16 Le numérique dans l’entreprise et la

protection des personnes

PROGRAMME
THÈME 4 : Le numérique, issu de la convergence des sciences et technologies de l’information et de la communication, affecte la vie et le
L'IMPACT DU fonctionnement de l’entreprise de différentes manières :
NUMÉRIQUE SUR - en facilitant l’accès des agents à l’information par la mise en place de réseaux d’agents économiques ou de modèles
LA VIE DE spécifiques de fixation des prix ;
L'ENTREPRISE - en confrontant l’entreprise à des situations juridiques nouvelles et spécifiques liées au principe de la preuve, de la protection
des données ou encore au suivi de l’identité numérique ;
Dans quelle mesure le - en modifiant les modalités de coordination entre les différents acteurs, de partage de l’information, d’organisation des
droit répond-il aux processus de l’entreprise en installant des possibilités d’organisations collaboratives.
questions posées par le Autant d’éléments qui influencent directement le mode de management.
développement du Compétence Savoirs associés
numérique ?  Caractériser les conséquences juridiques des choix  Le rôle de la CNIL
opérés par l'entreprise sur la protection des per-  La protection de la personne : les données à caractère per-
sonnes, des données sonnel, l'identité numérique, l'usage du numérique dans
l'activité de travail

CORRIGÉ

Page d’ouverture
1. En quoi la crise sanitaire a-t-elle accru la question de la surveillance des salariés ?
La crise sanitaire a généré un accroissement considérable du nombre de télétravailleurs. Dès lors, la surveillance du
travail effectif des collaborateurs qui s’effectuait dans l’entreprise de façon classique (par la présence du supérieur
hiérarchique par exemple) a dû se faire à distance, en très peu de temps et sur un nombre de salariés bien plus
important qu’en temps normal.
2. Pourquoi cette surveillance est-elle à la fois normale dans son principe, mais également dangereuse
dans sa mise en œuvre ?
La surveillance du travail effectif ne pouvant plus s'effectuer, il semble normal que sur le principe, une forme
adaptée de surveillance soit mise en place pour le télétravail. Les risques et les excès potentiels de cette
surveillance peuvent être, par exemple :
- son caractère potentiellement constant ;
- les capacités de stockage et de mémorisation à long terme des éléments surveillés ;
- les risques d’ingérence dans la vie privée du salarié.

1. Exploiter les données à caractère personnel (DCP)

1. Pourquoi la CNIL est-elle une autorité administrative et indépendante ?
La CNIL est une autorité administrative car les problématiques liées aux fichiers numériques justifient une
régulation par la puissance publique. En effet, la puissance informatique est telle, quantitativement et
qualitativement, que des excès majeurs sont possibles et ne permettent pas de laisser les acteurs privés libres de tout
contrôle de l’administration.
Toutefois, la puissance publique étant elle-même un acteur utilisant les fichiers informatiques, il est nécessaire que
la CNIL soit indépendante pour agir en toute liberté sur l’ensemble des fichiers, y compris ceux qui relèvent de la
responsabilité de la personne publique.
2. Expliquez pourquoi l’action de la CNIL ne saurait être limitée à celle d’un gendarme des données à
caractère personnel (DCP).
La CNIL a des missions d’information et de conseil : elle agit donc en amont pour aider au respect des règles et
éviter ainsi d’avoir à sanctionner d’éventuelles infractions.
De plus, la CNIL est une autorité qui, par sa veille, contribue à la réflexion prospective et aux projets de

