Depuis la crise sanitaire, le télétravail s'est durablement installé dans les entreprises. Selon l'Insee, plus d'un salarié du secteur privé sur cinq travaille aujourd'hui à distance au moins une partie de la semaine. Cette évolution a profondément modifié les méthodes de management, mais elle a aussi fait émerger de nouveaux outils de contrôle. Certaines entreprises se contentent de suivre les connexions aux logiciels professionnels ou d'organiser des points réguliers avec leurs équipes.
D'autres vont beaucoup plus loin, en recourant à des logiciels capables d'enregistrer les frappes clavier, de comptabiliser les périodes d'inactivité ou de réaliser des captures d'écran à intervalles réguliers. Ces pratiques soulèvent une question sensible : où s'arrête le pouvoir de contrôle de l'employeur et où commence l'atteinte à la vie privée du salarié ? Avec le Code du travail, le RGPD, les décisions de la CNIL et la jurisprudence récente de la Cour de cassation, les règles sont nombreuses et parfois complexes. Une chose est sûre : surveiller un salarié ne signifie pas pouvoir l'observer en permanence.
Un employeur peut-il surveiller les mouvements de souris d'un salarié ?
Le télétravail ne supprime pas le lien de subordination. Un salarié reste tenu d'effectuer les missions qui lui sont confiées, de respecter ses horaires et de rendre compte de son activité. L'employeur conserve donc un pouvoir de contrôle. Mais ce pouvoir est strictement encadré. L'article L.1121-1 du Code du travail prévoit qu'aucune restriction aux droits et libertés individuelles ne peut être imposée si elle n'est pas justifiée par la nature de la tâche à accomplir et proportionnée au but recherché.
De son côté, l'article L.1222-4 interdit à l'employeur de collecter des informations concernant un salarié au moyen d'un dispositif qui n'aurait pas été porté préalablement à sa connaissance. « Un employeur a le droit de contrôler l'activité de ses salariés, mais certainement pas sans limites », rappellent Avi Bitton, avocat spécialisé en droit du travail. Les spécialistes mettent en garde contre les logiciels qui mesurent l'activité à travers les mouvements de souris ou les frappes clavier.
« Un logiciel qui comptabilise les temps d'inactivité à travers les mouvements de souris ou les frappes clavier pour déduire un décompte journalier des heures effectives pose un problème juridique sérieux », explique de son côté Maya Benzakki, juriste. Et pour cause : un salarié peut travailler sans toucher son clavier pendant plusieurs minutes. « Un salarié peut réfléchir, être en réunion téléphonique, lire un document papier ou analyser un dossier. L'absence de mouvement de souris ne signifie donc pas l'absence de travail », souligne cette dernière.
L'arrêt Nikon protège-t-il encore la vie privée des salariés ?
Oui. Plus de vingt ans après son prononcé, l'arrêt Nikon demeure une référence incontournable. Dans cette décision rendue le 2 octobre 2001, la Cour de cassation a affirmé qu'un salarié bénéficie, même au temps et au lieu de travail, du respect de sa vie privée et du secret de ses correspondances.
Cette protection subsiste même lorsque l'employeur interdit toute utilisation personnelle de l'ordinateur professionnel. « La surveillance du télétravailleur ne peut pas être la réplique numérique d'une caméra braquée en permanence sur un bureau », résument Avi Bitton. Ce principe reste donc aujourd'hui au cœur des décisions rendues en matière de surveillance numérique.
Les captures d'écran automatiques et les keyloggers sont-ils légaux ?
C'est ici que la frontière entre contrôle et surveillance devient la plus délicate. Certaines entreprises utilisent des logiciels capables de réaliser des captures d'écran régulières, d'enregistrer les frappes clavier ou encore de comptabiliser chaque interruption d'activité. Ces programmes, souvent appelés keyloggers, figurent parmi les outils les plus intrusifs du marché. Pour la CNIL, leur utilisation est très problématique.
Dans une délibération du 19 décembre 2024, l'autorité a sanctionné une entreprise immobilière à hauteur de 40 000 euros pour avoir mis en place un logiciel permettant de comptabiliser les périodes supposées d'inactivité, de réaliser des captures d'écran régulières et de filmer en permanence les salariés en télétravail. « On ne peut pas réduire le travail d'un être humain à l'absence de mouvement de souris », rappelle Avi Bitton, en s'appuyant sur cette décision. La CNIL considère également comme disproportionnée l'obligation de laisser sa webcam activée en permanence ou tout dispositif conduisant à une surveillance continue du salarié.
Quels contrôles restent autorisés par la loi ?
Tout contrôle n'est pas interdit, loin de là. L'employeur peut notamment vérifier les connexions aux applications professionnelles, contrôler les accès aux serveurs de l'entreprise, consulter la messagerie professionnelle sous certaines conditions ou encore utiliser des outils de gestion de projet permettant de suivre l'avancement des tâches.
