Dans un environnement professionnel en constante évolution, marqué par l’essor rapide des nouvelles technologies, la question de la surveillance numérique s’impose comme un enjeu crucial. Cependant, la surveillance des travailleurs n’est pas un phénomène nouveau.

Selon Norberto Bobbio, philosophe du droit italien, « l'idéal de tout puissant a toujours été de voir chaque geste et d'écouter chaque parole de ses sujets (de préférence sans être vu ni entendu)».[1] Cette réflexion illustre parfaitement les rapports entre salariés et employeur, au point qu’on parle souvent dans la littérature de surveillance « panoptique », c’est-à-dire d’un système de surveillance continue des individus, qui permet d’observer l’intégralité de leurs gestes et actions sans être vu.[2]

Dans le monde du travail, on peut affirmer que la surveillance existe dès lors qu’il existe un lien de subordination, ce dernier étant défini comme le lien par lequel l’employeur exerce son pouvoir de direction sur l’employé.[3] En effet, l’employeur a toujours essayé de contrôler l’activité des salariés afin de s’assurer de la bonne exécution de leur travail et, plus généralement, du respect de ses ordres et directives.

Toutefois, la surveillance est un phénomène en constante évolution : le développement des nouvelles technologies a permis à l’employeur d’introduire des dispositifs de contrôle et de surveillance au sein de l’entreprise qui complètent le contrôle humain ou s’y substituent.[4] Avec l’avènement de la technologie, des mécanismes de surveillance de plus en plus sophistiqués ont vu le jour, entraînant l’abandon progressif d’outils rudimentaires tels que les horloges pointeuses ou les anciens systèmes de badges.

Aujourd’hui, l’employeur dispose de nombreux moyens de contrôle : les dispositifs de vidéosurveillance, les systèmes de géolocalisation, les badges électroniques, la technologie biométrique et les réseaux sociaux ne sont que quelques exemples. Grâce à ces nouveaux outils technologiques et informatiques, l’employeur peut désormais surveiller l’activité des salariés même à distance : c’est ce qu’on appelle « cybersurveillance » ou « surveillance numérique ». D’une part, cette pratique peut contribuer à améliorer la productivité de l’entreprise, renforcer la sécurité et promouvoir l’équité sur le lieu de travail. D’autre part, elle entraîne des risques pour la vie privée et la protection des données personnelles des travailleurs, ainsi que pour leur santé mentale et leur bien-être au travail.

À ce propos, un Rapport d’Eurofound, publié en 2020[5], souligne que l’utilisation des technologies numériques a renforcé le potentiel de contrôle et de surveillance des travailleurs à distance et que les comités sociaux et économiques d’entreprise, ou d’autres formes de représentation des travailleurs, jouent un rôle important pour fixer des limites à l’utilisation des technologies de surveillance intrusive.

Dans ce contexte, la protection des données à caractère personnel, y compris sur le lieu de travail, a toujours été une préoccupation majeure au niveau européen. En 1995 l’Union Européenne a adopté une directive relative à la protection des personnes physiques à l'égard du traitement des données personnelles et à la libre circulation de ces données. Toutefois, cette directive n’assurait pas une règlementation uniforme au niveau européen, puisque les Etats membres disposaient d’une grande marge de manœuvre quant à sa transposition. Pour cette raison, elle a été abrogée en 2016 et remplacée par le Règlement Général sur la Protection des Données (ci-après « RGPD »), afin d’assurer un niveau de protection cohérent, élevé et équivalent dans tous les Etats membres[6]. Il convient de souligner que le règlement leur laisse néanmoins une marge de manœuvre pour préciser ses règles, notamment dans le domaine du travail. A cet égard, l’art.88 du RGPD permet aux Etats membres d’adopter des mesures spécifiques relatives à la protection des données personnelles des employés.

Comment les ordres juridiques français et italien ont-ils transposé les règles relatives à la protection des données personnelles dans le cadre des relations de travail et dans quelle mesure les dispositifs adoptés assurent-ils une protection adéquate et suffisante des employés face aux dérives de la surveillance numérique ?

Cette étude comparée va analyser la façon dont les régimes français et italien ont encadré ce sujet, en se concentrant premièrement sur les mesures prévues pour limiter les pouvoirs de l’employeur. (I)

Dans un second temps, on abordera la question de la protection des droits des travailleurs (II) et on terminera l’analyse par une réflexion sur le rôle crucial des autorités nationales chargées de la protection des données personnelles.

1. La nécessité de limiter les pouvoirs de l’employeur

Quel que soit le type de contrat de travail, l’employeur dispose de prérogatives qu’il peut exercer sur les salariés. Traditionnellement, on distingue les pouvoirs de direction, de contrôle et de sanction. Le premier consiste essentiellement à donner des ordres et des directives aux salariés. Par ce pouvoir, l’employeur a le droit de surveiller l’activité des salariés pendant le temps de travail et dispose aussi du pouvoir de sanctionner leurs manquements. Donc, l’employeur peut être considéré à la fois comme le législateur et le juge au sein de l’entreprise[7]: non seulement il fixe les règles de son fonctionnement, mais il veille également à leur application.

