L’essor du télétravail et des outils numériques a conduit de nombreuses entreprises à mettre en place des réseaux privés virtuels (VPN) pour sécuriser les connexions à distance de leurs salariés. Si ces dispositifs permettent de protéger les données et de garantir la confidentialité des échanges, ils peuvent aussi être détournés à des fins de contrôle de l’activité des salariés.
Certains employeurs exploitent ainsi les journaux de connexion VPN pour surveiller le temps de travail, analyser les sites visités ou détecter d’éventuelles utilisations abusives des ressources informatiques. Mais une telle pratique est-elle conforme au droit du travail et au respect des libertés fondamentales des salariés ?
Cet article examine les limites légales de la surveillance des salariés via un VPN, les obligations d’information et de consultation du CSE ainsi que les sanctions encourues en cas de contrôle abusif.
L’utilisation d’un VPN permet de chiffrer les connexions et d’assurer un accès sécurisé aux ressources de l’entreprise. Toutefois, certains employeurs exploitent également ces outils pour collecter des données sur l’activité des salariés :
Si le contrôle de l’usage professionnel des outils numériques est légitime, il ne peut se faire au mépris des droits fondamentaux du salarié. L’article L. 1121-1 du Code du travail dispose ainsi :
« Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché. »
Autrement dit, l’employeur ne peut instaurer une surveillance généralisée et intrusive sous prétexte de sécurité informatique. Le contrôle doit être strictement proportionné au but poursuivi, à savoir la protection du réseau et des données de l’entreprise.
💡 Exemple : il serait disproportionné de surveiller l’ensemble des connexions VPN des salariés en permanence, alors qu’un contrôle ponctuel des connexions suspectes suffirait à garantir la sécurité du réseau.
Avant toute mise en place d’un dispositif de surveillance via un VPN, l’employeur est tenu d’informer individuellement chaque salarié de la collecte de ses données personnelles et des finalités poursuivies.
L’article L. 1222-4 du Code du travail prévoit à cet égard :
« Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance. »
Concrètement, cela signifie que :
✔ Un règlement intérieur ou une charte informatique doit préciser les modalités d’utilisation du VPN et les éventuels contrôles opérés.
✔ Une note de service ou un avenant au contrat de travail doit détailler les données collectées, leur durée de conservation et leur finalité.
Toute mise en place ou modification d’un outil de contrôle numérique doit être soumise à l’avis du comité social et économique (CSE).
L’article L. 2312-38 du Code du travail impose cette obligation dès lors qu’un dispositif peut avoir une incidence sur les conditions de travail.
⚠ Non-respect de cette obligation :
Un employeur qui met en place un système de surveillance excessive et disproportionnée via un VPN s’expose à plusieurs sanctions :
🚨 Sanctions civiles et prud’homales
🚨 Sanctions pénales et CNIL
En cas de contrôle excessif ou dissimulé, le salarié dispose de plusieurs recours :
✔ Saisir la CNIL pour traitement abusif de ses données personnelles.
✔ Consulter un avocat en droit du travail pour contester la surveillance et obtenir réparation.
✔ Saisir le conseil de prud’hommes pour demander l’annulation d’une sanction fondée sur une surveillance illégale.
Pour éviter toute contestation ou sanction, les entreprises doivent établir des règles claires concernant l’usage des VPN et leur éventuelle utilisation à des fins de contrôle.
✅ Mettre en place une charte informatique claire, détaillant l’usage du VPN et les contrôles autorisés.
✅ Informer systématiquement les salariés des données collectées et des finalités poursuivies.
✅ Respecter le principe de proportionnalité : ne collecter que les informations strictement nécessaires à la sécurité du réseau.
✅ Obtenir l’avis du CSE avant toute mise en place d’un système de contrôle via VPN.
De leur côté, les salariés doivent aussi adopter une utilisation responsable du VPN et respecter les règles établies par l’employeur pour éviter tout contentieux.
💡 Pour garantir une connexion sécurisée tout en respectant la vie privée des utilisateurs, il peut être recommandé d’utiliser un service VPN reconnu, tel que Surfshark, qui permet un cryptage des données tout en respectant les exigences de protection de la vie privée.
Si la surveillance des salariés via un VPN peut être légitime pour garantir la sécurité du réseau de l’entreprise, elle ne doit en aucun cas déroger aux principes fondamentaux du droit du travail et des libertés individuelles.
📌 À retenir :
✔ La surveillance via VPN doit être justifiée et proportionnée.
✔ L’employeur doit informer les salariés et consulter le CSE avant toute mise en place d’un contrôle.
✔ Un salarié peut contester une surveillance abusive et saisir la CNIL ou les prud’hommes en cas d’abus.
La clé réside donc dans un équilibre entre cybersécurité et respect du droit à la vie privée, garantissant un cadre de travail sécurisé sans porter atteinte aux libertés fondamentales.
