« L'implicite » pouvoir de

« L’implicite » pouvoir de surveillance permis par l’IA au sein de l’entreprise. Analyse du traitement juridique des objets connectés



Par Constant RICHARD
Juriste diplômé d’un Master 2 de Droit des différends d’entreprise et du travail, Université-Nice-Côte-d’Azur
Voir le profil LinkedIn

«  Sans cesse le progrès, roue au double engrenage,
fait marcher quelque chose en écrasant quelqu’un
 ».
Victor Hugo. (1)


L’intelligence artificielle (IA) a investi toutes les dimensions de la société. En quelques années seulement, l’IA a introduit des bouleversements technologiques et sociaux considérables.

Elle s’annonce donc comme étant la révolution numérique tant attendue du monde du travail moderne en proposant des nouvelles possibilités qui charmes les dirigeant d’entreprise notamment en ce qu’elle propose de contrôler la production et la performance.
Ainsi, le déploiement des Systèmes d’IA (SIA) relève du pouvoir discrétionnaire de l’employeur. Pour veiller au bon fonctionnement de son entreprise, celui-ci dispose d’un pouvoir de direction, d’un pouvoir règlementaire et d’un pouvoir disciplinaire (2) qui lui permettent de prendre les mesures qu’il juge nécessaires pour diriger l’activité de son entreprise : «  l’employeur est considéré comme le juge de l’opportunité des mesures d’organisation de l’entreprise et de son personnel qui [lui] permettent d’assurer la bonne marche de l’entreprise » . Or, le déploiement d’outils issus de l’IA (3) au sein des entreprises a introduit des évolutions majeures dans les stratégies patronales d’organisation. En effet, l’usage de l’IA transforme les modalités d’exercice du pouvoir de direction de l’employeur, en lui offrant des outils de connaissance et d’ingénierie avancée pour rendre ses prises de décisions plus performantes. Les SIA permettent une analyse plus approfondie, plus rapide et une agilité accrue face aux besoins d’adaptation que nécessite le marché. Dans le domaine des ressources humaines, l’IA pourrait contribuer à l’automatisation et à l’affinement des processus de recrutement, de formation et d’évaluation des performances des salariés, affichant une gestion du personnel plus efficace et personnalisée qui maximiserait ainsi le besoin de rentabilité.
Cependant, cet usage de l’IA soulève des questions juridiques, tout particulièrement en matière de contrôle et de surveillance algorithmique des salariés.
La collecte et l’analyse de données sur le comportement et la productivité des salariés peuvent conduire à l’introduction d’un pouvoir de surveillance en continu, ce qui soulève des inquiétudes sur le droit au respect de la vie privée et même sur la question du gouvernement des conduites. L’IA permet une analyse fine et continue des activités des salariés, offrant ainsi l’opportunité d’optimiser les processus et d’améliorer la performance globale de l’entreprise. Néanmoins, la traçabilité numérique qu’elle suppose ne cesse d’interroger. L’usage d’objets connectés tout comme le recueil et l’analyse de données des salariés peuvent conduire à une intrusion disproportionnée dans leur vie privée ainsi qu’à une potentielle augmentation des pouvoirs de surveillance et contrôle qu’exerce l’employeur. Ce dernier est, grâce à l’IA, en capacité de traiter une quantité considérable de données ce qui peut le conduire à modifier sa façon d’utiliser son pouvoir de direction. L’essor de la surveillance dans le milieu professionnel soulève des préoccupations sur le respect la vie privée des individus.


Géolocalisation des véhicules des salariés : un flicage ? ©DR

Les premiers contentieux sont arrivés des Etats-Unis qui ont une longueur d’avance sur le vieux continent en la matière. Un exemple emblématique est celui d’une salariée de la société pharmaceutique de la firme américaine CVS, qui a intenté une action en justice contre son employeur en mars 2014 (4). Celui-ci exigeait, sous peine d’amende, que les salariés divulguent des informations personnelles telles que leur poids et leur activité sexuelle dans le cadre d’un programme de bien-être. La géolocalisation des véhicules d’entreprise suscite également de vives critiques. Les salariés, qui jouissaient auparavant d’une certaine autonomie dans l’utilisation de leurs véhicules de travail, sont désormais inquiets de la possibilité qu’a leur employeur de surveiller leurs déplacements et même leur façon de conduire.
En France, cette inquiétude a conduit de nombreux techniciens de l’entreprise Xerox à déclencher un mouvement de grève à la fin de l’année 2013 (5). Ils s’opposaient à l’installation de boîtiers dans les véhicules de dépannage, installation qu’ils percevaient comme une forme de surveillance constante, surtout si elle pouvait constituer un fondement pour moduler leurs primes. Les salariés dénonçaient le « flicage  ».
Le recours à l’IA au sein des entreprises déplace ainsi les frontières entre vie professionnelle et vie personnelle.
L’IA rend moins visible cette frontière, ce d’autant plus que les outils numériques sont essentiellement des outils de la vie quotidienne, mobilisés à l’occasion du travail. Ce sont les objets connecté ou internet des objets (IdO ou IoT en anglais). Le déploiement de ces objets technique qui fonctionnent grâce à un algorithme pose inévitablement des défis relatifs à l’hyper-connexion sur le lieu de travail et aux dangers pour la santé et le droit au repos du salarié.

I. La place des objets connectés sur le lieu de travail


Des objets du quotidien.
Les objets connectés sont de plus en plus répandus dans notre quotidien. En 2022, le nombre d’objets connectés dans le monde dépassait le seuil impressionnant d’un milliard. Ces dispositifs, également connus sous le nom d’Internet des objets (IdO en français et IoT en anglais), se distinguent par leur capacité à être interconnectés via des technologies telles que le Wi-Fi, le Bluetooth, ou d’autres protocoles de communication. Cette connexion leur permet d’échanger des données (6). Les montres connectées et les smartphones ont été parmi les premières applications « grand public » de cette technologie émergente au tournant des années 2010.

Un marché grandissant.
Les objets connectés touchent tous les secteurs, qu’il s’agisse de l’industrie ou de la vie quotidienne des consommateurs. En particulier, l’avènement du « smart home » (7) ou de la domotique a révolutionné la gestion domestique en automatisant divers aspects de l’habitat comme la sécurité et la consommation d’énergie. En France, le marché de la domotique a atteint environ trois milliards d’euros en 2023, témoignant d’une expansion rapide (8). Le marché français des objets connectés de façon plus générale est passé de 3.23 milliards de Dollars américains en 2020 à 10.79 milliards de Dollars en 2023 d’après les chiffres du site statista (9), soit une augmentation de plus de 300 %. Cette intégration croissante des objets connectés représente un marché extraordinaire tout en suscitant des préoccupations majeures pour la protection des données et le respect de la vie privée.

