La popularité des logiciels de surveillance des employés a augmenté drastiquement avec le recours massif au télétravail. Pourtant, certaines des fonctionnalités qu’ils proposent ne sont pas toutes légales. Numerama fait le point.

En juin 2020, le cabinet de consultants ISG publiait une étude aux résultats inquiétants : les ventes de logiciels permettant de surveiller les employés en télétravail ont augmenté de plus de 500 % depuis le début de la pandémie de Covid-19, et donc depuis le recours massif au télétravail. « C’est une augmentation spectaculaire, la plus importante que nous ayons pu observer depuis le début de la pandémie », explique dans l’article de présentation de l’étude Kevin Blackwell, le directeur technique d’ISG. Les logiciels dont parle l’étude peuvent mesurer certaines activités des employés, comme par exemple le nombre de mails envoyés, le temps total d’activité sur l’ordinateur, ou encore  si « les logiciels de visioconférence sont en premier plan lors de réunion, et non pas en arrière-plan, derrière Clash of Clan [un jeu video, ndlr] », informe ISG. Mais ce n’est pas tout.

Les logiciels de surveillance les plus populaires sur le marché permettent de collecter encore plus d’informations. Interguard est censé alerter le manager si un employé a un « comportement anormal », ce qui peut être un trop grand nombre d’impressions de documents, ou encore trop peu d’email envoyés. Hubstaff propose de prendre une capture d’écran toutes les 5 minutes, qui seront ensuite envoyées au manager, ou encore de traquer les données GPS des téléphones des employés. CleverControl promet d’aider à la protection des données de l’entreprise, ou encore de « détecter les fainéants », mais également d’enregistrer les frappes et les clics de souris (ce qu’on appelle le keylogger), d’enregistrer les conversations des employés grâce aux micros de leurs ordinateurs, et même de les prendre en photo. Ou encore MocoSpy, qui se vante sur sa page d’accueil de permettre d’installer un logiciel « invisible sur les ordinateurs et téléphones des salariés », et d’accéder à leurs mails, appels, et réseaux sociaux.

Vous aussi détectez vos employés fainéants avec CleverControl ! // Source : CleverControl

Vous aussi détectez vos employés fainéants avec CleverControl !

Source : CleverControl

Une question de proportionnalité

Si l’étude menée par ISG concerne de grands groupes internationaux, ces usages arrivent également en France. Libération et 20 Minutes ont notamment recueilli les témoignages de certains employés obligés par leurs managements d’installer un logiciel de « time tracking », la formule officielle.

La problématique de la surveillance des employés n’est malheureusement pas nouvelle. La Cnil, l’organisme français en charge de la régulation et du contrôle des pratiques sur Internet, a ainsi déjà émis des avis et des interdictions contre certaines de ces pratiques. Dans les faits, les managers et patrons peuvent, dans l’intérêt de l’entreprise, demander à leurs salariés d’installer des logiciels de surveillance : il faut cependant voir si les actions prises sont proportionnées, et si elles sont pertinentes. « C’est la proportionnalité et la finalité du système et de son contexte qui va être important », explique Me Étienne Margot-Duclos, avocat spécialisé dans le droit du travail et du numérique.

Les captures d’écrans

Ces deux critères permettent de mettre des limites claires. Ainsi, dans un avis de septembre 2019, la Cnil estime que « quelle que soit la finalité poursuivie, une capture d’écran est susceptible de n’être ni pertinente ni proportionnée puisqu’il s’agit d’une image figée d’une action isolée de l’employé, qui ne reflète pas fidèlement son travail ». En juin 2020, Thomas Dautieu, le chef de la direction de la conformité de la Cnil, expliquait plus précisément au micro de FranceInter avoir conclu que la prise de capture d’écran toutes les 10 minutes par un logiciel était excessive.

Le keylogger est illicite, selon la Cnil

Parmi les mesures les plus radicales de surveillance des employés, l’utilisation de keylogger a été jugée « trop intrusive ». Ces logiciels permettent d’enregistrer les frappes sur ordinateurs et les mouvements de souris, et pourraient ainsi permettre de reconstituer avec beaucoup de précision le déroulé d’une journée de travail. En conclusion, « ce mode de surveillance est illicite », a décidé la Cnil, à quelques exceptions près. Il faut des « circonstances exceptionnelles, liées à un fort impératif de sécurité ». On peut imaginer que seulement des employés ayant accès à des données très sécurisées, ou à des informations confidentielles, se retrouvent dans ce genre de situation. Ce n’est pas tout : afin que les entreprises puissent installer un keylogger, il faut au préalable que les instances de représentation du personnel aient été mises au courant, et que les employés eux-mêmes soient informés des « finalités poursuivies » et « de la base légale du dispositif ». En dehors de ce cadre précis, l’usage de keylogger reste strictement interdit par la Cnil.

