Quelles limites pour la surveillance connectée au travail ?

Dans un article publié en septembre 2018, la chercheuse Ifeoma Ajunwa, de l’université de Cornell, s’interroge sur les conséquences sociales et juridiques de l’usage croissant des technologies connectées à des fins de surveillance dans le monde du travail. Pour elle, « la prolifération des applications de suivi de la productivité et des technologies portables va soulever de nouvelles controverses pour le droit du travail ».

Si l’utilisation d’outils numériques impliquant la collecte de données personnelles dans la sphère professionnelle pose indéniablement des questions en termes de protection de la vie privée, les dispositions juridiques françaises et européennes encadrent déjà largement les possibilités de contrôle des travailleurs et travailleuses. La CNIL a d’ailleurs déjà eu l’occasion de se prononcer sur la question, qu’il s’agisse par exemple de la vidéosurveillance ou encore du contrôle des appels sur le lieu de travail.

Du taylorisme au bracelet connecté

La volonté de contrôle de la main d’œuvre, et la mise en place de dispositifs y répondant, ne sont pas des phénomènes nouveaux : le taylorisme s’appuyait déjà sur un suivi étroit de la productivité dans les usines. Le numérique ouvre cependant des potentialités inédites de surveillance, susceptibles d’ébranler l’équilibre entre « l’intérêt financier des employeurs et les intérêts des employés en termes de vie privée ».

Des GPS placés dans les véhicules de fonction (au sujet desquels la CNIL a communiqué des recommandations) aux casques mesurant l’activité cérébrale (dont nous avons déjà parlé ici), les technologies de gestion connectée des personnels sont nombreuses, et ne relèvent déjà plus de la science-fiction.

Ajunwa décrit par exemple comment la chaine de supermarchés britannique Tesco a équipé les employés et employées de l’un de ses centres de distribution de bracelets connectés, suivant en temps réel l’ensemble de leurs activités. L’objectif de rationalisation de l’activité a conduit dans ce cas à un contrôle très étroit, suscitant de violentes réactions lors de la publicisation du cas : « en dehors des pauses repas, toutes les activités des travailleurs, y compris le temps passé aux toilettes ou à la fontaine à eau, étaient enregistrées et contribuaient à diminuer leur score de productivité ».

Dans un avis formulé en 2014, le G29 (remplacé depuis l’entrée en application du RGPD par le Comité Européen de la Protection des Données) soulignait lui aussi les possibilités de surveillance induites par le développement de l’internet des objets. Il mettait en particulier en garde contre la mise en place par les entreprises d’assurances aux tarifs différenciés, en fonction de données de santé qui pourraient être collectées par le biais d’objets de « bien-être » distribués aux salariés et salariées.  

Un équilibre instable entre productivité, bien-être et vie privée

L’usage de ce type de technologie pose de fait de nombreuses questions quant au respect de la vie privée, malgré les « bonnes intentions » affichées par les compagnies conceptrices, qui soulignent les gains en termes non seulement d’efficacité mais aussi de satisfaction au travail. « Aujourd’hui, les employés sont fortement encouragés à partager leurs informations par le biais de tels dispositifs, et on les récompense souvent pour cela », explique Ajunwa, qui indique que la mise en place d’un contrôle connecté passe fréquemment par le développement de programmes collaboratifs de bien-être au sein des entreprises. Il s’agirait ainsi de permettre aux employés et employées d’augmenter leur performance individuelle en analysant leurs pratiques, de rendre la gestion d’équipe plus efficace grâce à l’anticipation de changements d’humeurs, ou encore de sécuriser les environnement de travail en prévenant la fatigue pouvant survenir au cours de tâches dangereuses.

Dans un autre article co-écrit avec Kate Crawford et Jason Schultz, la chercheuse explique d’ailleurs que les instruments développés pour répondre à ces objectifs prennent souvent des formes ludifiées, stimulant l’engagement des personnes concernées.  

Bien que présentée comme « bénéfique pour les travailleurs », l’utilisation de ces outils surveillants dans le cadre professionnel risque dans de nombreux cas d’empiéter sur l’espace de vie privée des employés et employées. Les GPS intégrés à des objets par ailleurs utilisés dans le cadre privé sont, par exemple, susceptibles de transmettre à l’employeur ou employeuse des données personnelles et doivent à ce titre, en France, pouvoir être désactivés en dehors du temps de travail. Au-delà du caractère intrusif d’une telle collecte, Ajunwa explique en effet que les entreprises pourraient se servir d’informations recueillies en dehors cadre professionnel afin de rejeter certaines demandes de compensations : « par exemple, puisque Fitbit [une montre connectée] surveille les cycles de sommeil, détermine combien de temps un utilisateur dort, et analyse la qualité et l’efficience de ce sommeil, et qu’un utilisateur peut être comparé au dormeur ‘moyen’, un employeur pourrait utiliser cette information pour responsabiliser un employé pour manque de sommeil en cas d’accident ». Un scénario prospectif que nous avions décrit dans notre deuxième cahier IP, « le corps, nouvel objet connecté ».

