Le numérique dans l’entreprise et la

protection des personnes

SYNTHÈSE ENRICHIE

1. L’exploitation des données à caractère personnel (DCP)

A. Le respect par l’entreprise d’un cadre réglementaire
Créée en 1978 par la loi Informatique et Libertés, la CNIL est une autorité administrative
indépendante en charge de la régulation des données personnelles. Ses missions sont :
-l’information des particuliers et des professionnels sur leurs droits et obligations en matière de DCP ;
-le contrôle des entreprises et administrations traitant des données personnelles et les sanctionner en
cas de manquement à leurs obligations ;
-l’analyse des problématiques nouvelles afin d’anticiper l’élaboration des règles pour les encadrer ;
-la représentation de la position française dans les constructions de règles communes avec les « autres
CNIL » européennes.
Jusqu’à l’entrée en vigueur en mai 2018 du règlement européen n°2016/679 du 27 avril 2016 sur la
protection des données personnelles (cf. B), le cadre réglementaire relatif aux données à caractère
personnel découlait principalement de la loi Informatique et Libertés, dont les principales dispositions
pour l’entreprise sont :
-d’obtenir le consentement des personnes fichées. Il s'agit de l’étape de la collecte des données : la
personne fichée doit être informée et avoir explicitement accepté que des DCP la concernant soient
recueillies. Les informations données pour obtenir ce consentement doivent être loyales (pas de faux
motif) et transparentes ;
-de définir les finalités du fichier : le responsable de traitement doit préciser à quoi les DCP collectées
vont lui servir. Il ne pourra pas par la suite utiliser ces données pour un autre objectif que celui
annoncé. Par ailleurs, une communication de ces données à des tiers sans le consentement préalable de
la personne fichée est interdite ;
-de respecter les droits des personnes :
 droit d'accès : une personne peut demander directement au responsable d'un fichier s'il détient des
informations sur elle et se les voir communiquer ;
 droit de rectification s’il y a des erreurs dans les données enregistrées ;
 droit d'opposition : toute personne physique peut, si elle a un motif légitime, s'opposer à ce que des
données la concernant fassent l'objet d'un traitement ;
 déréférencement : une personne peut demander aux moteurs de recherche de ne plus indiquer une
page web associée à son nom et à son prénom ;
-de sécuriser les données (locaux, sécurité informatique, contrôle des personnes habilitées) ;
-de limiter la collecte aux seules données pertinentes et les conserver sur une durée justifiée.

B. Les nouvelles règles vis-à-vis des clients

Le RGPD (Règlement Général sur la Protection des données) crée de nouveaux droits, dont les
principaux sont :
-le droit à la portabilité de ses données : une personne peut récupérer et transférer ses données sans
subir de problème d’interopérabilité qui pourraient la dissuader de changer de prestataire ;
-le droit à notification en cas de piratage de ses données personnelles ;

Thème 4 Comment le numérique transforme-t-il l’environnement des entreprises ?

-le droit d'intenter une action de groupe : des personnes victimes d’une infraction relative à leurs DCP
peuvent agir collectivement en justice via une association ;
-le droit à réparation du dommage matériel ou moral pour les conséquences issues d’un préjudice lié à
un mauvais traitement de leurs DCP (en général une faille de sécurité).

2. Enjeux et règles du numérique dans l’entreprise

A. L’identité numérique de l’entreprise et de ses salariés
L’identité numérique est l’ensemble des éléments sur supports technologiques qui sont relatifs à une
personne réelle. Elle est généralement constituée de ses traces volontaires, involontaires et héritées.
Elle est l’une des composantes majeures de l’e-reputation, qui désigne les éléments de la notoriété
d’une entreprise véhiculés sur des supports en ligne. Cette e-reputation de l’entreprise ne doit pas être
confondue avec l’e-reputation propre à chacun de ses salariés en tant que personnes privées.
L’identité numérique est protégée par le droit : son usurpation en vue de troubler la tranquillité d’une
personne est passible d’un an d’emprisonnement et de 15 000 € d’amende (art. 226-4-1 du Code
pénal).

B. L'obligation de respect de la vie privée des salariés

Le premier principe à respecter ne découle pas du Code du travail mais de l’article 9 du Code civil,
« Chacun a droit au respect de sa vie privée », que la jurisprudence (arrêt Nikon – 2001) applique à la
vie en entreprise. On peut y ajouter deux autres règles du Code du travail :
-tout dispositif de surveillance d’un salarié doit avoir été porté à sa connaissance (article L1222-4) ;
-les atteintes aux libertés individuelles (ex. : s’exprimer sur un réseau social) et collectives d’un
salarié doivent être justifiées et proportionnées (article L1121-1).

3. Les salariés et l’usage du numérique au travail

A. L’usage personnel de l’informatique par les salariés
Un employeur peut surveiller l’activité informatique de ses salariés en les en ayant informés au
préalable, idéalement au moyen d’une charte informatique. Il peut ainsi veiller à ce que les utilisations
personnelles de l’outil informatique demeurent raisonnables (notamment en termes de volume
horaire), ne remettent pas en cause la sécurité du système informatique (pas de téléchargement
potentiellement infecté), ne limitent pas la disponibilité du système informatique pour les besoins
professionnels (pas de stockage trop volumineux ou de captation excessive de la bande passante) et ne
diminuent pas la productivité du salarié (diminution de ses rendements en raison de ses occupations
personnelles).
La consultation du poste informatique du salarié est licite, à l’exception des documents identifiés
comme personnels. Dans ce cas, l’employeur ne peut les consulter qu’en la présence du salarié.

B. La surveillance de l’activité des salariés avec des outils numériques

Les outils numériques peuvent être utilisés pour la surveillance des locaux ou des matériels de
l’entreprise et, dans une certaine mesure, de l’activité des salariés. Ces principaux outils sont les
badgeuses, les solutions de vidéosurveillance et de géolocalisation.
Dans tous les cas, l’employeur doit respecter les règles suivantes :
-consultation des représentants du personnel ;
-licéité de la finalité déclarée puis suivie par la mise en place de cet outil ;
-proportionnalité de l’outil et de son utilisation au but poursuivi (par exemple, lutter contre les vols ne
justifie pas une caméra filmant des comptables à leurs bureaux) ;
-information préalable des salariés de la mise en place et utilisation de ces dispositifs.

2 Chapitre 16 Le numérique dans l’entreprise et la protection des personnes

En cas de manquement à ces obligations, outre les éventuelles infractions commises, l’entreprise se
verrait priver de l’utilisation des informations collectées comme preuve lors d’une action en justice.

Thème 4 Comment le numérique transforme-t-il l’environnement des entreprises ?