Les intérêts professionnels incontestables de l’internet des objets.

©DR

Les objets connectés présentent des intérêts incontestables. Dans le cadre de l’entreprise, l’internet des objets peut utilement concourir à la protection de la santé et de la sécurité des salariés. De plus, cette connexion peut offrir à l’employeur la possibilité de mesurer les performances et ainsi prendre les mesures adéquates afin d’améliorer l’efficience de l’entreprise et l’efficacité des salariés (10).
Par exemple, l’employeur pourrait se fonder sur les données récoltées par un bracelet à capteur de mouvements pour mesurer le nombre de pas réalisé par le salarié, ou encore pour enregistrer les battements cardiaques et la température afin d’évaluer son stress. Un tel objet mesurant le rythme cardiaque et la respiration afin d’en mesurer le bien-être de son utilisateur a été présenté par le Massachusetts Institute of Technology (MIT) en septembre 2016 (11).

L’intérêt de tous.
L’attrait pour ces technologies connectées permettant de contrôler la performance des salariés est grandissant. En 2015, déjà 63 % des firmes américaines avaient recours à ces objets. Les salariés sont majoritairement convaincus que l’utilisation de ces technologies est bénéfique pour eux-mêmes et pour l’entreprise. Ces objets introduisent néanmoins des instruments de mesures biologiques sur les personnes, que l’on nomme « bien-être ». L’approbation des salariés pour ces outils vient du fait que ces technologies sont mises en place en sein de l’entreprise dans le cadre de « programmes de bien-être » ou de « contrôle de la santé du travail ». Ils ne portent jamais les dénominations de « contrôle de la performance personnelle » ou de « réduction des coûts assurantiels ».
En 2014, le géant mondial du pétrole BP a choisi, pour mettre en place son « programme de bien-être », de doter 25 000 salariés de bracelets à capteur de mouvements connectés de la marque « FitBits » afin de lutter contre l’obésité. Peu après, les entreprises eBay, Time Warner Inc., Autodesk Inc., et Yahoo ont également succombé à cette tendance (12). Selon Mourad Slitni (13), consultant pour un cabinet de conseil en stratégie, ces mesures visent avant tout à améliorer la qualité de vie au travail, le sentiment d’appartenance à l’entreprise et à prévenir les risques psychosociaux. Ces programmes seraient donc installés au double bénéfice du salarié et de l’employeur. D’ailleurs, selon une étude PwC, 77 % des salariés estiment que les objets connectés amélioreront leur productivité (14).

L’exemple français.
L’installation de ces programmes et l’utilisation de ces objets n’est pas propre aux grands groupes américains. En France aussi, certaines entreprises utilisent ces nouveaux outils. Par exemple, la start Up Jooxter propose à ses salariés l’utilisation de capteurs de chaleur connectés en Bluetooth et reliés en temps réel à une application disponible pour tous les salariés de la structure. Un algorithme analyse la chaleur des pièces et évalue le nombre de salariés présents. (15) Même si cette application est offerte par l’employeur pour répondre aux besoins de chacun durant les temps de pause, donnant aux introvertis l’opportunité de fuir leurs collègues et aux extrovertis l’inverse, elle permet aussi à l’employeur de savoir où se trouvent ses salariés.

Gain de temps et gain de productivité.
Les objets connectés sont pour les entreprises un investissement qui a pour but d’augmenter les performances des salariés. La novlangue du monde du travail évoque la création d’un « salarié augmenté  », notion qui désigne le salarié qui utilise différentes ressources numériques (objets connectés, algorithmes, IA…) pour l’aider dans ses tâches et ainsi augmenter son efficacité. L’employeur offre ainsi aux salariés des objets coûteux qui ont pour but d’améliorer leur bien-être au travail et leur productivité.
La volonté des employeurs d’augmenter la performance de leurs salariés et le goût des salariés pour les nouvelles technologies expliquent pleinement pourquoi ces objets de contrôle interconnectés ont considérablement investi le milieu de l’entreprise après avoir colonisé peu à peu notre quotidien.

II. Les nouvelles techniques de contrôle des performances du salarié


Au coeur des considérations du contrôle patronal, la performance des salariés s’avère être la donnée la plus utile à surveiller pour l’économie de l’entreprise (A). L’avènement de pratiques nouvelles utilisant des algorithmes à des fins de gestion du personnel est néanmoins discutable. La pratique du BYOD (Bring your own device – « amène ton propre matériel ») semble en effet particulièrement problématique (B).

A. La performance du salarié

La performance du salarié se prête parfaitement à la mesure algorithmique : elle peut être (souvent) chiffrée et traitée à l’aide des objets connectés. Pour l’employeur désireux de collecter de la data sur la performance de ses salariés, la pratique du « quantified self  » – « quantification de soi » présente de nombreux avantages (a). Ces mesures présentent notamment l’intérêt de mesurer la santé des salariés (b). Des dispositifs juridiques existent pour limiter le recueil même de certains données (c).

a. La pratique du « quantified self »

Quantifier.

La récolte de mesures biologiques sur les personnes en entreprise sont rendues possibles par les objets connectés ©DR

La pratique du « quantified self  » trouve son origine en Californie en 2007 et a été élaborée pour le secteur de la médecine (16). Elle se réfère à la volonté de mesurer et d’analyser des données physiologiques liées au corps et à son activité. Cette pratique suppose d’avoir recours à des objets connectés ainsi qu’à des algorithmes pour enregistrer et analyser des informations corporelles : bracelets, podomètres, montres connectées et applications mobiles en sont les outils principaux. Il s’agit d’enregistrer des mesures qui sont en rapport avec l’état de santé général de l’utilisateur, en relevant par exemple son poids, sa tension artérielle, les calories qu’il a brûlées, le nombre de pas qu’il a effectué, ou encore son rythme cardiaque. Les données ainsi recueillies sont très souvent publiées sur les réseaux sociaux par les utilisateurs eux-mêmes qui sont invités à obtenir des conseils, voire des encouragements en fonction de leurs résultats (17).
Cette pratique « d’autoévaluation » de ces données ne se restreint pas aux informations de santé. Depuis 2009 Allianz, Direct Assurance et Axa, proposent par exemple aux assurés un contrat fondé sur le principe « pay as you drive », « paye comme tu conduis ». Les assurés acceptent ainsi un système algorithmique embarqué dans leur véhicule qui analyse leur conduite en permanence pour obtenir des réductions (18).

