Télétravail et surveillance des salariés : ce que le RGPD autorise — et ce qu'il interdit
SOMMAIRE
- Introduction
- 1. Le principe fondamental : contrôle autorisé, surveillance permanente interdite
- 2. Ce que la CNIL interdit explicitement
- 3. Ce que l'employeur peut légalement mettre en place
- 4. La caméra en visioconférence : une règle souvent mal appliquée
- 5. Le BYOD : quand le salarié utilise son équipement personnel
- 6. Les obligations RGPD de l'employeur
- 7. Ce que risque concrètement votre organisation
- Conclusion
Introduction
Depuis la généralisation du télétravail, une question revient dans la quasi-totalité de mes missions de DPO externe : jusqu'où un employeur peut-il surveiller l'activité de ses salariés à distance ?
Les idées reçues sont nombreuses. Certains employeurs pensent disposer d'un droit de regard total sur leurs télétravailleurs dès lors qu'ils fournissent les outils informatiques. D'autres, à l'inverse, pensent ne plus pouvoir exercer aucun contrôle à distance. Ces deux positions sont inexactes.
Le cadre applicable — issu du RGPD, du Code du travail et de la doctrine publiée par la CNIL — est sans ambiguïté : l'employeur conserve un pouvoir de contrôle sur ses salariés en télétravail, mais ce pouvoir est strictement encadré. Certains outils de surveillance aujourd'hui largement commercialisés sont illégaux. Leur déploiement expose l'employeur à des sanctions financières et à la nullité des preuves recueillies.
Cet article s'adresse aux directions, aux responsables RH, aux DPO et aux juristes qui souhaitent disposer d'une lecture fiable et opérationnelle de ce cadre.
1. Le principe fondamental : contrôle autorisé, surveillance permanente interdite
Le télétravail est une modalité d'organisation du travail. À ce titre, l'employeur y conserve le même pouvoir d'encadrement et de contrôle de l'exécution des tâches que lorsque le salarié travaille dans les locaux de l'entreprise.
Ce pouvoir de contrôle est toutefois encadré par deux principes fondamentaux, posés conjointement par le Code du travail et le RGPD.
Le principe de proportionnalité. L'article L. 1121-1 du Code du travail interdit toute restriction aux droits et libertés des salariés qui ne serait pas justifiée par la nature du travail à accomplir et proportionnée au but recherché. En clair : un dispositif de contrôle ne peut pas aller au-delà de ce qui est strictement nécessaire pour atteindre son objectif. Surveiller en permanence un salarié pour vérifier qu'il travaille n'est pas proportionné — d'autres moyens moins intrusifs existent.
Le principe de loyauté. L'employeur est tenu d'informer ses salariés, avant toute mise en œuvre, de l'existence et des caractéristiques de tout dispositif de contrôle de leur activité. Cette obligation a deux conséquences directes en cas de non-respect : la responsabilité juridique de l'employeur peut être engagée, et les preuves collectées par un dispositif non déclaré sont en principe irrecevables pour justifier une sanction disciplinaire.
La consultation des représentants du personnel est également une condition préalable et essentielle à la mise en place de tout dispositif de surveillance.
2. Ce que la CNIL interdit explicitement
La CNIL a identifié une série de pratiques incompatibles avec le RGPD et le Code du travail. Ces pratiques correspondent pourtant à des fonctionnalités proposées par de nombreux logiciels de gestion du télétravail actuellement sur le marché.
La surveillance vidéo ou audio continue
Demander à un salarié de rester connecté en visioconférence tout au long de sa journée de travail pour permettre à l'employeur de vérifier sa présence est illégal. Ce dispositif constitue une surveillance permanente, jugée disproportionnée quelle que soit la justification avancée — sécurité ou contrôle du temps de travail. La CNIL précise que des moyens alternatifs moins intrusifs permettent d'atteindre le même objectif.
Le partage permanent d'écran
Imposer à un salarié de partager en continu l'affichage de son écran avec son manager ou tout autre service de l'entreprise constitue une surveillance permanente et disproportionnée. La CNIL le désigne explicitement comme une pratique non conforme.
Les keyloggers
Un keylogger est un logiciel qui enregistre en temps réel l'ensemble des touches saisies sur le clavier d'un ordinateur. La CNIL les qualifie de particulièrement invasifs et considère leur utilisation comme une forme de surveillance permanente. Leur déploiement est illicite, sauf circonstance tout à fait exceptionnelle et dûment justifiée.