Thème 4 – L’impact du numérique sur la vie de l’entreprise 1

réglementation liés aux évolutions du numérique.
3. En quoi le RGPD s’inscrit-il dans la continuité d’une réglementation existante tout en la renforçant ?
L’encadrement des pratiques liées au numérique n’a en effet pas attendu le RGPD, puisque ce dernier est un
renforcement de la loi « Informatique et Libertés » du 6 janvier 1978 (elle-même régulièrement complétée par
d’autres textes, comme la loi pour la confiance dans l'économie numérique ou LCEN). Le détail de ce caractère
renforçant sera par ailleurs abordé à la consigne 6.
4. Justifiez l’intérêt d’une réglementation à l’échelle supranationale.
Les données numériques sont immatérielles. Le stockage et le traitement de ces dernières peuvent donc être réalisés
depuis des serveurs non localisés dans le même pays que celui où ces données ont été collectées. Il est donc
essentiel d’empêcher les entreprises peu vertueuses de se livrer à un « dumping DCP » en localisant les serveurs
dans les pays les moins protecteurs. Une harmonisation supranationale est donc utile pour lutter contre cette
pratique.
5. Expliquez pourquoi la règle relative à la portabilité des données est aussi une mesure en faveur de la
concurrence.
Même si elle est une mesure protectrice de la liberté de tout consommateur de changer de fournisseur, la règle
relative à la portabilité des données est aussi une mesure économique. En effet, elle retire aux entreprises la
possibilité de mettre une barrière à la sortie pour leurs clients. Ceux-ci ayant dès lors la possibilité de changer de
fournisseur, il y a bien un renforcement des pratiques concurrentielles.
6. Citez les mesures renforçant la responsabilisation de l’entreprise quant aux conséquences liées à
l’usage des données personnelles.
Les mesures renforçant la responsabilisation de l’entreprise quant aux conséquences liées à l’usage des données
personnelles sont :
- le droit à notification en cas de piratage de ses données personnelles : l’entreprise étant obligée de
communiquer publiquement sur une éventuelle défaillance, sa responsabilité, notamment en termes
d’image, est donc bien accrue ;
- le droit à réparation du dommage matériel ou moral : l’entreprise voit ici une responsabilisation,
notamment financière, puisqu’elle devra indemniser les éventuels préjudices dont elle serait l’auteur.
7. Justifiez chacune des différentes étapes du plan d’action.
1re étape : il est nécessaire pour l’entreprise de tenir un registre des traitements de données, car l’effet de volume
pourrait faire qu’elle ignore elle-même ce qu’elle fait en ce domaine (notion d’inventaire permanent). En outre, cet
outil sera à la base de toute procédure de contrôle.
2e étape : l’entreprise doit désormais trier les données, afin d'être minimaliste et de n’exploiter que les données
véritablement pertinentes pour ses besoins.
3e étape : respecter les droits des personnes est à la fois une obligation réglementaire et légale pour l'entreprise,
mais c’est aussi le gage, à long terme, de ne pas voir se développer une méfiance dissuasive des personnes fichées.
4e étape : la sécurisation des données personnelles. se justifie car celles-ci sont collectées par une personne
désignée pour un usage précis. Il est donc normal de garantir aux personnes fichées que tout est fait pour empêcher
qu’un tiers accède à ces données.
8. Citez l’étape de la protection des données pour laquelle l’entreprise Francetest aurait été défaillante.
L’étape pour laquelle l’entreprise Francetest a été défaillante est celle de la sécurisation des données personnelles.
9. Pourquoi une sanction rendue publique augmente-t-elle le préjudice de l’entreprise en plus de
l'amende ?
Au-delà d’une éventuelle amende, le préjudice d’image peut être important pour Francetest. En effet, les
utilisateurs et clients peuvent perdre confiance dans la sécurité des bases informatiques de ce prestataire et refuser
d’y avoir des comptes (ou fermer ceux qu'ils possèdent). Cela aura alors forcément un impact commercial.

2 Chapitre 16 – Le numérique dans l’entreprise et la protection des personnes

Pour faire le point

Rédigez un schéma à destination des entreprises pour résumer les points essentiels du RGPD.

e-privacy

complète le RGPD

modifie les règles

modifie les règles
relatives aux données
relatives aux cookies
personnelles

refus plus facile par le

paramétrage du celles collectées pour le
navigateur seul paiement d'un achat
ne pourront plus être
utilisées pour une autre
utilisation commerciale
possibilité de consulter les
informations du site même en
cas de refus

