La mise en place de dispositifs de contrôle de l’activité des employés est une pratique de plus en plus courante dans le monde du travail, que ce soit pour améliorer la productivité, assurer la sécurité ou se conformer à certaines réglementations. Cependant, il s’agit d’une démarche qui doit être menée en respectant certaines obligations légales, notamment la consultation préalable des instances représentatives du personnel et la conformité avec le Règlement général sur la protection des données (RGPD).
Consultation des instances représentatives du personnel
Selon le Code du travail, la mise en place de tout dispositif de contrôle de l’activité des salariés doit être précédée de l’information et de la consultation des instances représentatives du personnel. En France, cela concerne notamment le comité social et économique (CSE).
Les dispositifs concernés peuvent varier et inclure l’installation de systèmes de vidéosurveillance, de géolocalisation, de contrôle de l’activité informatique, de systèmes de contrôle biométrique ou la mise en place de systèmes d’horaires flexibles.
Il est important de noter que ces mesures doivent respecter les principes de proportionnalité, de pertinence et de transparence. Autrement dit, le contrôle doit être justifié et proportionné au but recherché, seules les données nécessaires peuvent être collectées et les salariés doivent être informés de l’existence et des modalités de ces contrôles.
Conformité avec le RGPD
En plus de ces obligations, la mise en place de dispositifs de contrôle de l’activité doit également respecter les dispositions du RGPD. En effet, les informations recueillies dans le cadre de ces contrôles constituent des données à caractère personnel et leur traitement doit donc être conforme aux règles établies par le RGPD.
Le RGPD introduit notamment les principes de minimisation des données (ne collecter que les données strictement nécessaires), de limitation de la conservation (ne pas conserver les données au-delà de la durée nécessaire), d’intégrité et de confidentialité (assurer la sécurité des données) et de responsabilisation (pouvoir démontrer la conformité avec le RGPD).
Il convient également de respecter les droits des personnes concernées, qui incluent le droit d’être informé, le droit d’accès, le droit de rectification, le droit à l’effacement, le droit à la limitation du traitement, le droit à la portabilité des données, le droit d’opposition et le droit de ne pas faire l’objet d’une décision fondée uniquement sur un traitement automatisé.
En France, la mise en place de certains dispositifs de contrôle peut nécessiter une déclaration préalable à la Commission Nationale de l’Informatique et des Libertés (CNIL), qui est chargée de veiller à la protection des données à caractère personnel.
