Comment évaluer la proportionnalité d'un dispositif de cybersurveillance ?
Réponse courte
L'évaluation de la proportionnalité d'un dispositif de cybersurveillance repose sur trois critères cumulatifs : adéquation (le dispositif permet d'atteindre l'objectif), nécessité (aucune mesure moins intrusive ne suffit) et proportionnalité stricto sensu (atteinte aux droits limitée au strict nécessaire). Cette évaluation conditionne la licéité du traitement au sens du RGPD et de l'article L.261-1 du Code du travail.
L'employeur doit réaliser une analyse d'impact si le risque est élevé (article 35 RGPD), informer individuellement les salariés, consulter la délégation du personnel (article L.414-9) et documenter chaque étape : justification, alternatives examinées, garanties techniques, durée de conservation. La surveillance doit rester ponctuelle ou ciblée, jamais généralisée ni permanente.
Définition
La proportionnalité d'un dispositif de cybersurveillance est l'obligation pour l'employeur de veiller à ce que toute mesure de contrôle des outils informatiques et des communications électroniques soit strictement nécessaire à un objectif légitime, sans atteinte excessive aux droits fondamentaux des salariés.
Cette exigence découle de l'article 5 du RGPD applicable en entreprise, des articles 11(3) de la Constitution et 8 de la CEDH (vie privée), et de l'article L.261-1 du Code du travail. Elle structure tout l'examen de licéité du dispositif.
Questions fréquentes
Conditions d’exercice
Les trois critères de proportionnalité (adéquation, nécessité, proportionnalité stricto sensu) doivent être démontrés cumulativement : l'absence d'un seul critère rend le dispositif illicite quel que soit l'effort fourni sur les autres.
| Condition | Exigence |
|---|---|
| Adéquation | Le dispositif permet effectivement d'atteindre la finalité poursuivie |
| Nécessité | Aucune mesure moins intrusive n'atteint le même résultat |
| Proportionnalité stricto sensu | Atteinte aux droits limitée au strict nécessaire |
| Finalité légitime | Sécurité informatique, prévention d'actes illicites, protection économique |
| Surveillance non permanente | Aucune surveillance généralisée ou systématique |
| Consultation | Délégation du personnel (article L.414-9) |
Modalités pratiques
L'AIPD constitue l'outil méthodologique central pour démontrer la proportionnalité ; elle doit être documentée, datée et présentable à la CNPD à tout moment.
| Démarche | Précision |
|---|---|
| Analyse d'impact (AIPD) | Article 35 du RGPD, structure l'évaluation des trois critères |
| Information individuelle | Finalité, données, durée, droits (articles 13-14 RGPD) |
| Consultation de la délégation | Procès-verbal préalable (article L.414-9) |
| Documentation des alternatives | Justification du choix au regard des options moins intrusives |
| Conservation limitée | Durée strictement nécessaire, justifiée et documentée |
| Habilitation des accès | Liste nominative, traçabilité des consultations |
| Réévaluation périodique | Pertinence et proportionnalité revues régulièrement |
Pratiques et recommandations
Privilégier systématiquement les dispositifs ponctuels et ciblés aux mesures généralisées.
Documenter chaque étape de l'analyse de proportionnalité dans un dossier consolidé.
Limiter l'accès aux données aux personnes habilitées, avec journalisation des consultations.
Réviser annuellement la pertinence du dispositif avec le DPO et la délégation du personnel.
Garantir une intervention humaine pour toute exploitation des données à finalité disciplinaire.
Cadre juridique
| Référence | Objet |
|---|---|
| Art. L.261-1 du Code du travail | Traitement de données pour surveillance des salariés |
| Art. L.414-9 du Code du travail | Consultation/co-décision de la délégation du personnel |
| Loi modifiée du 1er août 2018 | Protection des données à caractère personnel |
| Règlement (UE) 2016/679 (RGPD) | Articles 5, 6, 13, 32, 35 |
| Art. 11(3) Constitution + Art. 8 CEDH | Respect de la vie privée |
| Lignes directrices CNPD | Cybersurveillance sur le lieu de travail |
Note
L'absence de documentation de la proportionnalité expose l'employeur à des sanctions administratives jusqu'à 4 % du chiffre d'affaires mondial et entraîne l'irrecevabilité des preuves devant le tribunal du travail. La réévaluation périodique du dispositif est attendue par la CNPD.