Quantifier le bien-être en entreprise.
L’Internet des objets (« IoT » en anglais et « IdO » en français) au sein des entreprises est en train de bouleverser le monde du travail. « L’IdO semble d’ailleurs prêt à passer à l’usage courant dans bien des secteurs. Le nombre d’entreprises qui utilisent les technologies de l’IdO est passé de 13 % en 2014 à plus de 25 % aujourd’hui. D’ailleurs, le nombre mondial d’appareils connectés à l’IdO devrait passer à 43 milliards d’ici 2023, soit presque 3 fois plus qu’en 2018 » (19).
Avec plus de deux-cents utilisations possibles, les objets connectés ont déjà démontré un intérêt certain. En entreprise cette technique se montre particulièrement utile en ce qu’il s’agit de mesurer la pénibilité du travail. En application du Code du travail (20), l’employeur est tenu de respecter une obligation générale de sécurité. Il lui incombe ainsi d’évaluer et d’anticiper tous les risques professionnels auxquels ses salariés pourraient être exposés. En cas d’insuffisance des mesures de prévention, certains risques peuvent porter atteinte à la santé des salariés. Et surtout, si l’employeur a connaissance de ce type de risques, il est tenu de prendre des mesures. L’application de l’algorithme et le recours à un SIA permettent également de mesurer le respect des seuils d’exposition réglementaires à certains facteurs de risques tout comme de prévoir des dispositifs de compensation en faveur des salariés concernés (21).

L’humain « augmenté ».

©DR

Selon la littérature, « on retrouve une partie de la même philosophie transhumaniste dans le mouvement Quantified Self. Si les pratiques visent d’abord une meilleure « connaissance de soi », on bascule, en effet, assez aisément dans une logique d’augmentation, d’amélioration de l’Homme » (22). Les capteurs gérés par les algorithmes transforment le réel en données : ils mettent en forme numérique les informations personnelles de leur utilisateur. L’algorithme a même la capacité d’émettre des recommandations et de fixer des objectifs à atteindre.
Si ces capteurs sont pour l’instant placés en dehors du corps humain, rien n’assure qu’il en sera pareil dans un futur proche. L’implantation des puces cérébrales n’est plus un fantasme orwellien. Dans un article relatif au transhumanisme, l’auteur considère que «  les objets connectés ne sont, en réalité, rien d’autre que de nouveaux yeux et de nouvelles oreilles ou, a minima, des extensions des sens et des organes, tandis que les données collectées sont perçues comme de nouvelles sources de connaissance. Quant aux conditions de leur exploitation, elles reposeront surtout sur de l’intelligence artificielle » (23). Sur un plan plus philosophique, on remarque que le machinisme est en réalité tout aussi voire plus important que la machine elle-même dans la mise en place de ces pratiques.

Les risques du « quantified self  » en entreprise.
Dans le contexte de l’entreprise, le « Quantified self  » peut renforcer l’esprit d’équipe et le sentiment d’appartenance à la structure organisationnelle. Cependant, cette pratique soulève des préoccupations importantes en matière de sécurité et de confidentialité des données, notamment en ce qui concerne le respect des recommandations de la CNIL. Elle recommande en effet d’utiliser un pseudonyme si des données personnelles sont partagées ; de ne pas automatiser le partage d’information vers d’autres services ; de ne publier les informations que parmi un cercle restreint de confiance ; d’effacer les données qui ne sont plus utilisées. Néanmoins, dans le cadre professionnel, les salariés peuvent être amenés à ne pas respecter ces principes. Ils peuvent être conduits à ne pas utiliser de pseudonymes, à partager de façon automatisée leurs données et à ne pas restreindre le cercle de diffusion. Enfin, il peut leur être difficile d’effacer ces données une fois qu’elles ont été communiquées (24).
Ainsi, bien que le « quantified-self  » offre des possibilités d’amélioration de la connaissance de soi, son intégration dans le milieu professionnel nécessite une réflexion approfondie en matière de confidentialité et de respect de la vie privée des salariés. « We shall not lay hand upon thee ». « Nous ne lèverons pas la main sur toi  » : telle était la promesse de la Magna Carta en 1215, qui énonçait le principe du respect du corps humain, l’Habeas Corpus. Alors que la révolution technologique a ouvert un nouvel horizon de possibles, ce principe est toujours d’actualité. Face aux transhumanistes, (25) se dresse une doctrine de défenseurs de l’intégrité du corps humain. Pour cette doctrine, l’Habeas Corpus concernerait aussi chaque donnée issue du corps humain, donnée qui participerait de l’intégrité physique et mentale de chacun. « C’est là un nouveau concept global de l’individu, et sa traduction dans la réalité donne le droit de revendiquer le respect total d’un corps qui, aujourd’hui, est à la fois physique et électronique » (26). Les textes règlementaires ont donc pour intérêt de créer un véritable « Habeas Data » devenant une « composante inaliénable de notre civilisation  » (27).

b. La question du contrôle de la santé des salariés

Des dispositifs liés à la performance collective et au « bien-être ».

La collecte de données de santé des salariés via les objets connectés pose des questions juridiques ©DR

Le recours à l’IA pour assurer une mesure et un contrôle de la santé des salariés est une opportunité certaine pour améliorer le bien-être physique et mental des salariés sur leur lieu de travail. L’intégration croissante des programmes de bien-être au sein des entreprises repose sur l’idée que l’amélioration de l’activité physique des salariés peut avoir un effet positif sur la productivité, pour réduire le taux d’absentéisme, et même un effet bénéfique pour le moral. Ces dispositifs favoriseraient une « compétition saine et amicale  » entre collègues dès lors qu’ils améliorent le bien-être de chacun. Il reste néanmoins à observer que ces dispositifs se déploient de façon standardisée à l’adresse de tous les salariés sans distinction. Il n’y a guère de possibilités d’individualisation des outils. Le bien-être est saisi pour le groupe de salariés, dans un cadre collectif. Or, si l’augmentation du nombre de pas peut bénéficier à certains salariés, elle peut ne pas convenir à tous (28). Ces dispositifs standardisés d’amélioration de la performance collective remettent en question la conception traditionnelle de la productivité qui est normalement individuelle et conçue à partir des résultats fournis par chaque salarié.

