Contrôle des travailleurs en ligne : la position du Garant

(par Federica De Stefani, avocate et responsable de l'Aidr Regione Lombardia) Le Garant de la protection des données personnelles sanctionne la municipalité de Bolzano pour avoir surveillé sans discernement la navigation sur Internet des travailleurs.

L'histoire commence par une procédure disciplinaire contre un employé qui a été mis en cause pour avoir consulté Facebook et YouTube pendant les heures de travail.

L'Autorité, dans sa disposition, souligne certains éléments importants qui concernent non seulement le traitement des données, mais aussi le mode opératoire de la Commune, avant et pendant la procédure d'inspection.

Le cas

Des investigations menées par le Garant suite à la plainte présentée par un employé qui a été interpellé pour la connexion "avec l'ordinateur de la Commune, pendant plus de 40 minutes sur facebook et pendant plus de 3 heures sur youtube, pour suivre les activités non institutionnelles et qu'il [...] avait consulté des pages Internet sans rapport avec son travail », une activité de surveillance et de filtrage de la navigation Internet des salariés réalisée par la Commune a émergé.

Les données ainsi collectées ont ensuite été conservées pendant un mois et des rapports spécifiques ont été créés à des fins de sécurité du réseau.

L'analyse de l'affaire et des modalités concrètes par lesquelles la Municipalité avait effectué ce suivi, entre autres pendant une période assez longue (une dizaine d'années), a fait ressortir quelques aspects importants.

1- Manque d'informations adéquates

Le traitement effectué par la Commune a eu lieu en l'absence d'information adéquate et précise des salariés concernant d'éventuels contrôles de l'accès à Internet par l'employeur.

le système adopté par la Commune à des fins de sécurité du réseau, dans la configuration d'origine, permettait le filtrage et le traçage des connexions et liens vers des sites Internet externes, le stockage de ces données et leur conservation, pendant trente jours, ainsi que l'extraction des signalements, même à titre individuel.

Ce système a permis l'identification directe du travailleur et de son poste de travail et a donné lieu à une collecte systématique de données relatives à l'activité et à l'utilisation des services du réseau par des salariés directement identifiables.

La municipalité n'avait fourni aux employés aucune information spécifique relative au traitement des données personnelles ni, dans celles mises à disposition, aucune référence au traitement des données personnelles relatives à la navigation sur Internet par celui-ci.

Dans d'autres documents, mis à la disposition de l'Autorité et analysés au cours de l'enquête, il était fait référence aux opérations de traçage des connexions Internet, mais comme les documents ont été établis pour remplir des obligations différentes, ils ne contenaient pas toutes les informations essentielles requises par l'art. 13 du Règlement et ne saurait donc remplacer l'information que le propriétaire doit fournir, avant de commencer le traitement, aux intéressés.

2 - Principe de minimisation

Selon le Règlement, le traitement doit être « nécessaire » au regard de la finalité licite poursuivie (article 6, al. 1 du Règlement) et n'avoir pour objet que les données « adéquates, pertinentes et limitées à ce qui est nécessaire au regard du aux finalités pour lesquelles sont traitées "(art. 5, al. 1, lettre c), du Règlement).

A cet égard, le Garant souligne que l'étendue des contrôles (indirects ou non intentionnels), bien qu'effectués dans le respect de la réglementation sectorielle, ne peut être effectué massivement et doit, en tout état de cause, être effectué après avoir expérimenté des mesures moins limitatives que les droits des travailleurs.

L'Autorité, soulignant la frontière floue entre la sphère professionnelle et professionnelle et la sphère strictement privée, réitère également la nécessité de protéger et de garantir les attentes de confidentialité du travailleur sur le lieu de travail même dans l'hypothèse où le salarié est connecté aux services du réseau mis à la disposition de l'employeur ou utiliser une ressource de l'entreprise également via des appareils personnels.

Dans le cas analysé, au contraire, il est apparu que les modalités concrètes avec lesquelles les contrôles étaient effectués ne respectaient pas les principes de nécessité et de proportionnalité, au regard de la finalité de protection et de sécurité du réseau interne invoquée par l'Entité.

Le système utilisé par la Commune, en effet, « en procédant à une collecte systématique des données de navigation des salariés impliquait inévitablement le traitement d'informations également sans rapport avec l'activité professionnelle, déductibles des URL visitées, et était donc en contradiction avec l'interdiction faite à l'employeur du travail pour traiter des données "non liées à l'évaluation de l'attitude professionnelle du travailleur" et donc à l'art. 113 du Code, en référence à l'art. 8 du l. 20 mai 1970, n. 300 et art. 10 du décret législatif du 10 septembre 2003, n. 276" (donc textuellement l'ordonnance du 13 mai 2021).

La nécessité de réduire le risque d'utilisation abusive de la navigation sur Internet par les employés, consistant en des activités non liées à la performance au travail (par exemple, la visualisation de sites Web non pertinents, le téléchargement ou le téléchargement de fichiers, '' l'utilisation de services réseau à des fins récréatives ou sans rapport avec le travail) ne peut, en effet, justifier aucune forme d'ingérence dans la vie privée, mais peut être satisfaite par la mise à disposition de mesures techniques et organisationnelles propres à empêcher que des informations relatives à la sphère non professionnelle soient collectées, donnant lieu au traitement d'informations personnelles, " sans objet » qui entrent dans le champ d'application de l'art. 113 du Code

3- Limitation de l'objet

Le règlement prévoit, à l'art. 5, que "les données doivent être" collectées pour des finalités déterminées, explicites et légitimes, puis traitées d'une manière qui n'est pas incompatible avec ces finalités ".

Dans le cas analysé par le Garant, ce principe n'a pas été respecté, étant donné que les données relatives à la navigation web des salariés, initialement collectées et traitées de manière non proportionnée et non conforme à la réglementation sur la protection des données personnelles, et sans information adéquate conformément à l'art. 13 du Règlement, ont par la suite été utilisées pour contester des accusations disciplinaires.

Pour l'Autorité, les indications fournies par la Commune concernant le dépôt de la procédure disciplinaire se sont également avérées sans valeur.

Cette dernière, en effet, n'a pas conduit à l'imposition de sanctions car les données collectées n'étaient pas fiables, faisant également état d'une série de sites (par exemple liés à des bannières) qui n'avaient pas nécessairement été visités par le travailleur, sans possibilité de distinguer le site réellement visité et ceux à navigation indirecte/involontaire.

La circonstance relative à la mauvaise qualité des données collectées n'est pas pertinente aux fins de l'appréciation du respect du règlement, car les données collectées ont de toute façon été traitées, car elles ont été utilisées pour engager la procédure disciplinaire susmentionnée.

Enfin, l'Autorité garante constate l'absence d'étude d'impact réalisée par la Commune et l'inadéquation du nouvel accord syndical prévu pour le traitement des données personnelles des salariés.

Pour les infractions constatées et compte tenu de l'attitude collaborative et proactive de la Commune, la sanction administrative infligée a été chiffrée à 83.000 XNUMX €.

Contrôle des travailleurs en ligne : la position du Garant