Yann Padova (cabinet Baker & McKenzie) : “ toute surveillance des salariés à leur insu est à proscrire ”

Secrétaire général de la Cnil pendant six ans, Yann Padova rejoint le cabinet d'avocats Baker & McKenzie en tant que Senior Counsel (juriste expert). Un parcours qui lui donne un regard acéré sur la régulation juridique du numérique et des données personnelles.Quelles sont actuellement les zones d'ombre juridiques en matière de surveillance des données personnelles des salariés, voire des collaborateurs eux-mêmes ?Yann Padova : La messagerie professionnelle et les réseaux sociaux d'entreprise sont désormais bien encadrés légalement. En revanche, la législation s'appliquant à l'utilisation dans un contexte professionnel de réseaux sociaux personnels, tels que Facebook, reste encore ambiguë. Quelques décisions de justice ont bien été rendues, mais rien n'est stabilisé quant à la nature juridique des réseaux sociaux ouverts ou fermés, relevant de la correspondance privée ou non… Autre zone floue : la vidéosurveillance en entreprise, en plein essor, et sujette à des dérives. Aujourd'hui, les écarts sont essentiellement involontaires, et ils concernent surtout les PME, moins sensibilisées que les grandes entreprises. S'il y avait un seul principe à retenir, ce serait celui-ci : pas de surveillance disproportionnée ou à l'insu des personnes.Quels sont les réflexes à adopter en entreprise ?YP : L'usage des technologies doit être défini pour tous, soit en annexe du contrat de travail, soit dans une charte qui énonce les droits et devoirs de chacun. Par exemple, il est fréquent que des sociétés restreignent l'accès à certains sites internet. Quelles qu'en soient les raisons, il s'agit pour l'employeur d'expliquer et de communiquer clairement sur sa politique. Est-ce que le contenu des sites en question est trop éloigné de l'activité de l'entreprise ? La consommation de bande passante est-elle trop excessive ? Certaines pratiques portent-elles atteinte à la sécurité et à l'intégrité du système d'information ?Quelle est l'évolution du droit concernant l'usage des terminaux personnels ?YP : Le BYOD (Bring Your Own Device) présente certes des risques, mais nous n'avons pas encore eu connaissance de difficultés particulières. Les meilleures pratiques techniques et organisationnelles liées à la sécurité n'ont donc pas encore été édictées. Elles passeront par une analyse fine des usages : données accessibles, applications utilisées, type de terminaux… Un arrêt de la Cour de cassation du 23 mai 2012 donne déjà une indication sur ce que pourrait être la jurisprudence en cette matière. Il a en effet jugé qu'un employeur “ ne pouvait procéder à l'écoute des enregistrements réalisés par la salariée sur son dictaphone personnel en son absence ou sans qu'elle ait été dûment appelée ”. Si cet arrêt conforte en apparence la protection de la vie privée du collaborateur, il ouvre aussi la possibilité pour l'employeur d'un contrôle des outils personnels des salariés. Jusqu'à présent, cela ne concernait que les outils professionnels.Quel rôle l'Europe jouera-t-elle dans tous ces bouleversements ?YP : Les instances européennes ont engagé le changement du cadre normatif en matière de protection des données. Ce texte devrait être adopté courant 2013 ou début 2014 et entrer en vigueur entre 2015 et 2016. Les entreprises seront alors obligées d'évaluer plus finement les risques auxquels sont exposées leurs données sensibles, mais aussi de former obligatoirement leurs salariés en matière de protection des données, et d'avoir des CIL (correspondants informatiques et libertés) au-dessus d'un certain seuil de salariés. Sans oublier d'appliquer des mesures d'audit interne et externe. Comme les entreprises et les administrations consomment et manipulent de plus en plus de données, un problème informatique ou une faille de sécurité peuvent avoir des conséquences dramatiques en termes économiques ou pour leur réputation. Pour éviter cela, il est nécessaire de mettre en place des processus qui garantissent la conformité du traitement des données.