RGPD et Travail en ligne : Que faire ? Ne pas faire ? Que devons-nous faire ?
Au sein de l’entreprise, nous avons tendance à oublier qu’un·e employé·e est un·e internaute comme les autres, principalement parce que plusieurs de leurs données personnelles sont essentielles à la gestion de leur carrière :
- leur identité : CNI, Passeport, Carte vitale, Prénom, Nom, Photos… ;
- leur finance : salaire, RIB, situation fiscale, notes de frais… ;
- leur localisation : adresse personnelle, trajet de leur véhicule de fonction, déplacements défrayés… ;
- leurs échanges : messagerie instantanée, conversation téléphonique, e-mail… ;
- leurs actions : livrables, temps de travail (pointage), géolocalisation, rendez-vous (agenda partagé), absences (arrêts, congés etc.) …
Même si ces informations sont communes à la gestion de l’entreprise, le RGPD régule aussi la collecte et le traitement des données sur les employé·e·s, et ce, au même titre que tous les citoyen·ne·s européen·ne·s. Eux aussi peuvent exercer leurs droits de réclamer transparence, consentement et réversibilité du traitement de leur données professionnelles.
Dans un contexte d’intensification des projets internes de transformation digitale, la mise en place d’une politique RGPD claire et transparente, quant à la protection des données des employé·e·s, peut renforcer la confiance envers les nouveaux usages numériques.
Voici les principales actions à passer en revue pour collecter, traiter, stocker et contrôler l'activité de vos salariés sur leurs outils de travail en ligne, tout en respectant le RGPD :
Ce qu’on peut faire
- Contrôler et limiter l’utilisation personnelle d’internet (filtrage de site, détection de virus, filtre anti-spam, mesure d'envoi des e-mail...)
- Contrôler les outils de messagerie (détection de virus, limites d’envois, anti-spam, reporting etc.)
- Lire ponctuellement les contenus envoyés et/ou conçus par les employés tant qu’il s’agit de contenus professionnels, sans la mention « Privé » ou « Personnel »
- Prendre ponctuellement connaissance des sites consultés via les outils mis à disposition par l’entreprise, sur les horaires de travail uniquement
- Diffuser les messages et les contenus d’un·e employé·e à un expert juridique en cas d’enquête judiciaire en cours impliquant le/la dit·e employé·e
Ce qu’on ne peut pas faire
- Recevoir une copie automatique des messages échangés dans l’entreprise
- Surveille et contrôler en permanence les messages et contenus des employés
- Mettre en place des keyloggers sans un motif de sécurité
- Conserver les logs de connexion plus de 6 mois
- Consulter les messages et contenus personnels ou privés des employés même s’il est interdit d’utiliser les outils de l’entreprise à des fins personnels
- Consulter des fichiers identifiés comme Personnel ou Privé sans la présence de l’employé et/ou sans l’appréciation des juridictions
- Réclamer les identifiants et mots de passe des employés en dehors de situations exceptionnelles où il est nécessaire de récolter ses contenus pour la poursuivre de l’activité (Ex : Absence / Congés…)
Ce qu’on doit faire
- Consulter et/ou informer les représentants et gestionnaires du personnel avant la mise en œuvre d’un dispositif de contrôle des outils informatiques
- Communiquer aux Employés et aux Prestataires, toutes les informations relatives à :
- La collecte des informations les concernant individuellement
- Les objectifs et aux finalités de traitement de leurs données
- Les durées de conservation de leurs données
- L’identité des destinataires et personnes habilités au traitement de leurs données
- L’exercice de leurs droits d’opposition, d’accès et de rétractation
- Le cadre légal du dispositif de contrôle
- Associer le/la DPO, si l'entreprise en a désigné un·e, à chaque mise en œuvre de dispositif de collecte et de traitement de données relatives aux employé·e·s.
- Inscrire les différents systèmes de contrôle des outils informatiques au Registre des activités de traitement tenu par l’Employeur.