La place de la volonté.
Ces dispositifs de bien-être paraissent très peu intrusifs. Ils ne sont pas construits sur la contrainte mais sur une logique « gagnant-gagnant ». Les salariés ne sont pas obligés de les utiliser, même s’ils y sont fortement incités. Certains auteurs évoquent l’idée de la mise en place une « soft surveillance ». Pour Gary T. Marx (29), chercheur au MIT, les avancées technologiques numériques ont permis une mutation des mécanismes de contrôle vers un « volontarisme contraint  ».
À la différence d’une surveillance coercitive, ces dispositifs cherchent à obtenir une forme de coopération volontaire des participants en « incitant » les individus à s’y soumettre sous peine d’être perçus comme ayant quelque chose à cacher. C’est la peur de l’écart du salarié avec le comportement du groupe qui expliquerait l’adhésion du salarié. On serait face à une « obligation tacite  » liée à l’appartenance à un groupe. Cette possibilité de connaitre le comportement du groupe est d’ailleurs déjà proposée par certains outils d’IA. Il existe la possibilité de mettre en place des capteurs intégrés aux badges des salariés pour collecter en permanence des données relationnelles telles que les interactions entre collègues et la fréquence des pauses (30). L’introduction de ce type d’outil est souvent justifiée par le désir qu’à l’employeur de comprendre les dynamiques de groupe au sein de l’entreprise. Les salariés sont souvent conduits à adhérer à ce type de dispositif car ils reçoivent des « incitations » (31). Une enquête publiée par l’institut Data & Society montre que l’argument financier reste le plus attrayant (32). Aux États-Unis, il arrive que ces incitations financières prennent par exemple la forme de remises sur les primes d’assurance santé, ce qui ne serait pas envisageable en France. Cependant, ici aussi, s’observent des initiatives telles que le jeu-concours qui a été lancé par Axa, dans lequel les assurés étaient récompensés par des bracelets connectés pour atteindre leurs objectifs de marche. Ces programmes de bien-être au travail fondés sur l’adhésion « volontaire  » des salariés autorisent la collecte et le traitement de données relatives à la santé des salariés. Ce cas illustre la manière dont la surveillance au travail est intégrée dans des programmes de bien-être sous prétexte de bénéfices mutuels (33).

Des économies notables qui intéressent l’employeur.

©DR

En 2013, l’entreprise américaine Appirio, spécialisée dans les solutions informatiques en nuage, a lancé un programme de « bien-être » auprès de ses salariés dans le but de réduire les coûts de sa couverture santé. Pour ce faire, elle a déployé des objets connectés et a fourni aux salariés volontaires des bracelets enregistreurs d’activité physique pour les inciter à adopter des habitudes de vie plus saines. Les résultats de cette initiative ont été remarquables : un an plus tard, l’entreprise annonçait avoir réalisé des économies substantielles, réduisant ainsi ses frais de mutuelle de 5%, ce qui représente près de 300 000 dollars (34). «  La compagnie d’assurance Aetna, basée dans le Connecticut, propose quant à elle de payer jusqu’à cinq cents dollars de prime annuelle à ses employés qui enchaînent au moins vingt nuits de sept heures de sommeil minimum, ce qu’elle peut vérifier grâce aux bracelets connectés que ses salariés acceptent de porter » (35).
Appirio n’est pas un cas isolé dans cette démarche de réduction des couts assurantiels aux USA. En effet, d’autres entreprises telles que Yahoo, BP et eBay ont également opté pour des pratiques similaires. Par exemple, Yahoo a fourni des bracelets Jawbone à 11 000 de ses salariés en 2013. De même, Houston Methodist, une chaîne d’hôpitaux, a distribué 6 000 bracelets à ses salariés pour les encourager à augmenter leur activité physique en leur offrant la possibilité de gagner un chèque de 10 000 dollars s’ils dépassaient les performances des cadres de l’entreprise. Selon le PDG de Fitbit, qui est une entreprise spécialisée dans les bracelets connectés, les programmes de bien-être seraient en cours de déploiement auprès de trente entreprises figurant dans le classement Fortune 500 (classement qui recense les plus grandes entreprises américaines).

Un traitement algorithmique d’aide à la décision.
Il est à noter que les informations collectées par ces objets connectés sont traitées par des algorithmes, et permettent à l’employeur d’analyser les données de bien-être des salariés. Cette analyse lui offre une meilleure compréhension des habitudes de vie de ses salariés.

Le cas de l’Europe.
Outre les États-Unis, cette tendance se manifeste également en Europe. Une compagnie d’assurance allemande a ainsi instauré, à partir du 1er juillet 2016, un système de prévoyance axé sur le comportement. Ce système consiste à évaluer initialement la santé des assurés et à leur fixer des objectifs de santé, tels que la pratique régulière de la marche, la participation à des consultations médicales préventives ou encore l’achat de produits d’alimentation dans des magasins proposant des produits biologiques. Les objets connectés sont utilisés pour vérifier la réalisation de ces objectifs. En cas de succès, les assurés accumulent des points qu’ils peuvent échanger contre des bons d’achat, ainsi qu’une réduction de leur prime d’assurance (36).

En France, Harmonie Mutuelle a lancé, à partir de février 2015, un nouveau service de prévention destiné aux salariés qui bénéficient d’un contrat collectif d’entreprise. Ce service, appelé Betterise, est accessible via un site Internet et une application mobile dans un but de prévention des risques de santé . L’application propose (37) un « coach » numérique pour aider l’assuré à avoir une bonne hygiène de vie et un bon niveau de bien-être physique.

Le développement de ces produits en France.
L’introduction en 2013 d’une couverture obligatoire en matière d’assurance santé au sein des entreprises est aujourd’hui propice au déploiement d’offres de bien-être. Ces offres sont souvent proposées par les assureurs dans un souci de se différencier de leurs concurrents. Elles peuvent porter sur le bien-être des salariés mais aussi sur certains risques professionnels bien identifiés dans certaines professions. AG2R par exemple a construit un programme spécifique de prévention de la carie du boulanger qui est un risque majeur en raison de leur exposition à la farine de blé. Ces programmes sont pour l’instant « offerts » aux employeurs dans le cadre de la souscription globale d’un contrat collectif d’assurance santé complémentaire. Les salariés peuvent y participer mais n’y sont pas obligés. Se posent néanmoins la question fondamentale de la protection des données transmises par les salariés ainsi que de leur information éclairée lors de leur adhésion à ces programmes. La CNIL reconnaît le risque de l’émergence de nouvelles formes de discrimination et prend cette situation très au sérieux (38). Elle évoque notamment le scénario selon lequel une assurance santé ou une mutuelle pourrait conditionner l’obtention d’un tarif avantageux à la réalisation d’un certain nombre d’activités physiques, avec des données l’appui. Dans les années à venir, les individus pourraient être contraints de fournir des preuves de comportements sains, sur le modèle de l’« usage-based insurance » - « assurance basée sur l’utilisation » (39).

c. L’utilisation des données des salariés

Le traitement algorithmique des données des salariés fait l’objet d’un encadrement juridique. Le droit n’a pas pour autant fait du traitement algorithmique un objet en tant que tel. C’est par la détermination du type de données récoltées (finalité) que le droit peut être mobilisé.