Les dispositifs contraignant le salarié à prouver sa présence
Exiger d'un salarié qu'il effectue des actions répétées pour attester mécaniquement sa présence — cliquer sur une application toutes les X minutes, prendre des captures d'écran de son poste, ou tout autre mécanisme similaire — est expressément identifié par la CNIL comme incompatible avec le RGPD.
3. Ce que l'employeur peut légalement mettre en place
L'interdiction de la surveillance permanente ne laisse pas l'employeur sans moyens d'encadrement. La CNIL reconnaît plusieurs dispositifs légitimes, à condition qu'ils soient proportionnés, déclarés auprès des salariés et inscrits au registre des traitements de l'entreprise.
Le contrôle par objectifs. L'employeur peut suivre la réalisation des tâches par objectifs sur une période définie. Ces objectifs doivent être raisonnables, mesurables et vérifiables à intervalles réguliers. Ce mode de contrôle est explicitement recommandé par la CNIL comme alternative aux dispositifs de surveillance directe.
Le compte rendu régulier d'activité. Demander à un salarié de rendre compte de son travail — par écrit ou lors de points de suivi programmés — est un moyen de contrôle reconnu et proportionné.
L'analyse des journaux de connexion (logs). La consultation des journaux d'accès aux outils et services accessibles à distance est autorisée pour détecter des comportements suspects ou gérer des incidents de sécurité. La durée de conservation de ces journaux doit rester proportionnée à l'objectif poursuivi — six mois constitue la durée généralement retenue.
4. La caméra en visioconférence : une règle souvent mal appliquée
Un employeur peut-il imposer à ses salariés d'activer leur caméra lors d'une réunion en visioconférence ? La réponse est nuancée et mérite d'être connue précisément.
En principe, non. L'activation de la caméra doit être laissée à l'appréciation du salarié. Filmer l'environnement domestique d'un salarié peut révéler des informations relevant de sa vie privée — composition du foyer, conditions de logement, ou éléments d'ordre religieux ou philosophique visibles dans l'arrière-plan. Ces données bénéficient d'une protection renforcée au titre du RGPD. La CNIL recommande aux employeurs de privilégier les outils de visioconférence proposant une fonctionnalité de floutage de l'arrière-plan.
Par exception, oui — dans des cas spécifiques et sous conditions. Lorsqu'un dispositif de floutage est disponible et activable par le salarié, l'employeur peut demander l'activation de la caméra pour des situations particulières : entretien individuel RH, présentation à des interlocuteurs extérieurs, accueil d'un nouveau collaborateur. La CNIL recommande dans ces cas d'en informer le salarié suffisamment à l'avance pour qu'il puisse s'organiser.
5. Le BYOD : quand le salarié utilise son équipement personnel
Le Bring Your Own Device (BYOD) désigne l'usage par un salarié de son équipement personnel — téléphone, ordinateur, tablette — à des fins professionnelles. Ce cas de figure, courant en télétravail, obéit à des règles spécifiques que le RGPD encadre strictement.
L'employeur reste responsable de la sécurité des données, même sur un équipement personnel. Le fait que les données professionnelles soient hébergées sur un appareil dont l'employeur n'est pas propriétaire ne l'exonère pas de sa responsabilité au regard du RGPD. Il lui appartient de s'assurer que le niveau de sécurité est équivalent à celui appliqué sur les équipements professionnels. Pour y parvenir, la mise en place d'une politique BYOD écrite et communiquée aux salariés est fortement recommandée. Cette politique définit notamment les règles d'usage, les mesures de sécurité minimales requises, et les modalités d'intervention de l'entreprise en cas d'incident.
L'accès de l'employeur aux données personnelles du salarié est interdit. Si l'employeur peut accéder aux données professionnelles présentes sur un équipement professionnel qu'il a remis au salarié, il ne peut en aucun cas accéder aux données personnelles stockées sur l'équipement privé de ce dernier. La frontière entre les deux doit être clairement définie et respectée.
6. Les obligations RGPD de l'employeur
Tout dispositif de contrôle de l'activité des salariés en télétravail constitue un traitement de données personnelles au sens du RGPD. À ce titre, l'employeur est soumis à plusieurs obligations formelles, dont le non-respect est directement sanctionnable.
L'inscription au registre des activités de traitement. Tout traitement de surveillance de l'activité des salariés doit être inscrit dans le registre que chaque organisme est tenu de tenir. Cette obligation s'applique indépendamment de toute déclaration à la CNIL, qui n'est plus requise depuis l'entrée en vigueur du RGPD en 2018.
