Quelle différence entre contrôle d'activité et cybersurveillance ?
Réponse courte
Le contrôle d'activité porte sur la bonne exécution des tâches par des moyens classiques (pointage et badgeage, feuilles de présence, rapports, observation directe) : il doit respecter la dignité du salarié et faire l'objet d'une information préalable. La cybersurveillance désigne l'usage de procédés techniques automatisés pour surveiller l'utilisation des outils numériques (messagerie, navigation, fichiers).
La cybersurveillance est soumise à un encadrement renforcé : base légale documentée, AIPD si risque élevé (article 35 RGPD), consultation de la délégation du personnel (article L.414-9), information individuelle sur la logique du traitement (articles 13-14 RGPD), inscription au registre des traitements et formalisation par une charte informatique. La distinction conditionne la nature des obligations applicables et le niveau de risque pour les droits des salariés.
Définition
Le contrôle d'activité désigne la vérification par l'employeur de l'exécution des tâches confiées au salarié : pointeuse, fiches de présence, rapports d'activité, observation. Il se réalise par des moyens directs ou indirects, sans surveillance technique automatisée des outils numériques.
La cybersurveillance recouvre les procédés techniques permettant de surveiller, enregistrer ou analyser l'usage des outils informatiques mis à disposition du salarié : messagerie, navigation, fichiers, applications. Elle constitue un traitement de données à caractère personnel au sens du RGPD, soumis à un régime renforcé.
Questions fréquentes
Conditions d’exercice
La frontière entre contrôle d'activité et cybersurveillance détermine le régime applicable : tout dispositif technique automatisé bascule dans le second régime, plus exigeant.
| Condition | Exigence |
|---|---|
| Contrôle d'activité | Moyens classiques, information préalable, respect de la dignité |
| Cybersurveillance | Procédés techniques automatisés, traitement de données personnelles |
| Surveillance permanente interdite | Ni contrôle ni cybersurveillance ne peuvent être généralisés |
| Finalité légitime | Sécurité, prévention d'actes illicites, protection des intérêts |
| Proportionnalité | Adéquation, nécessité, atteinte limitée aux droits |
| Consultation | Délégation du personnel (article L.414-9) |
Modalités pratiques
La cybersurveillance déclenche systématiquement le régime RGPD complet (AIPD, registre, information détaillée), alors que le contrôle d'activité simple relève d'obligations plus légères.
| Démarche | Précision |
|---|---|
| Identification du régime | Distinction selon le caractère technique automatisé |
| Charte informatique | Politique d'usage des outils numériques |
| Information préalable | Notice individuelle, finalité, modalités, droits |
| Analyse d'impact | Article 35 RGPD pour la cybersurveillance à risque élevé |
| Consultation de la délégation | Procès-verbal préalable (article L.414-9) |
| Registre des traitements | Article 30 RGPD pour les traitements de cybersurveillance |
| Accès aux contenus privés | Interdit sauf motif grave et procédure documentée |
Pratiques et recommandations
Distinguer clairement dans la charte informatique les dispositifs de contrôle d'activité et les outils de cybersurveillance.
Limiter la cybersurveillance aux situations justifiées par un risque avéré ou une obligation légale.
Privilégier les mesures les moins intrusives avant toute cybersurveillance technique.
Documenter chaque accès aux contenus identifiés comme privés (courriels personnels, fichiers privés).
Former les managers à la distinction entre contrôle d'activité légitime et cybersurveillance technique.
Cadre juridique
| Référence | Objet |
|---|---|
| Art. L.261-1 du Code du travail | Traitement de données pour surveillance des salariés |
| Art. L.414-9 du Code du travail | Consultation/co-décision de la délégation du personnel |
| Art. L.241-1 du Code du travail | Égalité de traitement et non-discrimination |
| Loi modifiée du 1er août 2018 | Protection des données à caractère personnel |
| Règlement (UE) 2016/679 (RGPD) | Articles 5, 6, 13-14, 30, 35 |
| Lignes directrices CNPD | Cybersurveillance sur le lieu de travail |
Note
L'absence d'information préalable et de consultation rend les preuves issues d'un dispositif de cybersurveillance irrecevables devant le tribunal du travail. Les sanctions disciplinaires fondées sur de telles preuves sont nulles, et l'employeur s'expose à des amendes administratives jusqu'à 4 % du chiffre d'affaires mondial.