Nos anciens articles (avril 2015) – Les data issues des objets connectés du salarié, objets de convoitise ?
Nous avions évoqué l’évolution de la notion du BYOD dans l’entreprise dans notre premier billet du triptyque, intitulé “Les défis du BYOD face à la transition numérique de l’entreprise”. La pratique s’est surtout développée aux USA, où les entreprises y ont vu un élément d’attractivité et d’image auprès des plus jeunes candidats et collaborateurs, tout en comprenant les avantages financiers qu’elles pouvaient en tirer.
En revanche, l’intégration dans les entreprises françaises ne s’est pas véritablement opérée. Le plus souvent, le phénomène a mué vers le développement du COPE (“Corporate Owned, Personally Enabled”), en raison de contraintes culturelles, sociales, fiscales, sécuritaires.
Rien de révolutionnaire toutefois, puisque le COPE consiste simplement à agrandir le catalogue des terminaux informatiques fournis par l’entreprise et destinés à être connectés à son système d’information, tout en laissant une liberté plus grande au salarié concernant une utilisation faite à titre privé dudit terminal.
Quel COPE pour les objets connectés ?
Si l’on étudie les conséquences de l’émergence prévisible des objets connectés dans l’entreprise (cf. notre second billet “Droit à la déconnexion et objets connectés”), la situation apparaît bien différente. En effet, au fur et à mesure que les objets connectés se feront plus petits, plus proches, plus intimes (montres de luxe, lentilles de contact…), et adaptés à la morphologie ou aux impératifs de santé (lunettes, chaussures, etc.), il deviendra plus difficile pour l’entreprise de proposer aux salariés :
- deux versions alternatives, une version professionnelle et une version personnelle, selon qu’il soit ou non en train de travailler ;
- une version COPE d’un objet qui lui est indispensable (cf. encore une fois l’exemple des lunettes correctrices).
L’employeur pourra avoir intérêt, à défaut d’en avoir le droit acquis, de demander au salarié de porter des dispositifs de suivi du bien-être dans le but de prévenir les risques de santé de celui-ci, pour notamment réduire le volume des arrêts de travail pour maladie. Aux USA, assureurs, employeurs et créateurs d’applications et de capteurs dédiés à la santé travaillent déjà à de tels partenariats (cf. plate-forme fitbit@work, Virgin HealthMiles, etc.).
Demain, l’employeur pourra-t-il obtenir un accès aux données produites par leurs employés quand celles-ci concernent non plus leurs performances professionnelles (cf. notre article précédent), mais leur bien-être au travail, pour ne pas dire leur santé ? D’autant que, comme indiqué précédemment, c’est le propre système d’information de l’entreprise qui pourrait faire transiter ces données. Et si la réglementation sur la protection des données à caractère personnel l’en empêche [1], pourra-t-elle considérer qu’un candidat à l’emploi qui ne porte pas d’outils d’évaluation de sa santé présente un comportement “suspect”, voire dangereux pour lui-même… ce qui pourrait conduire à des comportements discriminatoires ?
Quel contrôle par l’employeur des données du salarié connecté ?
Confronté aux demandes d’interconnexion à son système d’information (dans le prolongement naturel des pratiques de BYOD), l’employeur est mis dans une situation très particulière :
- En vertu de la maîtrise de l’employeur sur son système d’information et de la sécurité qu’il doit y assurer (notamment en raison d’impératifs légaux tels que l’obligation de sécurité des données à caractère personnel – article 34 de la loi du 6 janvier 1978 dite “Informatique et Libertés” modifiée, ou encore le respect du secret professionnel, etc.), il est libre d’accepter ou de refuser les pratiques de BYOCL conduisant à l’interaction avec son système d’information. Que ce soit pour une montre ou des lunettes connectées, un smartphone ou une tablette, le principe est clair : le salarié ne dispose pas d’un droit acquis à s’interconnecter au système d’information de son employeur ;
- Si dans cette hypothèse, l’employeur acceptait l’interconnexion, il pourrait imposer des conditions d’accès strictes dans le but de maintenir la sécurité du système (limitation à certains équipements, certaines versions de systèmes d’exploitation, obligation de suivi de procédures de sécurité, etc.), charge à lui d’éviter toute discrimination dans les autorisations accordées ;
- Si des circonstances particulières l’imposent (obligation de confidentialité renforcée, projets secrets, etc.), l’employeur pourrait même envisager d’interdire le port ou l’utilisation d’équipements susceptibles d’attenter à la confidentialité de son patrimoine informationnel (montres avec micros, lunettes avec dispositifs d’enregistrement[2], etc.). Il devra toutefois l’argumenter de façon solide, étant donné que l’article L. 1121-1 du Code du travail précise que « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché » et que ce principe a été repris pour indiquer ce que l’employeur peut prévoir d’insérer ou non dans son règlement intérieur (article L. 1321-3 2° du Code du travail) ;
- De même, si certains objets connectés sont ressentis comme une atteinte ou une agression par d’autres salariés à l’occasion de la vie en collectivité (lunettes connectées conduisant à la peur d’enregistrements sans autorisation préalable de propos ou d’images d’autres salariés hors du temps de travail), il lui appartiendra, pour éviter un trouble caractérisé au sein de l’entreprise, d’agir afin de faire cesser cette situation.