La mobilisation de l’obligation de sécurité et du pouvoir de direction. Lorsque la finalité de la collecte de données, répond à un objectif de préservation de la sécurité au travail ou la mesure de la performance du salarié, l’employeur peut légitimement demander au salarié d’utiliser ces dispositifs. Il le peut sur le fondement de son obligation de sécurité de résultat, qui lui impose de prendre toutes les mesures nécessaires pour garantir la sécurité et protéger la santé physique et mentale des travailleurs, en application de l’article L. 4121-1 du Code du travail. Ensuite, il le peut aussi au titre du pouvoir de direction (40) dont il dispose pour organiser son entreprise et ainsi fixer des règles de vie collective.

Les données relatives à la santé et la place centrale du médecin du travail. Lorsque l’objet connecté a pour objectif de collecter des informations sur la santé du salarié ou d’évaluer son aptitude, son utilisation doit être réservée au médecin du travail (41). En effet, la mission principale du médecin du travail est de prévenir toute altération de la santé des salariés liée à leur travail et de recommander les mesures nécessaires pour éviter ou réduire les risques professionnels (42). Ce dernier est le seul habilité à recueillir des informations sur l’état de santé du salarié (43).
Le médecin du travail pourrait-il conditionner l’aptitude du salarié à exercer certaines fonctions à son acceptation de porter un objet connecté ? Bien que cette hypothèse soulève des débats, elle semble difficilement acceptable. L’obligation faite par le médecin de porter un objet connecté constituerait un risque supplémentaire pour l’emploi du salarié, même si cette mesure vise, en théorie, à protéger sa santé. De plus, avec l’essor de l’IA, les informations collectées par l’objet connecté doté d’un SIA pourraient permettre au médecin de prendre des décisions concernant le salarié, ce qui pose à nouveau la question de la décision algorithmique.

Distinguer les données.
Une difficulté subsiste pour l’employeur quant à la distinction entre une donnée de performance et une donnée de santé, car la santé influe nécessairement sur la performance, et réciproquement. Par conséquent, à travers la surveillance de la performance du salarié, l’employeur pourrait obtenir des informations sur l’état de santé du travailleur (44).
Or, il est essentiel de prêter attention à l’article 9 du Code civil qui assure le respect de la vie privée et L. 1132-1 du Code du travail(45), qui interdit toute discrimination (46), directe ou indirecte, en raison de l’état de santé du salarié. En outre, s’ajoutent à ces énoncés, des règles sur la sélection des assurés par les organismes assureurs dans le cadre de la souscription collective de contrat de prévoyance (articles 2 et 3 de la loi Évin du 31 décembre 1989) (47). En application de ces textes, la collecte par l’employeur de données relatives à la santé des salariés n’est pas possible. Autre chose en revanche, est la transmission d’informations par le salarié lui-même qui, par le bais d’un incitant, accepterait que des données relatives à sa santé soit collectée. Pour l’instant, l’usage de ces données n’est pas autorisé, ni pour l’employeur, ni pour l’assureur.
Le législateur a également commencé à reconnaître le droit à la déconnexion dans le cadre de la loi « travail » du 8 août 2016. Ce droit pourrait être essentiel pour empêcher la collecte de données par l’intermédiaire d’objets connectés, ce en dehors du temps de travail.

La construction du droit à la déconnexion.

©DR

Avec la loi « Travail » en date du 8 août 2016, le législateur a montré qu’il avait conscience du développement des nouvelles technologies dans la sphère de l’entreprise. Aussi a-t-il fait le choix d’énoncer un « droit à la déconnexion » (48).
Initialement pensé pour que les salariés n’aient pas à répondre aux téléphones et aux emails pendant leur temps de repos, ce droit peut trouver à s’appliquer pour interdire à l’employeur d’imposer à ses salariés l’usage d’objets connectés en dehors du temps de travail (49).
Cependant, nombreux sont les auteurs (50) qui notent que ce « droit à la déconnexion » n’est pas pleinement consacré  : «  le droit à la déconnexion présente un caractère ambivalent, dans la mesure où il ne peut se réduire à un balancement sémantique « droit à » (au bénéfice du salarié) et « devoir de » (obligation à la charge de l’employeur). En effet, le droit au bénéfice de mesures de déconnexion est associé, pour les salariés, à des obligations (« devoir de ») puisque la discipline face à l’usage des outils numérique doit venir aussi des salariés eux-mêmes  » (51). De plus, l’employeur a seulement à charge de négocier les modalités de la mise en oeuvre de la pratique algorithmique avec les représentants du personnel lors de la négociation collective annuelle sur l’égalité professionnelle entre les femmes et les hommes et la qualité de vie au travail (52).

Objets connectés et droit à la déconnexion.

Les questions liées à la déconnexion, au droit à la déconnexion et à l’utilisation des appareils connectés demeurent également des sujets de litiges récurrents que la CNIL répertorie chaque année. ©DR

Le droit à la déconnexion semble être un outil de régulation mobilisable pour encadrer l’utilisation des objets connectés. Néanmoins, même si ce droit a été pensé dans une logique défensive pour dissocier le temps de repos du temps de travail, l’absence de définition explicite du droit à « déconnexion » (53) permet d’imaginer son éventuelle mobilisation dans le cadre du déploiement des objets connectés au sein des entreprises. Cela dépendra de ce qui aura été négocié dans les accords collectifs. En effet, le droit à la déconnexion s’inscrit dans le cadre de la négociation annuelle obligatoire sur l’égalité professionnelle entre les femmes et les hommes et la qualité de vie au travail.