Les captures d’écran réalisées suite à la saisie d’un mot clé prédéfini seraient seulement possibles avec l’installation d’un keylogger — ce qui serait donc disproportionné.

La consultation des mails et des sites Internet

Pour ce qui est de la consultation de l’activité Internet des employés, cela dépend encore de plusieurs facteurs. Les employeurs peuvent surveiller l’utilisation d’Internet par les salariés, et même le limiter s’ils le désirent, notamment pour les réseaux sociaux ou les sites d’achats. Ils peuvent également contrôler l’usage de la messagerie. Les « outils de mesure de la fréquence des envois et/ou de la taille des messages » sont autorisés, explique la Cnil. Il est par ailleurs tout à fait possible pour l’employeur de lire les courriers des salariés. Les mails échangés ont, « par défaut, un caractère professionnel », selon la Cnil, ce qui justifie le fait que les employés puissent les lire et prendre connaissance des sites consultés, et ce « y compris en dehors de la présence de l’employé ».

Cette surveillance doit cependant être notifiée à tous les employés, qui doivent être mis au courant de la finalité du processus, et du temps de conservation des données (6 mois pour les logs de connexions, 5 ans pour « les données utilisées pour le suivi du temps de travail, y compris les données relatives aux motifs des absences », selon la Cnil). De même, les instances de représentations du personnel doivent être informées et consultées avant la mise en place d’un dispositif de surveillance. De fait, la plupart des logiciels proposant de surveiller les échanges de mails et les sites consultés ne sont donc pas hors-la-loi.

Il faut toutefois noter que l’envoi ou la consultation de mails personnels, même depuis un ordinateur professionnel, sont autorisés. Afin que l’employeur n’y ait pas accès, il faut cependant qu’ils soient clairement intitulés « personnel » ou « privé », ou bien classés dans un répertoire à part.

L’enregistrement des appels

L’enregistrement des appels téléphoniques peut être autorisé sous certaines conditions. En premier lieu, pour la formation des employés, leur évaluation, pour l’amélioration de la qualité du service, ou dans quelques cas rares, pour faire office de preuve à l’établissement de certains contrats. Dans les cas où les appels sont enregistrés, ils doivent obligatoirement être signalés aux employés et à leur interlocuteur, c’est notamment le message que vous pouvez entendre lorsque vous contactez un service téléphonique. « S’il s’agit d’écouter à l’insu du salarié ce qu’il se dit, c’est interdit », insiste toutefois Me Étienne Margot-Duclos.

Votre employeur peut écouter vos appels, sous certaines conditions // Source : Pexels / Anna Shvets

Votre employeur peut écouter vos appels, sous certaines conditions

Source : Pexels / Anna Shvets

De plus, les employeurs ne peuvent récolter que des informations précises, comme les données d’identification du salarié et de l’évaluateur, les informations techniques relatives à l’appel, ou encore l’évaluation professionnelle de l’employé. Les services de surveillance du téléphone des employés, tels que proposés par Interguard, seraient donc illégaux. En effet, le logiciel donne accès aux conversations téléphoniques, mais également aux SMS envoyés et aux app utilisées, ce qui est complètement interdit. CleverControl propose lui « d’utiliser le microphone de l’ordinateur pour enregistrer des sons dans les alentours de l’ordinateur », ce qui est illégal, vu qu’il ne s’agit pas d’une conversation téléphonique.

L’enregistrement des écrans d’ordinateur

Sur la question des enregistrements des écrans d’ordinateur, la Cnil est également catégorique. Les enregistrements, à l’inverse des captures d’écrans, sont des films qui permettent de suivre les actions effectuées sur l’ordinateur par l’employé. Ils ne sont autorisés que lorsqu’ils sont couplés à un enregistrement vocal de l’employé, qui explique ce qu’il fait, et ce toujours à des fins de formation.

Ils doivent, de plus, être très encadrés : les employés et les instances de représentation du personnel doivent être informés, et « l’enregistrement vidéo est limité à la/aux fenêtre(s) de l’application métier sur laquelle porte la formation », et le dispositif n’est actif que pendant un appel téléphonique : « L’enregistrement vidéo se déclenche au décrochage du combiné téléphonique et s’achève dès le raccrochage », explique la Cnil. Dans le cas de CleverConect et d’Interguar, qui offrent la possibilité de faire des enregistrements d’écran (« screenshot constant ») c’est une pratique qui n’est pas autorisée.