2. Manager l'entreprise à l'ère du numérique

1. Citez les éléments constitutifs de l’identité numérique d’une entreprise.
Les éléments constitutifs de l’identité numérique d’une entreprise sont :
- ses traces volontaires : les e-mails qu’elle envoie, les textes et photographies de son site… ;
- ses traces involontaires : les données de navigation de ses propres salariés, les avis des clients sur les
moteurs de recherche… ;
- ses traces héritées : les avis échangés entre eux par les clients, les commentaires sur les forums…
2. Précisez la relation entre l’identité numérique et l'e-réputation d’une personne ou d’une entreprise.
L'e-réputation est celle qui découle des traces qui ont constitué l’identité numérique. Cela est vrai pour l’ensemble
de ces traces, d’où la nécessité de bien superviser les traces volontaires et de disposer d’une veille pour identifier et
réagir aux traces héritées.
3. Expliquez pourquoi l'e-réputation d’une entreprise dépend d’elle-même, mais aussi de ses clients et de
ses salariés.
L’entreprise choisit ce qu'elle diffuse sur le réseau numérique et génère, de ce fait, une part de son e-réputation.
Néanmoins, une entreprise est une entité morale : elle ne laisse pas de trace par elle-même, mais à travers les
femmes et les hommes qui la composent. Ce sont donc les salariés qui vont générer les traces volontaires ou
involontaires en rédigeant des contenus, choisissant des photographies, répondant à des e-mails… De même, les
clients parlent d’une entreprise en termes élogieux ou réprobateurs : ils sont donc aussi à l’origine de la réputation
numérique de l’entreprise.
4. Expliquez pourquoi il y a un risque de confusion entre l’identité numérique d’une entreprise et celle
de ses salariés.
Lorsqu’un salarié publie une information, il exprime, aux yeux des tiers, la position de son entreprise. Si, par
exemple, un salarié d’un service réclamation répond à un mail par des propos injurieux, ce sera autant l'e-réputation
de la personne, dont le nom signe le message, que celle de l’entreprise elle-même qui sera impactée par
l’expression déplacée du salarié.
5. Expliquez pourquoi l’employeur pensait pouvoir prendre connaissance des messages de son employé.
L’employeur pensait pouvoir prendre connaissance des messages de son employé car ceux-ci avaient été rédigés
sur son temps de travail à l’aide de son ordinateur professionnel, qui était une propriété de l’entreprise.

Thème 4 – L’impact du numérique sur la vie de l’entreprise 3

6. Justifiez les positions de la cour d’appel, puis de la Cour de cassation devant cette argumentation.
La cour d’appel a suivi l’argument de l’employeur puisque son arrêt retient la qualification de faute grave pour
justifier le licenciement du salarié. Telle n’est pas la position des juges de cassation, puisqu’ils estiment que la cour
d’appel a violé l’article 9 du Code civil relatif à la protection de la vie privée, que la Cour de cassation applique
donc au salarié sur son lieu et sur son temps de travail.
7. Expliquez-en quoi un panneau d’affichage à destination des clients ou des salariés d’une entreprise
permet à cette dernière de respecter la règle de droit.
L’article de loi 1222-4 impose de porter à la connaissance d’un salarié les dispositifs permettant de collecter des
informations sur lui. En apposant un panneau d’affichage à l’entrée de ses locaux, l’entreprise se conforme donc à
cette obligation légale.
8. Justifiez qu’un salarié, employé comme chauffeur de cars de tourisme, ne puisse refuser de se
soumettre à l’interdiction d'une consommation excessive d’alcool pendant sa pause déjeuner au motif
que les menus de ses repas relèvent de sa vie privée.
L’article de loi 1221-1 interdit de porter atteinte à une liberté individuelle sauf si cela est justifié par les tâches à
accomplir. En l’espèce, l’interdiction de consommer une boisson est bien une atteinte à une liberté individuelle.
Néanmoins, l’activité de chauffeur de car justifie que l’employeur interdise la consommation excessive d’alcool
pour le bon déroulement de sa prestation de travail.
Pour faire le point

À l’aide de la vidéo « Procès Ikea : procès du géant suédois pour fichage illégal », et des notions étudiées,
rédigez une courte note sur l’ensemble des risques auxquels s’expose une entreprise en ne respectant pas
les règles de surveillance de ses salariés.
La forme de la note est libre, mais voici les éléments de fond devant y figurer :
- risques internes : perte de confiance, dégradation du climat social, décisions managériales fondées sur des
informations fausses ;
- risques externes : image auprès de la clientèle et des pouvoirs publics ;
- risques juridiques : amendes, plaintes civiles des salariés.