L’article L. 2242-8 du Code du travail, prévoit que la négociation porte sur «  les modalités du plein exercice par le salarié de son droit à la déconnexion » ainsi que sur « la mise en place par l’entreprise de dispositifs de régulation de l’utilisation des outils numériques, en vue d’assurer le respect des temps de repos et de congé ainsi que de la vie personnelle et familiale ». En l’absence d’accord, « l’employeur élabore une charte, après avis du CSE ou, à défaut, des délégués du personnel », définissant « les modalités de l’exercice du droit à la déconnexion » et prévoyant «  la mise en oeuvre, à destination des salariés et du personnel d’encadrement et de direction, d’actions de formation et de sensibilisation à un usage raisonnable des outils numériques ». L’analyse des accords conclus dans les entreprises montrent la grande variété des stipulations allant de l’incitation à la coercition. Ainsi l’accord Orange du 27 septembre 2016 pose les « principes du droit à la déconnexion » et recommande aux salariés «  pour prévenir les risques psychosociaux ou ne pas engendrer d’injonction paradoxale […] de ne pas utiliser leur messagerie électronique ou d’autres outils de communication pendant les périodes de repos quotidien et hebdomadaire et de congés, afin de garantir le respect de celles-ci  » (54). D’autres accords concentrent leurs efforts sur l’autonomie du salarié et son droit au refus. Ces disparités dans les accords collectifs montrent que c’est la nature même du droit à la déconnexion qui n’est pas tranchée. Est-ce un droit qui exprime un pouvoir de résistance du salarié (accepter ou refuser) ou est-ce un droit dont le salarié peut discuter les modalités de mise en oeuvre (en discutant les règles d’usage, le dispositif choisi etc.).

B. La pratique du « BYOD »

Lieu de travail et appareils personnels.
La pratique du BYOD (Bring Your Own Device), consiste pour les salariés à utiliser leurs propres appareils au travail. Elle peut avoir des répercussions complexes. De manière générale, cet usage peut affecter les droits au respect de la vie privée des autres salariés car certains objets connectés peuvent compromettre la confidentialité des données relatives aux salariés mais aussi de l’entreprise. Cette pratique représente un risque potentiel pour la cybersécurité de l’entreprise, car ces appareils peuvent introduire des vulnérabilités dans le réseau de l’entreprise et exposer ainsi les données des clients et les informations sensibles à des attaques. (55) Les Chatbots basés sur la technologie GPT en ligne peuvent par exemple garder les informations des anciennes discussions. Le cas du salarié qui, sur son ordinateur personnel, ferait analyser des données plus ou moins confidentielles ou sensibles de l’entreprise par une IA connectée pourrait mettre en danger la sécurité des données de toute l’entreprise.

Les employeurs peuvent-ils interdire l’utilisation d’objets connectés personnels à leurs salariés ?
L’article L. 1121-1 du Code du travail (56) dispose que « toute restriction aux droits des salariés doit être justifiée par la nature de la tâche à accomplir et proportionnée au but recherché  ». Certains employeurs pourraient donc invoquer le secret des affaires ou la protection d’informations confidentielles pour justifier l’adoption de ces interdictions ou énoncer des règles plus strictes d’utilisation dans leur règlement intérieur. Une cybersécurité en question. Les objets connectés peuvent présenter des risques en termes de sécurité pour l’entreprise. Les logiciels embarqués dans ces appareils peuvent contenir des vulnérabilités ou des défauts de configuration qui pourraient être exploités par des attaquants. Les dispositifs de filtrage ou de brouillage des objets connectés des salariés sont même interdits par l’article L. 33-3-1 du Code des postes et communications électroniques (57). De plus, « les logiciels embarqués dans ces objets [connectés] peuvent contenir des vulnérabilités, ou présenter des défauts de configuration permettant d’en prendre le contrôle. Si ces objets sont connectés directement sur Internet, ils peuvent représenter des cibles faciles pour des attaquants qui pourront les utiliser [...] comme vecteur d’attaque » (58).
La CNIL s’est inquiétée de ces questions de cybersécurité et a appelé le législateur à construire un cadre juridique adapté (59). Certaines entreprises, telle qu’Orange, ont adopté le BYOD mais elles imposent des mesures de sécurité strictes, comme le « Mobile Device Management  » , pour protéger les données sensibles (60) de l’entreprise. De nombreux défis attendent les entreprises sur ce point pour maintenir une politique de sécurité et d’usage des différents terminaux qui peuvent être utilisés par les salariés.

III. Le difficile encadrement de cette surveillance par la CNIL (61).


L’employeur qui déploiement de telles technologies devra néanmoins resté vigilant à la règlementation en vigueur sur la collecte, le traitement et le traçage des données personnelles des salariés, le RGPD. En France, la CNIL est l’organisme qui contrôle la licéité du recueil et du traitement des données, notamment celles qui portent sur les salariés eux-mêmes.
En 2022, l’autorité administrative indépendante a reçu un nombre total de 19 610 demandes émanant de personnes qui entendaient signaler des manquements à la réglementation sur la protection des données personnelles ou qui demandaient à exercer leurs droits d’accès et de rectification sur des fichiers gérés par l’administration. Parmi ces demandes, seulement 663 plaintes ont été déposées par des salariés affirmant être soumis à des mesures de surveillances illégales au regard du RGPD ou en application de la loi Informatique et Libertés.
Ce sont principalement les dispositifs de vidéosurveillance qui font l’objet de la majorité des plaintes déposées à l’encontre des organisations (522 plaintes recensées). Les questions liées à la déconnexion, au droit à la déconnexion et à l’utilisation des appareils connectés demeurent également des sujets de litiges récurrents que la CNIL répertorie chaque année.
En ce qui concerne le contrôle du télétravail, pratique qui a considérablement augmentée depuis la pandémie mondiale, la CNIL a effectué 345 contrôles au cours de l’année 2022. Bien que ce nombre soit légèrement inférieur à celui de l’année précédente, l’activité de contrôle est restée intense. Les contrôles sur site ont été privilégiés, représentant 41 % des contrôles réalisés, suivis de près par les contrôles en ligne de sites web ou d’applications mobiles, qui ont représenté 37 % des contrôles.

Les activités du salarié en télétravail peuvent être surveillées par l’employeur dans des règles strictes que la CNIL peut contrôler ©DR