La surveillance en direct des écrans et les « instantanés webcam »

Surveiller en direct les écrans des ordinateurs de ses salariés est aujourd’hui une possibilité. Si la pratique a l’air particulièrement intrusive, la Cnil n’a pour l’instant pas encore rendu un avis spécialement sur la question. Elle a déjà cependant déjà statué sur la question de la vidéosurveillance et de la vidéoprotection, une action assez proche qui peut donner des indications sur sa légalité.

En effet, dans sa fiche explication sur la vidéosurveillance, la Cnil évoque la possibilité que les images filmées soient accessibles à distance, « depuis internet sur son téléphone mobile par exemple », ce qui serait le cas avec les logiciels de surveillance évoqués. « La possibilité de regarder les images sur tablette ou téléphone ne doit pas conduire à surveiller ses employés pour leur faire des remarques sur la qualité du travail », a conclu la Cnil, ce qui rendrait la pratique illégale si elle est exercée à des fins de supervision.

Avec CleverControl, vous pouvez prendre en photo vos employés grâce à la webcam de leur ordinateur // Source : CleverControl

Avec CleverControl, vous pouvez prendre en photo vos employés grâce à la webcam de leur ordinateur

Source : CleverControl

Une autre possibilité offerte par un de ces logiciels est particulièrement dérangeante : les « instantanés webcam ». CleverControl propose en effet un programme permettant de « prendre des instantanés de l’utilisateur de l’ordinateur via n’importe quelle webcam active », selon la description sur son site. Comme pour la surveillance d’écran en direct, la Cnil n’a pas encore rendu d’avis spécifique à ce sujet, mais il faut rappeler que des mesures précises existent d’ores et déjà pour protéger la vie privée des employés ainsi que leurs données.

Ainsi, toujours dans sa fiche sur la vidéosurveillance des employés, on apprend que « les caméras ne doivent pas filmer les employés sur leur poste de travail », exception faite lorsqu’ils manipulent de l’argent ou des biens de valeurs, dans des cas de lutte contre le vol. On peut conclure que, si la pratique n’est pas strictement interdite, puisqu’il s’agit ici de photo et non pas d’enregistrement, elle pourrait être disproportionnée. « On sait qu’on ne peut pas placer le salarié en permanence sous surveillance », rappelle Me Étienne Margot-Duclos.

Quelle sécurité ?

De telles pratiques interrogent de plus sur la sécurité des données, des enregistrements et des photos. Certains logiciels précisent pendant combien de temps sont conservés les enregistrements filmés, mais ce n’est pas le cas pour tous. Surtout, il n’est jamais précisé qui y a accès : est-ce seulement le manager direct de l’employé ? Tous les supérieurs hiérarchiques ? Où seront conservées les données ? Il est parfois précisé qu’elles seront stockées dans un « serveur cloud sécurisé », comme l’indique CleverControl, mais aucune garantie que le serveur est vraiment protégé n’est fournie. Il pourrait donc y avoir des risques de fuite, ou alors que des managers qui ne connaissent pas du tout les employés puissent avoir accès à leurs enregistrements.

Une dernière précision : les « logiciels d’espionnages » sont formellement interdits. Il est toujours indispensable que les salariés et les instances de représentations du personnel soient mis au courant des activités et des logiciels de surveillance mis en place par les employeurs. MocoSpy, dont le logiciel promet « d’espionner les conversations WhatsApp », la géolocalisation de l’employé, et de « s’installer furtivement sur les téléphones des salariés », serait ainsi à la limite de la légalité, même si le site précise, tout en bas de la description du produit, qu’il faut l’accord de l’employé pour l’installer.

Il est également utile de rappeler que tous les logiciels se vendent en promettant deux choses : de s’assurer que les employés sont bien productifs, et pour protéger les secrets de l’entreprise. C’est ainsi que certains produits permettent de signaler les « actions suspicieuses », comme des téléchargements massifs, ou au contraire, des uploads importants. La Cnil n’a pour l’instant pas fait de recommandation à ce sujet. Si cette fonctionnalité peut paraître anodine, voire acceptable, il ne faut pas oublier que beaucoup de scandales financiers ont pu être révélés grâce à des « leaks » confiés à la presse, comme les Panama Papers ou les Paradise Papers.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.