Ces dispositifs sont généralement admis parce qu'ils permettent d'évaluer le travail accompli sans enregistrer chaque geste du salarié. L'objectif poursuivi est ici déterminant. La CNIL exige que tout dispositif réponde à une finalité légitime, comme la sécurité informatique, la protection des données de l'entreprise ou l'organisation du travail.
Votre employeur doit-il vous informer ?
Oui, et cette obligation est particulièrement stricte. Avant tout déploiement d'un outil de surveillance, l'entreprise doit informer individuellement les salariés concernés. Elle doit également consulter le comité social et économique (CSE). Cette obligation découle notamment de l'article L.2312-38 du Code du travail. « Peu importe que la surveillance soit la finalité principale ou secondaire de l'outil. Dès lors qu'il permet de contrôler les salariés, le CSE doit être consulté », souligne Maya Benzakki.
La Cour de cassation l'a d'ailleurs confirmé dans un arrêt du 11 décembre 2019. L'entreprise doit également préciser la finalité du dispositif, les données collectées, leur durée de conservation et les personnes habilitées à y accéder. À cela s'ajoutent les obligations issues du RGPD. L'article 35 du règlement européen impose notamment une analyse d'impact lorsqu'un dispositif est susceptible de présenter un risque élevé pour les droits et libertés des personnes concernées.
Peut-on détecter un logiciel de surveillance installé sur son ordinateur ?
Dans certains cas, oui. Les logiciels les plus visibles apparaissent dans la liste des applications installées ou dans les processus actifs de l'ordinateur. D'autres fonctionnent de manière beaucoup plus discrète. Mais en théorie, un salarié ne devrait jamais découvrir par hasard l'existence d'un tel outil.
« Toute la logique du droit français repose sur la transparence. Un système caché expose l'employeur à des sanctions de la CNIL et fragilise juridiquement l'utilisation des données collectées.», explique l'avocat. » Le salarié a donc intérêt à consulter la charte informatique de son entreprise, son accord de télétravail ou encore le règlement intérieur.
Que risque un salarié qui utilise un "mouse jiggler" ?
Ces petits dispositifs, physiques ou logiciels, sont conçus pour faire bouger artificiellement la souris afin d'empêcher un ordinateur de passer en veille ou de donner l'impression que l'utilisateur est actif. Leur utilisation se développe depuis plusieurs années dans certains pays, notamment aux États-Unis. En France, la réponse dépend largement de la légalité du dispositif de contrôle mis en place par l'employeur.
« Si l'employeur a respecté toutes les règles applicables et que le salarié désactive délibérément l'outil ou utilise un programme pour faire bouger sa souris artificiellement, il manque à son obligation de loyauté », expliquent Avi Bitton. Cette obligation de loyauté découle de l'article L.1222-1 du Code du travail. Dans les cas les plus graves, le salarié peut s'exposer à une sanction disciplinaire voire à un licenciement pour faute grave. Plusieurs licenciements liés à l'utilisation de logiciels simulant une activité informatique ont d'ailleurs été médiatisés ces dernières années.
La jurisprudence est-elle en train de changer ?
C'est probablement le point le plus sensible du dossier. Pendant longtemps, les preuves obtenues grâce à un dispositif de surveillance irrégulier étaient généralement écartées des débats judiciaires. Mais plusieurs décisions récentes de la Cour de cassation ont assoupli cette position. Dans un arrêt du 14 février 2024 (n°22-23.073), les juges ont validé un licenciement fondé sur des images issues d'un système de vidéosurveillance installé pour des raisons de sécurité, alors même que le salarié n'avait pas été informé de cette utilisation particulière.
Cette orientation a été confirmée par un arrêt du 22 janvier 2025 (n°23-22.216). La Cour de cassation y affirme que le contrôle de l'activité d'un salarié sur son lieu et son temps de travail ne constitue pas nécessairement un mode de preuve illicite, même en l'absence d'information préalable. « Nous assistons aujourd'hui à une tension entre deux logiques juridiques », analyse Maya Benzakki, qui poursuit. « D'un côté, la CNIL peut sanctionner un employeur pour un dispositif de surveillance excessif. De l'autre, le juge prud'homal peut accepter certaines preuves obtenues grâce à ce dispositif s'il estime leur utilisation proportionnée. »
Cette évolution ne signifie pas pour autant que tout est permis. Mais elle montre que le critère de proportionnalité est devenu central dans l'appréciation des litiges liés à la surveillance numérique des salariés. Une certitude demeure : en télétravail comme au bureau, l'employeur peut contrôler le travail réalisé, mais il ne peut pas faire de chaque clic une preuve de productivité.