L’utilisation de ces données peut devenir d’autant plus problématique qu’elle est susceptible de favoriser des pratiques discriminatoires. Ainsi, comme le souligne la chercheuse, « les employeurs pourraient potentiellement abuser de leur pouvoir de surveillance en ciblant disproportionnellement des populations spécifiques en termes de genre, de race ou d’âge, et il serait très simple pour eux de se baser sur ces informations, sans consentement des personnes concernées, pour décider de promotions ou de licenciements ».
Dans le domaine de la santé en particulier, des dispositifs de contrôle tels que les montres connectées, capables de mesurer divers paramètres physiologiques, pourraient transmettre de façon indirecte aux structures employeuses des informations médicales confidentielles sur leurs salariés et salariées. A partir de là, la possibilité que ces informations aient un impact sur le déroulement de leur carrière ne semble pas totalement irréaliste...

En France, un encadrement strict de la collecte et de l’utilisation des données dans le cadre professionnel

Si dans de nombreux cas, et malgré les risques induits, ces outils sont aujourd’hui adoptés de façon apparemment libre dans le cadre de programmes facultatifs, Ajunwa rappelle que « l’aspect volontaire de [leur] utilisation est mis en question par la force des incitations économiques, le manque d’information, ainsi que par la relation asymétrique de pouvoir entre travailleurs et employeurs ».

De fait, le Règlement Européen sur la Protection des Données limite le champ du consentement à toute « manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement » (article 4(11)). Dans le cadre professionnel, du fait de la dépendance économique et de la subordination liant les salariés et salariées à la structure qui les emploie, le consentement peut rarement être considéré comme libre, sauf cas exceptionnels. Le G29 indique ainsi dans ses « lignes directrices sur le consentement » qu’ « au  vu  de  la  dépendance  résultant  de  la  relation  employeur/employé,  il  est  peu  probable que la personne concernée soit en mesure de refuser de donner son consentement à son employeur concernant le traitement de ses données sans craindre ou encourir des conséquences négatives suite à ce refus ».

Ne pouvant donc pas, a priori, se prévaloir du consentement de leurs salariés et salariées pour la mise en place de dispositifs de surveillance connectés, les entreprises doivent se tourner vers d’autres bases légales (en particulier l’intérêt légitime ou la nécessité pour l’exécution d’un contrat), ce qui ne les dispense pas de l’obligation d’informer les personnes concernées.

Par ailleurs, comme nous l’expliquions au sujet des casques connectés, le code du travail et la loi informatique et libertés posent un principe de proportionnalité des atteintes aux libertés des personnes par rapport au but recherché, et celle-ci peut être difficile à démontrer dans le cas de l’usage de telles technologies numériques à des fins de contrôle. Ainsi, alors qu’une caméra de vidéo-surveillance ne peut, sauf cas exceptionnel, être orientée en permanence sur un seul poste de travail, il parait légitime de s’interroger sur la licéité d’objets mesurant continument l’activité – y compris physiologique – des employés et employées.  La CNIL reçoit régulièrement des plaintes au sujet des mésusages d’outils de surveillance au travail, et a déjà sanctionné des organisations dont les pratiques n’étaient pas conformes ni respectueuses des droits des individus (voir la sanction du 15 juin 2017 appliquée en raison de l’installation d’un dispositif de vidéo-surveillance ciblé sur un poste de travail sans notification des personnes concernées).

L’environnement juridique nord-américain depuis lequel Ifeoma Ajunwa écrit diffère ainsi en de nombreux aspects de celui dans lequel la France évolue. Toutefois, si le cadre juridique national et européen offre de solides bases de protection des employés et employées face au traitement de leurs données personnelles en milieu professionnel, le développement rapide des technologies connectées n’en reste pas moins porteur d’enjeux juridiques, notamment en termes de proportionnalité de la surveillance mise en œuvre, dans un contexte d’évolution constante des techniques de production et de management.  

Note : Les citations issues de l’article d’Ifeoma Ajunwa ont été traduites de l’anglais au français par la rédactrice de cet article.