Toutefois, ses pouvoirs ne sont pas sans limites. Les législateurs français et italien sont intervenus pour les encadrer et les restreindre, en accordant une attention particulière au pouvoir de contrôle. En France, les procédés de surveillance susceptibles de porter atteinte aux libertés individuelles des salariés doivent être justifiés par la nature de la tâche à accomplir et, surtout, proportionnés au but recherché[8]. Donc, pour qu’un procédé de surveillance soit légal, l’employeur doit avant tout identifier et justifier les raisons pour lesquelles il le met en place. Mais il y a d’autres obligations qui pèsent sur lui : l’employeur est tenu d’informer et consulter préalablement le comité d’entreprise[9], qui donne son avis sur la pertinence des moyens utilisés, et il doit aussi fournir une information individuelle au salarié.

En Italie, l’employeur peut mettre en place des dispositifs de contrôle pour des raisons bien déterminées, telles que les exigences organisationnelles et productives, la sécurité au travail et la protection du patrimoine de l’entreprise.[10] En outre, le législateur italien a introduit une distinction fondamentale entre les « outils de contrôle » d’une part et les « outils de travail » et « d’enregistrement des accès et des présences » d’autre part. Les premiers ne peuvent être installés qu’après la conclusion d’un accord collectif ou, à défaut, l’obtention d’une autorisation administrative. Cette condition n’est pas requise pour les autres catégories d’outils, c’est-à-dire que l’employeur peut exercer son contrôle sur les outils utilisés par les salariés pour travailler ou pour enregistrer leurs accès et présences sans accord ou autorisation préalable. Au contraire, en France, la consultation et l’information préalable des instances représentatives du personnel sont toujours nécessaires.

Bien que les législations française et italienne aient adopté des mesures différentes pour encadrer le pouvoir de contrôle de l’employeur, sa responsabilité peut être engagée sur les plans civil, administratif et pénal dans les deux pays. Les sanctions prévues par ces législations sont largement similaires, mais présentent néanmoins quelques différences.

En Italie, comme en France, les informations collectées illégalement, c’est-à-dire par un procédé de contrôle illicite, ne peuvent pas être utilisées. Cela entraîne deux conséquences sur le plan civil : d’une part, les preuves illégales ne peuvent pas être utilisées pour fonder un licenciement, qui sera sans cause réelle et sérieuse ; d’autre part, elles ne seront pas considérées comme valables ni recevables en justice.

Sur le plan administratif, l’art. 83 du RGPD impose des amendes très lourdes en cas de violation des dispositions relatives à la protection des données personnelles. Cependant, l’article suivant accorde aux Etats membres la possibilité d’établir d’autres sanctions applicables en cas de non-respect du règlement[11].

À ce titre, des sanctions pénales ont été prévues par les législateurs français et italien. En droit pénal français, le fait de porter atteinte volontairement à l'intimité de la vie privée d'autrui, par tout moyen, est puni d'un an d'emprisonnement et de 45 000 euros d'amende (art. 226-1, Code pénal). Cette disposition fait régulièrement l’objet de contestations et de décisions jurisprudentielles en matière d’emploi. En revanche, en Italie, la sanction pénale prévue à l’art.38 de la loi n°300 de 1970 est accessoire et presque jamais appliquée. De plus, le champ d’application de la disposition italienne est beaucoup plus restreint : elle sanctionne uniquement le non-respect de la procédure préalable à l’instauration des dispositifs de surveillance, lorsqu’elle est requise. Dans le cas contraire, aucune conséquence pénale ne sera applicable et seule la responsabilité civile et administrative de l’employeur pourra être engagée.

Il est évident que les salariés peuvent engager la responsabilité de l’employeur qui exerce un contrôle excessif ou, tout simplement, illégal. Toutefois, ils disposent également de moyens préventifs pour s’opposer à son pouvoir de surveillance. En effet, ils peuvent faire valoir plusieurs droits, qui sont censés les protéger contre toute ingérence abusive de l’employeur.

2. La protection insuffisante des droits des travailleurs  

Pour qu’un procédé de contrôle soit légal, en France et en Italie, l’employeur doit fournir une information individuelle et ponctuelle aux salariés. Ces derniers ont le droit d’être informés sur les modalités et les finalités du contrôle mis en place par l’employeur. En France, l’art. L 1222-4 du Code du travail dispose qu’« Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n'a pas été porté préalablement à sa connaissance. ». De son côté, le législateur italien a prévu qu’en l’absence d’une information « adéquate »[12], l’employeur ne peut pas utiliser les données recueillies dans le cadre du contrôle. Par conséquent, tout dispositif de contrôle clandestin, mis en place à l’insu des salariés, constitue un moyen de preuve illicite. Toutefois, les approches jurisprudentielles diffèrent considérablement en France et en Italie.

