La popularité des logiciels de surveillance a sensiblement augmenté avec le recours massif au télétravail. Certaines des fonctionnalités proposées sont particulièrement intrusives. En Belgique, le recours à ces logiciels demeure strictement encadré.
Si sur le lieu de travail, contrôler les travailleurs reste «relativement simple», cela s'avère plus compliqué lorsqu’ils sont à domicile.
Des méthodes empiriques ou de «monitoring soft»existent comme le fait de prévoir des calls réguliers ou de dernières minutes, surveiller la production et l’envoi de mails réguliers, vérifier les délais de réponses, demander de rester joignable pendant les heures travaillées par Teams, téléphone ou autre.
Mais les moyens de contrôle les plus efficaces sont évidemment d’ordre informatique avec désormais un large choix de logiciels permettant une surveillance pointue de l’activité des télétravailleurs tels que Hubstaff,Activtrak, Timedoctor, Flexyspy, Slack ou encore CleverControl.
Hubstaff, par exemple, permet de prendre des captures d’écran des travailleurs toutes les cinq minutes, ou encore de traquer les données GPS des téléphones. Time Doctor permet de surveiller précisément le travail des salariés et de savoir sur quelles tâches précises travaille une équipe, le temps passé sur chaque tâche, les usages web des salariés, l’heure de connexion et de déconnexion, etc.
Selon une étude menée 2021, 45% des télétravailleurs français étaient surveillés via de tels logiciels.
En Belgique, le recours à pareils logiciels est strictement encadré tant par le secret des télécommunications que par la protection de la vie privée, en particulier le fameux Règlement général pour la protection des données (RGDP) entré en vigueur en 2018. On notera aussi la CCT 38 sur l’introduction de nouvelles technologies.
En vertu des articles 314bis du Code pénal et 123 de la loi du 13 juin 2005,nul ne peut ainsi prendre connaissance d’une télécommunication à laquelle il n’est pas partie sans le consentement de toutes les parties; sachant que la notion de télécommunications est entendue au sens large et couvre notamment, les mails, l’utilisation d’un navigateur internet, les outils de chat internes ou externes, etc.
La loi prévoit des exceptions notamment pour vérifier le bon fonctionnement du réseau ou assurer des contrôles de qualité dans des calls-centers ou la preuve de transactions commerciales. Mais aussi lorsque la loi le permet ou l’impose, l’Autorité de protection des données considère actuellement l’article 17 de la loi sur les contrats de travail (pouvoir de surveillance) ou le droit de propriété comme une telle autorisation. Encore faut-il respecter les obligations imposées par la CCT 81 en termes d’information collective, de finalité et d’individualisation du contrôle.
À cela s’ajoute les obligations de finalité, de proportionnalité et de transparence découlant du RGDP qui interdisent notamment d’assurer des contrôles permanents ou invasifs. Et impose de mener une analyse d’impact pour la mise en œuvre de dispositifs de surveillance.
L’Autorité belge de protection des données (APD) n’a pas pris position, mais son homologue française, la CNIL, a critiqué certaines fonctionnalités des logiciels de contrôle et en particulier considère le «keylogger», les outils d’enregistrement permanent ou systématique ou encore les captures d’écran comme illicites, sauf cas exceptionnels.
Face à la multiplication des logiciels de contrôle, les employés ont développé des stratégies diverses pour y échapper. Citons les fausses déconnections par «frozen face», bug simulé ou encore le recours à des contre-logiciels de surveillance comme Presence Scheduler qui assure le maintien d’une présence sur Slack. Pour les trackers d’écran, le double fenêtrage est utilisé pour tromper la surveillance.
Pour les logiciels de surveillance de l’activité de la souris, certains développent des moyens divers pour la maintenir en mouvement soit mécaniquement (ventilateur) soit en trompant son laser (souris dans un verre transparent).
Un employé belge d’une compagnie d’assurance a ainsi été licencié après que des suspicions de tricherie sur sa présence en ligne se soient révélées exactes lorsque le contrôle des «clics» de sa souris, via keylogger, révéla que sur toute une journée aucun clic n’avait été enregistré alors que l’employé apparaissait en ligne à tout moment…
Certes, l'employeur qui contrôle prend le risque de sanctions pénales ou administratives, mais dans l’état actuel de la jurisprudence (Arrêt Antigone) il pourrait néanmoins tenter de soumettre une preuve obtenue illicitement – dans la mesure où les exceptions légales ne pourraient pas être invoquées – au tribunal avec une chance raisonnable de voir celle-ci retenue. D'autant plus si l’employé aura été préalablement informé de la possibilité d’un contrôle.
Source : Del-Law, juin 2022