consultation des représentants du personnel lors de l’introduction de nouvelles technologies favorisant ainsi la discussion collective, n’est pas spécifiquement prévue par le code du travail sénégalais contrairement au droit français en son article L 432-2 du code du travail.
Toutefois, Il ressort des dispositions de l’article L-5 du code du travail sénégalais que les travailleurs et leurs représentants bénéficient d’un droit à l’expression directe et collective sur le contenu, les conditions d’exercice et l’organisation du travail. A cette occasion, la CDP pouvait en profiter pour combler le » vide juridique » en recommandant la consultation des délégués du personnel sur le projet de mise en place d’un dispositif de surveillance des salariés.
En définitive, toute entreprise doit avoir une prise de conscience sur les enjeux liés aux traitements de données personnelles et l’importance de la mise en place de règles internes bien définies conformément à la réglementation. Elle doit avoir une bonne gestion des données personnelles. La conformité à la réglementation peut être analysée d’une part comme un indicateur de performance et constitue également un véritable gage de confiance dans le milieu professionnel.
Co-écrit par :
Moustapha KANE, juriste numérique/ DPO)
Email : mkanepro@gmail.com
LinkedIn : https://www.linkedin.com/in/moustapha-kane-21a153188/
Et Mouhamed Nd. BOCOUM, juriste spécialisé en droit du numérique
Email : bocoummouhamed96@gmail.com
LinkedIn : https://www.linkedin.com/in/mouhamed-ndiaye-bocoum-6114a4162/
1 Cour de Cassation, Chambre sociale, du 2 octobre 2001, 99-42.942, Publié au bulletin https://www.legifrance.gouv.fr/juri/id/JURITEXT000007046161/
2 https://cdp.sn/sites/default/files/Deliberation_165_%20Mise_en_demeure_publique_Afrique_Petrole.pdf
3 CNIL, Délibération 2015-165 du 4 juin 2015 portant adoption d’une norme simplifiée concernant les traitements automatisés de données de données à caractère personnel mis en œuvre par les organismes publics ou privés destinés à géolocaliser les véhicules utilisés par leurs employés.
4 Loi n°2008-12 du 25 janvier 2008 sur la protection des données à caractère personnel.
