L'homologue de la CNIL aux Pays-Bas a mis en demeure deux entreprises qui « offraient » des bracelets connectés à leurs employés, mais se gardaient un droit d'accès aux données d'activité collectées. Même avec le consentement du salarié, le suivi de l'activité est une ligne rouge à ne pas franchir.

C’est un élément oublié de l’avant-projet de loi Travail. Même si la loi El Khomri prévoit un droit à la déconnexion très inconsistant, rien n’est prévu pour permettre aux salariés d’échapper à une autre menace pour la vie privée et la santé mentale au travail : le suivi permanent de l’activité des employés grâce aux bracelets électroniques et autres wearables.

Alors que Salesforce fait de l’imposition des objets connectés la nouvelle source de gains de productivité dans les entreprises, la CNIL néerlandaise veut mettre un frein aux ambitions de tracking des employeurs. L’Autorité de protection des données personnelles (Autoriteit Persoonsgegevens) a fait savoir mardi dans un communiqué qu’elle avait décidé d’ouvrir une enquête à l’encontre de deux entreprises qui avaient « offert » des objets connectés à leurs salariés, qui leur permettaient y compris de collecter des données médicales.

Même le consentement du salarié ne suffit pas

Les deux entreprises, qui ne sont pas nommées, avaient ainsi fourni à leurs salariés un bracelet électronique (un Fitbit ou équivalent) qui leur permettait d’obtenir la quantité de mouvements opérés par chacun, peut-être pour s’assurer de leur productivité et comparer les performances. L’une des deux collectait même des données sur le sommeil des employés.

Mais le plus intéressant est que le l’Autoriteit Persoonsgegevens considère que même le consentement du salarié ne vaut rien. L’ordre public doit primer. « Un employeur peut bien sûr offrir un cadeau tel qu’un bracelet [connecté], mais il n’a pas le droit alors de voir les données de santé des travailleurs », explique Wilbert Tomesen, vice-président de l’Autorité néerlandaise. « Même si l’employé l’autorise ».

Le régulateur estime en effet que le salarié est par définition dans une situation de dépendance à l’égard de l’employeur, et que son consentement n’est pas « libre », comme l’exige le droit européen de protection des données personnelles. L’Autoriteit Persoonsgegevens va même jusqu’à préciser que les employeurs ne peuvent pas collecter de données anonymisées. Seul le salarié, s’il le souhaite, doit pouvoir accéder à ses données pseudo-médicales, et peut alors choisir librement de les partager.

Selon The Register, qui s’appuie sur NU.nl, l’une des entreprises en cause serait BeBright, un cabinet de conseil pour l’innovation. La société a indiqué qu’elle se plierait à l’avis de la CNIL néerlandaise, dont le rôle est justement de «  rechercher où se situe la ligne rouge ».

Partager sur les réseaux sociaux

Articles liés