Les data issues des objets connectés du salarié : objet de convoitise ?

Nous avions évoqué l’évolution de la notion du BYOD dans l’entreprise dans un premier billet. La pratique s’est surtout développée aux USA, où les entreprises y ont vu un élément d’attractivité et d’image auprès des plus jeunes candidats et collaborateurs, tout en comprenant les avantages financiers qu’elles pouvaient en tirer. En revanche, l’intégration dans les entreprises françaises ne s’est pas véritablement opérée. Le plus souvent, le phénomène a mué vers le développement du COPE “Corporate Owned, Personnaly Enabled”, en raison de contraintes culturelles, sociales, fiscales, sécuritaires. Rien de révolutionnaire toutefois, puisque le COPE consiste simplement à agrandir le catalogue des terminaux informatiques fournis par l’entreprise et destinés à être connectés à son système d’information, tout en laissant une liberté plus grande au salarié concernant une utilisation faite à titre privé dudit terminal.

Quel COPE pour les objets connectés ?
Si l’on étudie les conséquences de l’émergence prévisible des objets connectés dans l’entreprise (cf. notre second billet), la situation apparaît bien différente. En effet, au fur et à mesure que les objets connectés se feront plus petits, plus proches, plus intimes (montres de luxe, lentilles de contact…), et adaptés à la morphologie ou aux impératifs de santé (lunettes, chaussures, etc.), il deviendra plus difficile pour l’entreprise de proposer aux salariés deux versions alternatives : une version professionnelle et une version personnelle, selon qu’il soit ou non en train de travailler ; et une version COPE d’un objet qui lui est indispensable (cf. encore une fois l’exemple des lunettes correctrices).
L’employeur pourra avoir intérêt, à défaut d’en avoir le droit acquis, de demander au salarié de porter des dispositifs de suivi du bien-être, dans le but de prévenir les risques de santé de celui-ci, pour notamment réduire le volume des arrêts de travail pour maladie. Aux USA, assureurs, employeurs et créateurs d’applications et de capteurs dédiés à la santé travaillent déjà à de tels partenariats (cf. plate-forme fitbit@work, Virgin HealthMiles, etc.).
Demain, l’employeur pourra-t-il obtenir un accès aux données produites par leurs employés quand celles-ci concernent non plus leurs performances professionnelles (cf. notre article précédent), mais leur bien-être au travail, pour ne pas dire leur santé ? D’autant que, comme indiqué précédemment, c’est le propre système d’information de l’entreprise qui pourrait faire transiter ces données. Et si la réglementation sur la protection des données à caractère personnel l’en empêche, pourra-t-elle considérer qu’un candidat à l’emploi qui ne porte pas d’outils d’évaluation de sa santé présente un comportement “suspect”, voire dangereux pour lui-même… ce qui pourrait conduire à des comportements discriminatoires ?

Quel contrôle par l’employeur des données du salarié connecté ?
Confronté aux demandes d’interconnexion à son système d’information (dans le prolongement naturel des pratiques de BYOD), l’employeur est mis dans une situation très particulière : en vertu de la maîtrise de l’employeur sur son système d’information et de la sécurité qu’il doit y assurer (notamment en raison d’impératifs légaux tels que l’obligation de sécurité des données à caractère personnel – article 34 loi du 6 janvier 1978 dite “Informatique et Libertés” modifiée, ou encore le respect du secret professionnel, etc.), il est libre d’accepter ou de refuser les pratiques de BYOCL conduisant à l’interaction avec son système d’information. Que ce soit pour une montre ou des lunettes connectées, un smartphone ou une tablette, le principe est clair : le salarié ne dispose pas d’un droit acquis à s’interconnecter au système d’information de son employeur.
Si dans cette hypothèse, l’employeur acceptait l’interconnexion, il pourrait imposer des conditions d’accès strictes dans le but de maintenir la sécurité du système (limitation à certains équipements, certaines versions de systèmes d’exploitation, obligation de suivi de procédures de sécurité, etc.), charge à lui d’éviter toute discrimination dans les autorisations accordées.
Si des circonstances particulières l’imposent (obligation de confidentialité renforcée, projets secrets, etc.), l’employeur pourrait même envisager d’interdire le port ou l’utilisation d’équipements susceptibles d’attenter à la confidentialité de son patrimoine informationnel (montres avec micros, lunettes avec dispositifs d’enregistrement, etc.). Il devra toutefois l’argumenter de façon solide, étant donné que l’article L. 1121-1 du Code du travail précise que « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché » et que ce principe a été repris pour indiquer ce que l’employeur peut prévoir d’insérer ou non dans son règlement intérieur (article L. 1321-3 2° du Code du travail).
De même, si certains objets connectés sont ressentis comme une atteinte ou une agression par d’autres salariés à l’occasion de la vie en collectivité (lunettes connectées conduisant à la peur d’enregistrements sans autorisation préalable de propos ou d’images d’autres salariés hors du temps de travail), il lui appartiendra, pour éviter un trouble caractérisé au sein de l’entreprise, d’agir afin de faire cesser cette situation.
Pour autant, attention à éviter les solutions plus radicales d’un employeur qui voudrait simplifier la gestion de ces outils : l’article L. 33-3-1 du Code des postes et communications électroniques (CPCE) lui empêche d’imaginer mettre en place un dispositif de filtrage ou de brouillage des objets connectés des salariés, y compris dans certaines pièces spécifiques : « l’importation, la publicité, la cession à titre gratuit ou onéreux, la mise en circulation, l’installation, la détention et l’utilisation de tout dispositif destiné à rendre inopérants des appareils de communications électroniques de tous types, tant pour l’émission que pour la réception » (l’article L. 39-1 prévoyant les sanctions en cas de manquement qui peuvent aller jusqu’à six mois d’emprisonnement et 30 000 euros d’amende).
Enfin, rappelons qu’à partir du moment où un équipement de communication est connecté au système d’information de l’employeur, il est présumé être utilisé à titre professionnel selon la jurisprudence de la Cour de cassation (arrêts de la chambre sociale de la Cour de cassation du 12 février 2013 et du 13 novembre 2014). Une application de ce principe aux objets BYOCL permettrait à l’employeur, au besoin, de contrôler le fonctionnement ou le contenu de ceux-ci lorsqu’ils sont connectés à son système d’information, selon les mêmes règles que celles applicables aux terminaux et périphériques informatiques personnels dont il permet déjà l’utilisation par ses salariés.

Face à l’ensemble des problématiques qui ne sont ici que rapidement évoquées, l’entreprise se doit d’aborder dès aujourd’hui ces questions liées aux objets connectés. Les chiffres les plus fous circulent sur le nombre d’objets connectés qui feront partie de notre quotidien : on parle de 50 milliards d’objets d’ici 5 ans. L’entreprise ne sera pas épargnée par cette nouvelle vague. Elle ne peut se contenter d’une extrapolation basée sur la situation actuelle limitée aux ordinateurs portables, smartphones ou tablettes professionnels. Elle ne peut faire l’économie d’une réflexion profonde sur les conséquences, les risques, les obligations, les opportunités sur l’organisation du travail de demain.

PS : Ce billet a été écrit en collaboration avec François Coupez ; vous pouvez également retrouver sur son blog. Il s’inscrit dans un triptyque composé de “ Les défis du BYOD face à la transition numérique de l’entreprise”, et de “Droit à la déconnexion et objets connectés”.

Partagez ce post

Facebook
Twitter
LinkedIn
Pinterest
WhatsApp

Ces articles pourraient vous intéresser