Enfin, si l’entreprise fait appel à des prestataires (agence, consultants, freelance) et fournisseurs externes (intégrateur, éditeur, solution SaaS…) pour mettre en œuvre ces dispositifs, il est également de la responsabilité de l’Employeur de contrôler et garantir la sécurité des données des Employés. La CNIL et l’Inspection du Travail restent des instances fiables pour orienter l’entreprise quant aux bonnes pratiques à mettre en place.
Réussir une réunion à distance (et IRL)
Réussir une réunion IRL comme à distance est un art accessible qui ne demande pas énormément de moyen : des objectifs clairs, des participants qui sont réellement concernés par les sujets abordés, de la préparation et un suivi concret.
Une bonne réunion, ce n’est pas juste un bon moment d’échange, c’est aussi une activité de travail qui doit être vécue comme une activité productive et inspirante, en tenant compte de chaque participant.
Choisir des logiciels/applications adaptés à la majorité des participants
Est-ce vraiment important de bien choisir ? Oui, car combien d’entre vous ont perdu leur sang-froid à cause des latences, une présentation qui ne s’affiche pas, du bruit inaudible ou des audios coupés ? Qu’il s’agisse de Zoom, Teams ou Google Meet, ces solutions ne se valent pas toutes selon le format de réunion, le réseau des participants, le nombre de participants, les objectifs de réunion...
Pour bien choisir et ne pas perdre de temps dans la prise en main, plusieurs questions s’imposent :
- Combien de personnes participent à la réunion ? La solution choisie peut-elle tenir cette charge en ligne et/ou en local ?
- Les participant·e·s ont-ils une bonne connexion ? Celles et ceux qui ont des problèmes de réseau ont-ils une alternative ? Comment les intégrer à la réunion si ce n’est pas le cas ?
- La réunion nécessite-t-elle des fonctionnalités complémentaires : whiteboard, partage d’écran, arrière-plan, questionnaire en ligne… ?
- La solution est-elle sécurisée ?
- Les participant·e·s ont-ils déjà utilisé une solution de visio ? Faut-il prévoir un tutoriel en amont ?
- Les participant·e·s ont-ils accès à la solution de visio ? Doivent-ils prévoir une installation au préalable ?
Donner du sens et du rythme à la réunion en la structurant en amont
En tant qu’initiateur et initiatrice de la réunion, structurer une réunion permet de valider sa pertinence en amont, avoir un document de référence pour modérer les temps de paroles et des objectifs concrets pour impliquer les participants.
Grâce à cette petite routine, vous communiquez aux participants de la réunion ce qui leur permettra de savoir pourquoi ils-elles vous bloquent du temps, ce qu’ils-elles peuvent apporter et ceux que cela va leur apporter :
- Formaliser les sujets à aborder
- Vérifier que ces sujets n’ont pas déjà été résolus
- Identifier les personnes réellement concernées et leur assigner un sujet
- Définir ce qui est attendu pour chaque sujet et pour quand : un plan d’action, une validation, une revue, un REX, un livrable…
- Vérifier une nouvelle fois que ces attentes n’ont pas déjà été résolues
- Estimer le temps nécessaire pour répondre à tout
- Définir un ordre du jour et le communiquer en amont en précisant le temps que cela va prendre
Assurer un suivi après la réunion
Pour assurer le suivi d’une réunion, le plus simple reste de planifier et de répartir des tâches suite aux conclusions qui auront été faites. Afin d’éviter que la dynamique s’essouffle, il vaut mieux ne pas tarder à donner ces tâches dans un compte-rendu synthétique ou dans un outil de gestion, au mieux à la fin de la réunion, au plus tard dans les 48h. Enfin pour limiter les interprétations et valider la compréhension de tous, il est conseillé de relancer les participants qui n’ont pas formulé de retour après la communication post-réunion.
Bonus : les actions à décrochage garantie lors d’une réunion
- Lire des livrables ;
- Corriger des livrables ;
- Ne pas prendre de notes ;
- Chercher à interpeller une personne qui n’est pas présente et qui n’était pas prévue ;
- « Prendre le temps qu’il faudra » ;
- Demander des retours à chaud…