Les outils de surveillance utilisés dans le cadre du télétravail ont été particulièrement scrutés car ils constituent une priorité de la CNIL depuis le début de la pandémie aux côtés de l’utilisation du cloud. Bien que le nombre de plaintes dans ce domaine ait été faible, la commission a identifié trois logiciels problématiques en matière de surveillance des salariés.
Dans certains cas, ces logiciels étaient utilisés pour mesurer le temps de travail sans intention réelle de surveillance de la part de l’employeur. Dans d’autres situations, elle a approfondi ses enquêtes pour prouver le caractère délibéré de la surveillance, notamment lorsque des enregistrements des postes de travail ou des activités en ligne des salariés étaient réalisés à leur insu, ce qu’elle a jugé illégal.
Les chiffres prouvent un manque d’information des salariés sur le droit applicable et leur protection juridique : 43 % des contrôles qui ont été réalisés l’ont été à la suite d’une plainte et 47 % à l‘initiative de la CNIL. Même si en 2022 en France, 31 757 DPO ont été engagés, (soit une augmentation de 10 % par rapport à l’année précédente), devenus essentiels depuis l’entrée en vigueur du RGPD en 2018, la profession souffre cependant d’une formation de faible qualité. « Un tiers des DPO n’a suivi aucune formation Informatique et Libertés ou RGPD depuis 2016 alors même qu’un nombre croissant d’entre eux ne sont ni juristes, ni informaticiens  » (62). Les DPO en sont bien conscients. 75 % d’entre eux expriment même un besoin de formation. De plus, l’arrivée particulièrement rapide de l’IA dans le monde du travail exacerbe ce besoin de formation. Puisque l’IA se fonde avant tout sur une technologie algorithmique de traitement de la donnée, les DPO doivent maîtriser les connaissances nécessaires pour détecter le non-respect des règles en vigueur et agir en conséquence. Encore faut-il qu’ils en aient connaissance. Pour remédier à cette situation et faciliter le choix des organismes de formation, la CNIL a annoncé la mise en place d’un mécanisme de certification visant à attester de la qualité des formations relatives à la protection des données. Ce processus est en cours de déploiement auprès des professionnels depuis novembre 2022. Les premiers certificats ont été délivrés au cours du premier semestre 2023, accompagnés de la publication de la liste des prestataires certifiés.

L’accompagnement des professionnels.
En 2022, la CNIL a poursuivi le développement de ses outils d’accompagnement pour les professionnels sur le terrain. Guides, foires aux questions, questionnaires d’auto-évaluation et fiches pratiques. Ces documents ne revêtent aucun caractère contraignant. Dans cette optique, la CNIL a élaboré et publié début 2023 deux guides RGPD, l’un destiné aux recruteurs et l’autre adressé aux organisations syndicales de salariés.
En plus de ces guides, d’autres outils ont été développés, tels qu’une fiche dédiée aux TPE/PME, un questionnaire d’autoévaluation sur le RGPD, une fiche pratique à l’intention des candidats à un processus de recrutement, ainsi que deux vidéos destinées aux candidats et aux TPE. De plus, une foire aux questions sur les élections professionnelles a été publiée en octobre 2022.