La réalisation d'une Analyse d'Impact relative à la Protection des Données (AIPD). Une AIPD est une étude formelle permettant d'évaluer les risques que présente un traitement pour les droits et libertés des personnes concernées. La liste des traitements pour lesquels cette analyse est obligatoire, publiée par la CNIL, mentionne explicitement les dispositifs ayant pour finalité de surveiller de manière constante l'activité des salariés. Cette analyse doit être réalisée avant la mise en œuvre du dispositif, et non après.
L'information préalable des salariés. Les salariés doivent être informés, avant toute mise en œuvre, de l'existence du dispositif, de sa finalité et des données collectées. Cette information peut figurer dans le règlement intérieur, dans la charte informatique de l'entreprise ou dans tout autre document transmis formellement.
La consultation des représentants du personnel. Elle constitue une condition préalable à la mise en place de ces dispositifs et participe à la transparence de la démarche.
7. Ce que risque concrètement votre organisation
La CNIL dispose d'un pouvoir de sanction effectif. En cas de manquement au RGPD, elle peut mettre en demeure l'organisme concerné, prononcer une amende administrative et décider de rendre sa décision publique — avec les conséquences réputationnelles que cela implique.
Un exemple récent illustre concrètement ces risques : en décembre 2024, la CNIL a sanctionné une société à hauteur de 40 000 euros pour avoir déployé un dispositif de surveillance disproportionnée de ses salariés en télétravail. Les pratiques en cause — logiciel de suivi automatique des périodes d'inactivité, captures d'écran régulières et filmage permanent des postes — sont pourtant proposées en standard par de nombreux éditeurs de logiciels RH.
Par ailleurs, toute preuve obtenue via un dispositif non déclaré ou non conforme est susceptible d'être écartée par les juridictions. Les sanctions disciplinaires fondées sur de tels éléments peuvent être annulées.
Conclusion
Le télétravail ne suspend ni les droits des salariés ni les obligations de l'employeur. Le cadre juridique applicable est clair, et la CNIL le fait respecter.
La bonne approche n'est pas de chercher à maximiser le contrôle à distance, mais de mettre en place un cadre documenté, transparent et proportionné — qui protège à la fois les salariés et l'organisation.
C'est la mission du DPO externe : auditer vos pratiques actuelles de télétravail, identifier les dispositifs non conformes, formaliser votre charte informatique, réaliser les AIPD requises et tenir à jour votre registre des traitements.
Pour aller plus loin sur la sécurité technique des postes en télétravail — VPN, authentification, choix des outils de visioconférence — consultez notre prochain article dédié aux recommandations ANSSI et CNIL sur ce sujet.
Sources officielles
- CNIL — Télétravail : les règles et les bonnes pratiques à suivre
- CNIL — Les conseils de la CNIL pour mettre en place du télétravail
- CNIL — Les questions-réponses de la CNIL sur le télétravail
- CNIL — Les conseils de la CNIL pour utiliser les outils de visioconférence
- Article L. 1121-1 du Code du travail — Libertés individuelles et restrictions
- Article L. 1222-9 du Code du travail — Conditions de mise en place du télétravail
Le logiciel RGPD du DPO
Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.
Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.
Articles et actualités RGPD
Télétravail et surveillance des salariés : ce que le RGPD autorise — et ce qu'il interdit
40 000 € d'amende pour surveillance excessive en télétravail. Ce que le RGPD autorise, ce qu'il interdit, et comment mettre votre organisation en conformité.En savoir plus
IA et RGPD en biotechnologie : l'Europe tente de concilier innovation et protection des données personnelles
Entre AI Act et RGPD, l'European Biotech Act cherche à encadrer l'IA dans la recherche biomédicale. L'EDPB alerte sur des zones grises réglementaires. Tour d'horizon des enjeux pour les acteurs de la healthtech.En savoir plus
Tables Informatique & Libertés de la CNIL : toutes les nouveautés 2026
TC String, marketplace, télétravail, biométrie, DPD… La mise à jour 2026 des Tables IL de la CNIL intègre 10 nouvelles décisions clés. Analyse thématique complète pour les praticiens RGPD.En savoir plus
Entrepôts de données de santé : cinq erreurs juridiques que les établissements découvrent souvent trop tard
Entrepôts de données de santé : quelles erreurs juridiques éviter lors de leur mise en place ? Analyse du cadre RGPD, du référentiel CNIL et des enjeux de gouvernance.En savoir plus