En 2008 la Cour de cassation française a rendu deux arrêts très importants qui ont également conduit à la condamnation de l’employeur.[13] En outre, dans l’arrêt du 4 juillet 2012[14] elle a affirmé que l’utilisation de lettres piégées à l’insu du personnel constituait un stratagème, rendant illicite le moyen de preuve obtenu. On peut donc affirmer que la transparence est la première règle d’or à respecter pour que la preuve de l’employeur contre le salarié soit légale[15]. Selon la jurisprudence constante de la Cour de cassation française, les preuves issues de contrôles clandestins ne produisent aucun effet juridique, indépendamment des fautes dont le salarié a pu se rendre coupable.

Au contraire, en Italie, le contrôle clandestin est admis s’il a une nature « défensive », c’est-à-dire si l’objectif poursuivi par l’employeur consiste à protéger le patrimoine matériel ou immatériel de l’entreprise. La Cour de cassation italienne a reconnu à plusieurs reprises la légitimité des contrôles clandestins en cas de manquements ou de comportement illicites des employés.[16] A titre d’exemple, elle a estimé légitimes les contrôles réalisés par une banque, à l’insu de l’employée, dans le but de vérifier des irrégularités comptables. Ainsi, le droit des salariés à être informés des modalités et des finalités du contrôle n’est pas absolu, notamment en Italie, où des dérogations sont régulièrement admises par la jurisprudence.

Deuxièmement, les employés ont le droit de consentir au traitement de leurs données personnelles et leur consentement est systématiquement requis dans certains cas. Des règles particulières sont prévues pour les données sensibles, telles que les données biométriques, dont le traitement est en principe interdit. Cependant, l’art 9 du RGPD autorise leur traitement à certaines conditions, même sans le consentement de la personne concernée. En outre, il permet aux Etats membres d’introduire des conditions supplémentaires, y compris des restrictions, concernant le traitement des données génétiques et biométriques.

En 2019, la Commission Nationale de l’Informatique et des Libertés a adopté un règlement type relatif à l’accès par authentification biométrique sur les lieux de travail. Il s’agit d’un acte juridique contraignant qui précise les obligations des employeurs recourant à des dispositifs biométriques pour surveiller les employés.[17] Ce règlement encadre l’utilisation de la biométrie, autorisée uniquement à des fins et à des conditions bien précises.

En revanche, la position de l’autorité italienne est encore plus restrictive. Le Garant pour la protection des données personnelles italien n’a pas adopté un acte de caractère général : il intervient plutôt de manière ponctuelle pour clarifier sa position et sanctionner les manquements de l’employeur. En 2024 il a rendu une décision très importante, où il a sanctionné une société qui avait utilisé des caméras et des logiciels pour surveiller les employés. Il a notamment précisé que l’utilisation des données biométriques pour contrôler les présences sur le lieu de travail est interdit, même en cas de consentement de l’employé au traitement de ses données. [18]

Il est évident que les autorités nationales de protection des données jouent un rôle crucial en matière de surveillance numérique : elles sont chargées de protéger la sphère privée des travailleurs contre toute ingérence abusive de l’employeur. Toutefois, cette tâche s’avère particulièrement complexe à l’heure actuelle. L’emploi des nouvelles technologies à des fins de surveillance rend la conciliation entre le pouvoir de contrôle de l’employeur et la protection des données personnelles des travailleurs de plus en plus difficile.

Par ailleurs, trouver un juste équilibre entre vie privée et vie professionnelle demeure une préoccupation majeure pour les salariés. Le nouveau « droit à la déconnexion » ne leur garantit pas une protection suffisante, son application s’avérant inégale et inefficace tant en France qu’en Italie. Un renforcement des droits des salariés serait souhaitable, sinon indispensable : non seulement le salarié se trouve dans une position de faiblesse en vertu du contrat de travail, mais il est aussi particulièrement vulnérable face à un employeur qui dispose de nombreux moyens pour exercer ces prérogatives.

Pour conclure, les transformations en cours dans le monde du travail mettent en lumière les limites de la notion classique de subordination. En outre, la réglementation européenne et les législations nationales ne garantissent pas une protection efficace des salariés face aux dérives de la surveillance numérique. D’une part, le niveau de protection européen n’est pas uniforme, pouvant varier d’un Etat membre à l’autre. D’autre part, il convient de souligner que le droit du travail est fortement influencé par des facteurs sociaux, économiques et politiques propres à chaque pays. Dès lors, une règlementation identique dans tous les Etats membres en matière de surveillance numérique serait irréaliste. En revanche, il paraît possible d’envisager un droit qui évolue parallèlement aux progrès technologiques. Il est donc essentiel d’adapter en permanence le cadre règlementaire aux avancées technologiques afin d’offrir des garanties adéquates aux salariés, désormais exposés à un risque accru de « hypersurveillance ».