Références de l’article

1 HUGO V., Les Contemplations (Voyage de nuit, XIX), 1856.
2 MORON-PUECH B., L’acte juridique, une réponse à la crise du contrat, [Thèse de Droit. Paris II - Panthéon- Assas, 2017], LGDJ, coll. thèses, 2020, p. 266, §289.
3 HUTTNER L., La décision de l’algorithme Étude de droit privé sur les relations entre l’humain et la machine., [Thèse Droit : Paris I – Panthéon-Sorbonne, 2022], p. 65, §67.
4 BERMAN J. et STUART H., « CVS Sued Over Controversial Wellness Program », sur Le Huffpost, mis en ligne le 20 Mars 2014
5 GAZZANE H.« Les techniciens de Xerox France en grève illimitée », sur Le Figaro, mis en ligne le 4 décembre 2013
6 GAUTIER M., « Les objets connectés : Faits et Chiffres », sur Statista, mis en ligne le 13 déc. 2023
7 Comme « GoogleHome » de Google ou « Alexia » d’Amazon.
8 GAUTIER M., « Les objets connectés… », op. cit.
9 SUJAY VAILSHERY L.,« Consumer IoT market size in Europe from 2020 to 2022, with a forecast up to 2030, by country », sur Statista, mis en ligne le 14 septembre 2023
10 MARTINIERE R., « Les droits des salariés confrontés aux objets connectés de santé », in. NICOLAS G. (dir.), La santé connectée et “ son ” droit, approches de droit européen et de droit français, PUAM, 2017.
11 C. ABOU EL KHAIR C., « Le mal-être dépisté par la machine », Liaisons sociales magazine, n° 176, 4 nov. 2016.
12 CONGE P., « Objets connectés : le péril orwellien du travailleur de demain », Marianne, 7 juin 2015.
13 Ibidem.
14 « L’Internet des objets va améliorer la productivité, selon 77% des salariés », sur JDN, mis en ligne le 5 mai 2015
15 CONGE P., « Objets connectés : le péril orwellien… », op. cit.
16 DAGIRAL E., LICOPE C., MARTIN O., PHARABOD A.-S., « The Quantified Self in question(s) : A review
of the social science literature », Réseaux, n° 216, issue 4, 2019, pp. 17-54.
17 « Quantified self », sur CNIL Particulier, s. d.,
18 DURAND E.,« Axa se lance dans le "pay as you drive" pour les particuliers », sur L’Argus de l’assurance, mis en ligne le 10 juillet 2009, ; PECQUEUX L., « Les nouvelles attentes clients bousculent le secteur, et ce n’est qu’un début », sur L’Argus de l’assurance, mis en ligne le 29 mars 2021
19 DAHLQVIST F., PATEL M., RAJKO A., et SHULMAN J., « Growing opportunities in the Internet of Things, McKinsey & Company », [rapport d’étude], sur McKinsey & Company, mis en ligne le 22 juillet 2019
20 C. trav., art. L. 4121-1 à L. 4121-5.
21 Pénibilité au travail, démarches de prévention, [dossier], INRS, juillet 2022
22 ALEXANDRE L., « Le projet transhumaniste : l’homme capté, augmenté… idéal ? », in. ALEXANDRE L., ALLARD L., BENHAMOU B., (et al.), Le corps, nouvel objet connecté – Du quantified-self à la m-santé : les nouveaux territoires de la mise en données du monde, Cahiers IP, innovation & prospective, n°2, CNIL, mai 2014, pp. 38-41.
23 Ibidem.
24 CNIL, « le quantified-self, c’est quoi ? », sur CNIL.fr, s. d.
25 C. civ., art. 16 : « La loi assure la primauté de la personne, interdit toute atteinte à la dignité de celle-ci et garantit le respect de l’être humain dès le commencement de sa vie » ; art. 16-1 à 16-9.
26 ALEXANDRE L., ALLARD L., BENHAMOU B., (et al.), Le corps, nouvel objet connecté – Du quantifiedself
à la m-santé : les nouveaux territoires de la mise en données du monde, Cahiers IP, innovation & prospective, n°2, CNIL, mai 2014, p. 52.
27 Ibidem.
28 GUILLAUD H., « Vers l’employé quantifié ? », sur Internetactu.net, mis en ligne le 14 oct. 2014
29 MARX G. T., « Soft Surveillance : The Growth of Mandatory Volunteerism in Collecting Personal Information —« Hey Buddy Can You Spare a DNA ? », Dissent Magazine, Winter 2005.
30 SILVERMAN R. E., « Tracking Sensors Invade the Workplace Devices on Workers, Furniture Offer Clues for Boosting Productivity », The wall street journal, 7 mars 2013
31 VION-DURY P.,« Big Boss is watching you : votre patron va adorer les objets connectés », sur Slate, mis en ligne le 19 fév. 2015
32 ROSENBLAT A., KNEESE T. et BOYD D., « Workplace Surveillance », Data & Society Working Paper, 8 octobre 2014.
33 Ibidem.
34 Ibidem.
35 CHAMPEAU G., « Avec leur Fitbit, des employés sont payés plus s’ils dorment bien la nuit », sur Numérama, mis en ligne le 11 avril 2016
36 BLOCH L., « Big assureur is watching you – alerte n°21 », Responsabilité civile et assurances, n° 9, sept. 2016.
37 FOUCHER B., « E-santé dans l’entreprise, terrain glissant », Liaisons sociales magazine, n° 163, juin 2015 ; LARFOUILLOUX J., « E-santé : de nouveaux enjeux liés à l’émergence du numérique dans le rapport du patient citoyen à sa santé », in. POIROT-MAZERES I. (dir.), Santé, numérique et droit-s, [Actes du Colloque de l’IFR], Toulouse, 2018, pp. 323-330/370.
38 ALEXANDRE L., ALLARD L., BENHAMOU B., (et al.), Le corps, nouvel objet connecté – Du quantifiedself à la m-santé : les nouveaux territoires de la mise en données du monde, Cahiers IP, innovation & prospective, n°2, CNIL, mai 2014.
39 EWALD F., « Les acteurs traditionnels de la santé, entre innovation et disparition ? », in. ALEXANDRE L., ALLARD L., BENHAMOU B., (et al.), Le corps, nouvel objet connecté, op. cit., pp. 32-35.
40 C. trav., art. L. 4121-1 : « L’employeur prend les mesures nécessaires pour assurer la sécurité et protéger la santé physique et mentale des travailleurs. Ces mesures comprennent : 1° Des actions de prévention des risques professionnels et de la pénibilité au travail ; 2° Des actions d’information et de formation ; 3° La mise en place d’une organisation et de moyens adaptés. L’employeur veille à l’adaptation de ces mesures pour tenir compte du changement des circonstances et tendre à l’amélioration des situations existantes ».
41 Cass. Soc., 7 novembre 2006 n° 05-41.380 : JCP S 2007, 1053, note P.-Y. Verkindt
42 C. trav., art. L. 4622-2 et L. 4622-3.
43 Cass. Soc., 21 septembre 2005 n°03-44.855 ; Cass. Soc., 7 novembre 2006 n° 05-41.380 : JCP S 2007, 1053, note P.-Y. Verkindt
44 MARTINIERE, R. « Les droits des salariés confrontés aux objets connectés de santé », in. BROSSET E., GAMBARDELLA S., NICOLAS G. (dir.), La santé connectée et “ son ” droit, approches de droit européen et de droit français, PUAM, 2017.
45 C. civ., art. 9 : « Chacun a droit au respect de sa vie privée […] ».
46 C. trav. art. L. 1132 : « Aucune personne ne peut être écartée d’une procédure de recrutement ou de nomination ou de l’accès à un stage ou à une période de formation en entreprise, aucun salarié ne peut être sanctionné, licencié ou faire l’objet d’une mesure discriminatoire, directe ou indirecte […] en raison de […] sa grossesse, de ses caractéristiques génétiques, […] ou en raison de son état de santé, de sa perte d’autonomie ou de son handicap […]  ».
47 Loi n° 89-1009 du 31 décembre 1989, renforçant les garanties offertes aux personnes assurées contre certains risques.
48 L. n° 2016-1088 du 8 août 2016, relative au travail, à la modernisation du dialogue social et à la sécurisation des parcours professionnels, art. 55
49 DESBARATS I., « Les objets connectés : quelles régulations pour quels enjeux ? », Droit social, Dalloz, 2021, p.139.
50 RAY J.-E., « Grande accélération et droit à la déconnexion », Droit social, Dalloz, 2016, p. 912. MATHIEU
C., PERETIE M.-M. et PICAULT A., « Le droit à la déconnexion : une chimère ? », RDT, 2016, p. 592.
51 WILLMANN C., « La déconnexion des salariés : un droit « mou » aux forts enjeux », Dalloz IP/IT 2019, p.684.
52 C. trav., art. L. 2242-17, 7°.
53 DAILLER T., « L’émergence du droit à la déconnexion en droit du travail », LPA, 1er mars 2017, p.6.
54 Accord portant sur l’accompagnement de la transformation Numérique chez Orange, 27 septembre 2016.
55 DESBARATS I., « Les objets connectés : quelles régulations pour quels enjeux ? », op. cit.
56 C. trav., art. L. 1121-1 : « nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché  ».
57 C. des postes et communications électroniques, art. L. 33-3-1 : «  Sont prohibées l’une quelconque des activités suivantes : l’importation, la publicité, la cession à titre gratuit ou onéreux, la mise en circulation, l’installation, la détention et l’utilisation de tout dispositif destiné à rendre inopérants des équipements radioélectriques ou des appareils intégrant des équipements radioélectriques de tous types, tant pour l’émission que pour la réception [...]  ».
58 UNTERSINGER M., « La sécurité des objets connectés en question après une violente attaque informatique », Le Monde, 25 octobre 2016. 59 PERES E., « Intimité et vie privée du travailleur connecté : BYOD, capteurs, sécurité des données dans l’entreprise numérique », La lettre innovation et prospective de la CNIL, n°07/juin 2014
60 «  L’entreprise peut pousser des paramètres de confidentialité, rendre obligatoire la mise en place d’un code PIN ou effacer à distance le contenu du téléphone en cas de perte ou de vol » selon Jean-François Audenard,
Cyber Security advisor chez Orange business Services cité dans PERES E., « Intimité et vie privée du travailleur connecté… », op. cit.
61 Les informations de cet axe ont été tirées de l’article suivant : « Cnil : le nombre de plaintes diminue mais reste élevé en 2022 », Liaisons sociales Quotidien - L’actualité, N° 18804, Lamyline, 30 mai 2023.
62 CNIL, Rapport annuel 2022 de la CNIL, agir pour un futur numérique responsable, CNIL, mai 2023

Visuel de Une : illustration ©DR

deconnecte