Outils électroniques : votre employeur vous a à l’œil

Article publié dans le magazine L’Expertise – Décembre 2021

Par Jennifer Nadeau, avocate

et Michaël Andriantsoavina, conseiller à la gestion des ressources informationnelles

Depuis le début des années 2000, la surveillance électronique au travail est une préoccupation importante pour les employés. En effet, l’utilisation des technologies de l’information est en constante évolution, plus particulièrement avec l’augmentation du télétravail lors de la pandémie de COVID-19. Dans ce contexte, plusieurs employeurs se sont dotés de logiciels de surveillance pour contrôler l’utilisation des outils électroniques par leurs employés.

Découvrez l’étendue des informations susceptibles d’être emmagasinées sur un appareil électronique et les conditions selon lesquelles un employeur peut y avoir accès.

Logiciels de surveillance : informations, données et renseignements récoltés

Une organisation doit assurer sa sécurité informatique grâce à des équipements permettant de bloquer des attaques, des virus ou des programmes potentiellement dangereux, sans nuire à la productivité de ses employés.

Un élément central de sécurité d’une organisation est un pare-feu, qui agit comme un agent de la circulation de l’information. Il voit tout le trafic passer, et décide quelle séquence d’informa­tions autoriser et laquelle détruire en fonction des règles préé­tablies par l’administrateur. Toutes les informations qui passent à travers cet équipement central sont stockées de 60 jours à 1 an et peuvent être analysées par un logiciel tiers (ex. : Graylog).

Les administrateurs de réseau et de sécurité peuvent alors aisé­ment sortir des rapports détaillés sur l’utilisation d’Internet d’un ou de plusieurs postes de travail.

Les ordinateurs, tablettes ou téléphones munis d’un système d’exploitation Windows 10, iOS ou Android possèdent en géné­ral toutes les fonctionnalités pour la gestion à distance par les administrateurs ou par l’assistance technique de l’organisation.

Selon Le Devoir, au gouvernement québécois, 71 % des contrats informatiques gouvernementaux sont octroyés à Microsoft. La majorité des postes de travail sont donc dotés d’un système d’exploitation de l’entreprise. Selon Microsoft, la gestion à distance par les administrateurs comprend :

• la réinitialisation de l’appareil ;
• la suppression de fichiers ;
• la consultation des logiciels installés ;
• l’acceptation des conditions générales.

La télémétrie des ordinateurs Windows récupère des données opérationnelles et fonctionnelles. Bien que Microsoft déclare que ces données sont utilisées pour garantir « des expériences personnalisées et qui contribuent à augmenter la productivité et la satisfaction », ces paramètres liés à la vie privée ne peuvent pas toujours être désactivés sur un poste de travail professionnel.

Les applications de collaboration ne sont pas en reste. L’infonua­gique a permis de développer de puissants outils de recherche et d’analyse, comme eDiscovery de Microsoft. Cet outil d’identi­fication et de livraison d’informations électroniques est utilisé pour fournir des preuves dans des affaires juridiques. Ainsi, eDiscovery peut rechercher du contenu, des mots-clés et des statistiques, puis exporter le contenu trouvé dans toute la suite de collaboration de Microsoft 365 : les boîtes aux lettres Exchange Online, les groupes Microsoft 365, Microsoft Teams, les sites SharePoint Online et OneDrive Entreprise, les conversations Skype Entreprise et les équipes Yammer.

En plus de la gestion des postes à distance, des logiciels de sur­veillance à distance plus dangereux et intrusifs peuvent être ins­tallés sur les postes de travail et les téléphones. Selon une étude d’ISG Research, les ventes de ces logiciels ont augmenté de plus de 500 % depuis le début de la pandémie de COVID-19. On peut citer les logiciels Interguard, Hubstaff, CleverControl et MocoSpy, qui détectent les « comportements anormaux ou fainéants » des employés et avertissent les gestionnaires. Ils permettent même d’enregistrer des conversations par le biais du micro de l’ordina­teur, des frappes de clavier et des clics de souris.

Les données recueillies par les outils électroniques appartenant à l’employeur sont multiples. Dans ce contexte, il semble important de les utiliser adéquatement et dans les limites permises par l’employeur.

Cadre juridique

Dans quelle mesure un employeur peut-il surveiller l’utilisation des outils électroniques par ses employés et obtenir les données emmagasinées sur un appareil électronique qui lui appartient ?

En matière de relations du travail, il est bien établi que tout est une question d’équilibre entre les droits de direction de l’em­ployeur et les droits fondamentaux des employés. La surveil­lance électronique en milieu de travail ne fait pas exception à cette règle puisqu’elle est susceptible de porter atteinte au droit à la vie privée¹ ainsi qu’au droit à des conditions de travail justes et raisonnables².