3. Utiliser le numérique au travail

1. Indiquez et justifiez, pour chacune des situations ci-dessous, si elle est conforme ou non aux règles de
droit.
A. Un employeur interdit toute utilisation personnelle de l’outil informatique professionnel. Situation
illicite : l’employeur doit accepter une utilisation personnelle raisonnable.
B. Un employeur bloque la possibilité de télécharger sans autorisation des programmes.
Situation licite : un téléchargement de programme peut affecter la sécurité du système informatique, générer des
conflits d’opérabilité avec d’autres programmes…
C. Un employeur interdit le stockage de fichiers personnels occupant une place – même infime – sur le
disque dur.
Situation illicite : si le stockage occupe une place infime, il n’affecte pas la disponibilité professionnelle des
matériels.
2. Présentez la cohérence entre les règles de « protection » des messages personnels et le respect de la vie
privée étudié précédemment.
Si l’employeur doit respecter la vie privée du salarié, il est bien nécessaire qu’il sache quelles informations sont
susceptibles d’en relever. Il est normal de penser que les données du matériel de travail sont professionnelles par
principe et personnelles par exception.
En imposant aux salariés d’indiquer ce caractère personnel/privé, le droit permet à l’employeur de respecter la vie
privée de ses collaborateurs.
3. Expliquez pourquoi les règles relatives aux identifiants et aux mots de passe personnels du salarié
cherchent à concilier les intérêts légitimes des deux parties.
Les identifiants et mots de passe permettent au salarié d’avoir des éléments stockés qu’il ne souhaite pas forcément
communiquer à son employeur. Il est donc normal que ce dernier ne puisse pas les exiger par principe. Néanmoins,

4 Chapitre 16 – Le numérique dans l’entreprise et la protection des personnes

la raison d’être principale de l’activité de l’entreprise est son exploitation quotidienne. De ce fait, si un salarié est
absent et qu’il est nécessaire que son employeur accède à des données permettant le bon déroulement de l’activité,
le droit lui permet d’en exiger la communication.
4. Expliquez en quoi les règles relatives à la vidéosurveillance permettent de servir les intérêts légitimes
de l’entreprise, tout en protégeant ceux des salariés.
La sécurisation des locaux et des matériels par une vidéosurveillance est une attente légitime des entreprises qui
doivent lutter contre les malveillances, les vols… Pour autant, afin que cela ne puisse constituer une surveillance
permanente des salariés, ce qui serait pénible au quotidien, cet objectif licite doit être respecté, ce qui exclut une
surveillance du poste de travail lui-même (sauf exceptions).
5. Précisez si chacune des situations ci-dessous est conforme aux règles de droit.
A. Un employeur reproche à son salarié de ne pas savoir où il a déjeuné pendant sa pause.
Situation non conforme : l’employeur peut suivre son salarié pendant le temps de travail mais non sur un temps de
pause.
B. Une entreprise de transport de déchets nucléaires installe une géolocalisation directement reliée à des
services de secours.
Situation conforme : le type de produits transportés justifie une mesure de géolocalisation, pour intervenir en cas de
problème par exemple.
6. Présentez les raisonnements juridiques de la cour d’appel puis de la Cour de cassation
Selon la cour d’appel, un licenciement ne peut reposer que sur une faute dont la preuve a été licitement apportée.
En l’espèce, le salarié n’ayant pas été informé de sa surveillance potentielle par un système de vidéo installée chez
le client, les images collectées l’ont été à son insu et ne peuvent donc être mobilisées à son encontre.
Telle n’est pas la position des magistrats de la Cour de cassation, qui estiment que la mise en place de cette
vidéosurveillance avait une autre finalité que la surveillance des salariés. Elle n’était donc pas soumise à leur
information préalable au titre de salariés. Les images peuvent dès lors être mobilisées pour prouver l’action
commise sur le placard du client (et non les actes de travail du salarié chez le client).

Pour faire le point

À l'aide de la vidéo « Nouvelles technologies et vie privée du salarié : quelles garanties ? » et des notions
étudiées, rédigez un extrait de la charte informatique d’une entreprise pour résumer les points essentiels
relatifs à la vie privée du salarié sur son lieu de travail.
Extraits de certains paragraphes :
 Utilisation d’Internet et du téléphone
Vous disposez d’un droit aux correspondances privées, auxquelles l’employeur ne peut accéder, y compris en votre
présence. Pour autant, cette utilisation ne doit pas porter préjudice à la réalisation de votre travail.
 Stockage des fichiers sur le matériel informatique
Tous les fichiers stockés sont présumés professionnels et, si vous les avez identifiés comme personnels, ils ne
peuvent être consultés qu’en votre présence.
 Droit à la déconnexion
Notre entreprise vous propose des solutions pour ne pas avoir à réaliser de tâches professionnelles en dehors de
votre temps de travail.
 Surveillance
Pour des raisons de sécurité, il a été établi, après consultation des représentants du personnel, un dispositif de
vidéosurveillance/géolocalisation/badgeuses, etc., qui a pour but d’assurer la sécurité des biens et des personnes.