- Pour autant, attention à éviter les solutions plus radicales d’un employeur qui voudrait simplifier la gestion de ces outils : l’article L. 33-3-1 du Code des postes et communications électroniques (CPCE) lui empêche d’imaginer mettre en place un dispositif de filtrage ou de brouillage des objets connectés des salariés, y compris dans certaines pièces spécifiques : « l’importation, la publicité, la cession à titre gratuit ou onéreux, la mise en circulation, l’installation, la détention et l’utilisation de tout dispositif destiné à rendre inopérants des appareils de communications électroniques de tous types, tant pour l’émission que pour la réception » (l’article L. 39-1 prévoyant les sanctions en cas de manquement qui peuvent aller jusqu’à six mois d’emprisonnement et 30 000 euros d’amende) ;
- Enfin, rappelons qu’à partir du moment où un équipement de communication est connecté au système d’information de l’employeur, il est présumé être utilisé à titre professionnel selon la jurisprudence de la Cour de cassation (Arrêts de la chambre sociale de la Cour de cassation du 12 février 2013 et du 13 novembre 2014). Une application de ce principe aux objets BYOCL permettrait à l’employeur, au besoin, de contrôler le fonctionnement ou le contenu de ceux-ci lorsqu’ils sont connectés à son système d’information, selon les mêmes règles que celles applicables aux terminaux et périphériques informatiques personnels dont il permet déjà l’utilisation par ses salariés.
Face à l’ensemble des problématiques qui ne sont ici que rapidement évoquées, l’entreprise se doit d’aborder dès aujourd’hui ces questions liées aux objets connectés. Les chiffres les plus fous circulent sur le nombre d’objets connectés qui feront partie de notre quotidien : on parle de 50 milliards d’objets d’ici 5 ans. L’entreprise ne sera pas épargnée par cette nouvelle vague. Elle ne peut se contenter d’une extrapolation basée sur la situation actuelle limitée aux ordinateurs portables, smartphones ou tablettes professionnels. Elle ne peut faire l’économie d’une réflexion profonde sur les conséquences, les risques, les obligations, les opportunités sur l’organisation du travail de demain.
PS : Ce billet a été écrit en collaboration avec Franck La Pinta que vous pouvez également retrouver sur son blog. Compte tenu de l’ensemble des angles qu’un sujet aussi riche permet d’aborder, il s’inscrit dans un triptyque se composant de “Les défis du BYOD face à la transition numérique de l’entreprise”, “« Droit” à la déconnexion et objets connectés” et du présent article.
[1] Rappelons que le projet de Règlement européen relatif à la protection des données personnelles, actuellement en discussion et destiné à remplacer les lois spécifiques de chacun des pays de l’Union (et donc la loi dite “Informatique et libertés”), définit pour la première fois les données concernant la santé, comme « toute information relative à la santé physique ou mentale d’une personne, ou à la prestation de services de santé à cette personne ». Ces données personnelles spécifiques, selon la CNIL, ne peuvent être utilisées à des fins commerciales. Etant des données considérées comme “sensibles” par la réglementation, leur traitement nécessite un consentement exprès de leur titulaire… qui ne peut pas être donné par un salarié pour l’heure, du fait de la sujétion à son employeur selon la CNIL. La question serait donc de définir très clairement le type de données utilisables par l’employeur.
[2] A la différence des dispositifs d’enregistrement classiques, on change ici littéralement de perspective. Si l’on prend l’exemple des lunettes connectées, celles-ci peuvent être connectées en permanence et surtout permettent de voir tout ce que le porteur regarde, à la différence de la tablette ou du téléphone qui ne filme que ce qu’on montre (volontairement) à la caméra.
Crédit photo : © alswart – Fotolia.com