Limites

L’employeur peut exercer un contrôle, ou encore superviser et observer ce que les employés font pendant leurs heures de tra­vail. Dans un univers où les technologies de l’information sont omniprésentes, l’employeur peut prendre des mesures raison­nables pour surveiller le travail de ses employés, ce qui implique souvent de la surveillance électronique. Ce type de surveillance a cependant des limites, qui sont parfois difficiles à tracer.

Ce qui est clair, au regard de la jurisprudence, c’est que l’em­ployeur ne peut pas surveiller de manière constante le poste de travail d’un employé à l’aide d’une caméra vidéo. Ce type de pratique est considéré comme une condition de travail déraisonnable³.

Cependant, en ce qui concerne la surveillance de l’utilisation d’Internet par les employés, une décision récente indique que l’employeur pouvait valablement utiliser le logiciel de surveil­lance de l’utilisation d’Internet Graylog⁴. Celui-ci enregistre et produit un journal quotidien des consultations d’Internet par les employés à partir de l’ordinateur fourni par l’employeur pen­dant les heures de travail. Le logiciel ne cible pas un employé en particulier, mais a permis à l’employeur de détecter les plus grands utilisateurs d’Internet. Ainsi, l’employeur pourrait, de manière sporadique, surveiller l’utilisation d’Internet s’il détecte des abus.

En ce qui a trait au courriel professionnel, l’employeur ne peut pas surveiller de manière constante l’ensemble des courriels envoyés et reçus par un employé. Cela pourrait être considéré comme étant une condition de travail injuste et déraisonnable.

À la lumière de la jurisprudence, un employé peut-il invoquer son droit à la vie privée à l’encontre d’un employeur qui met en place des moyens de surveillance des appels téléphoniques, de l’utilisation d’Internet ou encore du courrier électronique ? La réponse à cette question est complexe. Chaque cas est unique et l’ensemble des circonstances doit être pris en compte. En revanche, l’employeur peut exiger que les employés utilisent les équipements informatiques uniquement à des fins profession­nelles et, donc, il peut mettre en place des mesures de contrôle et de surveillance pour s’en assurer.

La question du respect au droit à la vie privée se pose davantage lorsque l’employeur décide d’accéder aux données contenues dans les outils informatiques à la disposition de l’employé.

Légitimité de l’accès aux données par l’employeur

L’employeur ne peut, sous prétexte de son droit de propriété des outils électroniques, accéder sans condition à la liste des sites Internet consultés ou encore au contenu de la boîte de courriels d’un employé.

Pour ce faire, l’employeur doit avoir un motif sérieux et effectuer la recherche d’informations de manière raisonnable afin de por­ter le moins possible atteinte au droit à la vie privée des employés. En d’autres termes, il ne peut pas « aller à la pêche » sur la base de simples soupçons.

Les motifs ou les doutes raisonnables peuvent être de plusieurs ordres, par exemple : plainte selon laquelle l’employé consulte abusivement des sites Internet sans lien avec le travail, système de sécurité de l’entreprise qui bloque un courriel trop volumi­neux ou encore nette diminution de la productivité de l’employé.

Même si l’employeur peut légitimement accéder au contenu des outils électroniques qui lui appartiennent sur la base d’un motif raisonnable, il n’est pas autorisé à vérifier l’ensemble des infor­mations qui s’y trouvent. En effet, même si l’expectative de vie privée de l’employé qui utilise les outils de l’employeur est limi­tée, celle-ci existe toujours.

Dans ce contexte, l’employeur doit consulter uniquement les informations en lien avec le motif pour lequel il procède à la vérification, et ce, afin de limiter l’atteinte à la vie privée de l’em­ployé. Retenons que la recherche d’informations par l’em­ployeur doit être raisonnable ; il doit donc éviter de consulter les informations purement personnelles de l’employé.

Politique d’utilisation et bon usage des outils

Pour terminer, vous devez savoir que les informations emmaga­sinées sur les outils électroniques de l’employeur peuvent être nombreuses et qu’en certaines circonstances l’employeur sera justifié de consulter le contenu des informations qui s’y trouvent. Vous devez donc respecter la politique d’utilisation des outils électroniques en vigueur chez votre employeur et faire bon usage des outils mis à votre disposition.

NDLR : Cette chronique ne reflète que l’opinion de ses auteurs et ne constitue pas un avis juridique.

---

1. Charte des droits et libertés de la personne, RLRQ chap. C -12, art. 5.

2. Ibid., art. 46.

3. Voir notamment Syndicat des cols bleus regroupés de Montréal, section locale 301 et Montréal (Ville de) (arrondissement Côte-Saint-Luc–Hampstead–Montréal-Ouest), T.A., 2005-04-14.

4. Syndicat des professionnelles et professionnels municipaux de Montréal et Montréal (Ville), 2020 QCTA 358 ; Syndicat des professionnelles et professionnels municipaux de Montréal (SPPMM) c. Flynn, Pourvoi en contrôle judiciaire, 2020-09-02.

---