Thème 4 – L’impact du numérique sur la vie de l’entreprise 5

ENTRAÎNEMENT : À VOS CAS CONSEIL, LA RÉPONSE AUX
PROBLÉMATIQUES EN DROIT DU NUMÉRIQUE DES
ENTREPRISES
1. Apportez une réponse à l’interrogation de l’entreprise X, en respectant les quatre étapes suivantes :
a) présentez les faits, c'est-à-dire la situation que rencontre l'entreprise X. Autant que possible, utilisez le
vocabulaire juridique adapté pour qualifier juridiquement ces faits (ne pas dire un « employé » mais un
« salarié », ne pas dire un « patron » mais un « employeur »…) ;
Dans les faits, un salarié a injurié trois cadres de son entreprise par des messages laissés sur la messagerie des
téléphones portables professionnels de ces derniers.
b) formulez, idéalement sous la forme interrogative, le problème juridique à résoudre ;
Un employeur peut-il utiliser des messages sur un répondeur téléphonique professionnel comme preuve pour
caractériser une faute professionnelle ?
c) présentez, de façon générale et impersonnelle, les règles juridiques à appliquer dans cette situation
précise ;
Deux règles de droit sont applicables en l’espèce :
- l’article L1222-4 du Code du travail qui interdit de collecter une information sur un salarié sans l’en avoir
préalablement informé ;
- l’arrêt du 23 mai 2007 de la chambre sociale près la Cour de cassation qui précise que lorsqu’il est connu
de tous qu’un procédé technique enregistre les propos d’une personne, il n’est pas nécessaire de procéder à
cette information préalable.
d) enfin, répondez concrètement à l'interrogation (étape 1.b) de l'entreprise X en vous fondant sur les
faits (étape 1.a) et sur les règles de droit applicables (étape 1.c).
Ainsi, comme pour les SMS évoqués dans la jurisprudence, il est de notoriété publique qu’un répondeur
téléphonique enregistre les propos de la personne y déposant un message. Dès lors, s’appuyant sur l’arrêt du 23 mai
2007, l'entreprise X pourrait utiliser ces messages comme preuve lors d’une action en justice en écartant
l’éventuelle convocation par le salarié de l’article 1222-4 du Code du travail, inapplicable en l’espèce.
2. Apportez une réponse à l’interrogation de l’entreprise Y, en suivant la méthode décrite ci-dessus.
Dans les faits, un salarié a communiqué des informations de son entreprise à la concurrence. Cela a été découvert
par un autre salarié qui a consulté un ordinateur dont la session était ouverte sur un site de cloud computing. La
connexion y était réalisée par un terme générique « Alpha » et le nom du répertoire contenant les documents
incriminés était celui de l’entreprise.
Un employeur peut-il, dans une procédure disciplinaire, utiliser des preuves obtenues par la consultation d’un site
de stockage en ligne dans le cadre d’une connexion personnelle mais qu’aucun élément ne pouvait faire savoir à
l’employeur cette dernière caractéristique ?
Deux règles de droit sont applicables en l’espèce :
- l’article 9 du Code civil qui permet à chacun de voir protéger sa vie privée ;
- l’arrêt du 12 février 2013 de la chambre sociale près la Cour de cassation. Ce dernier précise que sont
présumés professionnels les supports de stockage connectés à un ordinateur professionnel.
Ainsi, comme pour la clef USB évoquée dans la jurisprudence, un site de cloud computing constitue un support de
stockage. Ce site étant accessible depuis une connexion ouverte sur un ordinateur professionnel et sans qu’aucun
élément ne précise que les documents stockés soient personnels, l’entreprise Y peut se prévaloir des documents
obtenus dans le cadre d’une procédure disciplinaire.

6 Chapitre 16 – Le numérique dans l’entreprise et la protection des personnes