Please choose your language:
  • frFrançais

Visit us in:
Barcelona, Copenhagen, Hamburg, Hong Kong, Kochi, London, Madrid, Milan, Munich, New York, Paris, Vienna, Zurich

Nos bureaux
Demander une démo
Contactez notre expert
Compliance & Ethics
Solutions
Policy & Procedure Management
Gestion des divulgations
Third-party risk management
Conformité ABAC
Whistleblowing & case management
Compliance awareness
Plateforme
Toutes vos exigences de conformité. Une seule plateforme.
Whistleblowing
Canaux sécurisés. Protection totale.
Risks
Détectez les problèmes. Agissez. Gardez une longueur d’avance.
Policies
Une gouvernance claire. Zéro confusion.
Approvals
Décisions rapides. Transparence totale.
Third Parties
Vision approfondie. Partenariats sécurisés.
Livre Blanc
Case Study
Webinar
Event
Article
Optimiser votre cartographie des risques
Faire le premier pas est toujours un défi, surtout lorsqu’il s’agit de mettre en place un dispositif de conformité efficace.
Ressources
Case Studies Webinaires Evénements White Papers Blog Actualité produits Service
Data Privacy
Solutions
Privacy automation
Plateforme
Protégez les données. Renforcez la confiance.
Conformité RGPD
Protection fluide. Esprit tranquille.
Conformité IA
Innovation éthique. Prêt pour l’avenir.
E-Learnings
Des connaissances qui perdurent. Des équipes performantes.
Livre Blanc
Case Study
Webinar
Event
Article
Votre checklist pour réussir vos audits de conformité RGPD
Nos experts en protection des données ont conçu une checklist complète pour vous accompagner, étape par étape, dans la préparation et la réalisation de vos audits RGPD. Téléchargez-la gratuitement dès maintenant.
Ressources
Études de cas Webinaires Evénements White Papers Blog
Gestion de la durabilité
Solutions
Plateforme
Tous les cas d’usage sur une seule plateforme. Le cockpit de la durabilité
CSRD
Collectez les données dans toute l’organisation. Des rapports conformes..
Empreinte CO2
Calculez votre empreinte carbone. Réduisez vos émissions.
Double matérialité
Identifiez les enjeux clés. Passez à l’action.
VSME
Déclarez et partagez vos données ESG essentielles.
Taxonomie européenne
Mesurez votre alignement. Devenez plus durable.
Livre Blanc
Case Study
Webinar
Event
Article
La publication d’informations en matière de durabilité après la proposition “Omnibus” de l’UE
Faire le premier pas est toujours un défi, surtout lorsqu’il s’agit de mettre en place un dispositif de conformité efficace.
Ressources
Études de cas Webinaires Evénements White Papers Blog
Retour

Contrôle de l’activité des salariés et RGPD : règles, limites et bonnes pratiques

by Ola Mohty - Experte en protection des données & Docteure en droit  | Updated: 15/12/2025

Assurer la sécurité des données tout en respectant la vie privée des salariés est un équilibre délicat. Voici les règles à connaître pour mettre en place un contrôle efficace et conforme.

Chaque entreprise met à disposition de ses salariés des moyens physiques et numériques d’exercer son activité (matériel informatique, cloud, accès aux locaux de l’entreprise…). Cette mise à disposition doit être encadrée et les nouvelles technologies permettent de gérer cette surveillance notamment à distance. L’employeur dispose d’un pouvoir de contrôle de l’activité des salariés. 

Le contrôle de l’activité des salariés peut se justifier par deux raisons : 

  • D’une part, afin de limiter les risques d’abus d’une utilisation trop personnelle d’internet par les salariés impactant de fait leur efficacité 
  • D’autre part, afin de préserver la sécurité des données et d’éviter toute fuite de données qui serait préjudiciable à l’entreprise comme aux salariés 

Ce dernier point relève en effet d’une obligation imposée par l’article 32 du RGPD : la sécurité des données personnelles. En effet, les ressources informatiques utilisées par les salariés constituent des sources majeures de vulnérabilité face aux risques de contaminations et d’intrusions malveillantes. Une fuite de données peut donc parfaitement trouver son origine dans la négligence d’un salarié, par exemple lors de l’utilisation de sa messagerie professionnelle. 

La mise en place d’outils de cybersurveillance est donc nécessaire afin d’assurer la sécurité des données personnelles. Cependant, la mise en place de tels dispositifs doit se faire en adéquation avec les dispositions du Code du Travail et la réglementation relative à la protection des Données Personnelles pour que le contrôle puisse s’exercer dans le strict respect des droits des salariés. 

Afin de concilier vie privée des salariés et sécurité des données personnelles, EQS Group vous propose de revenir sur les règles applicables en matière de contrôle de l’activité. 

L’encadrement par le droit du travail

Le Code du Travail dispose que : 

« Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché » 1. 

Ce principe de respect de la vie privée des salariés doit donc guider l’employeur dans la mise en place des outils de contrôle. De fait, l’employeur a plusieurs obligations : 

  • Obligation de loyauté : L’article L. 1222-4 du Code du Travail dispose qu’aucune information concernant un salarié ne peut être collectée par un dispositif qui n’aurait pas été porté à la connaissance de ce dernier. Par conséquent, l’existence de tels dispositifs doit obligatoirement être portée à la connaissance des salariés. 
  • Obligation d’information et de consultation des instances représentatives du personnel : L’article L. 2312-38 al. 3 du Code du Travail impose à l’employeur d’informer et de consulter le CSE préalablement à la mise en œuvre de tout dispositif permettant un contrôle de l’activité des salariés pendant le temps de travail. 

En outre, la Cour de cassation est allée plus loin que le Code du Travail dans un arrêt du 11 décembre 2019 2 en considérant que l’employeur doit informer et consulter le CSE quant à la mise en place du dispositif de contrôle des salariés quand bien même le contrôle n’en est pas la finalité première et exclusive. 

Pour rappel, le défaut de consultation du CSE fait encourir à l’employeur un risque de condamnation pénale pour délit d’entrave. 

L’encadrement par le RGPD

L’entrée en vigueur du RGPD est venue compléter les dispositions du Code du Travail et, de fait, apporter une protection supplémentaire à la vie privée des salariés. 

  • Article 30 du RGPD : le responsable de traitement (ici, l’employeur) doit tenir un registre des activités de traitement. Tout dispositif de contrôle impliquant un traitement de données personnelles des salariés doit apparaître dans ce registre 3. 
  • Article 35 du RGPD : obligation pour le responsable de traitement d’effectuer une analyse d’impact lorsqu’un traitement de données personnelles est susceptible « d’engendrer un risque élevé pour les droits et libertés des personnes physiques » 4. 
  • La CNIL précise que cette analyse est nécessaire pour les traitements visant à surveiller de manière constante l’activité des employés concernés, considérés comme « vulnérables ». 

Par exemple, la mise en place d’un dispositif de vidéosurveillance nécessite une analyse d’impact préalable. 

  • Articles 12 et 13 du RGPD : obligation de transparence pour informer les salariés : 
  • Finalités poursuivies 
  • Base légale (ex. intérêt légitime de l’employeur) 
  • Identité du responsable de traitement 
  • Identité des destinataires des données 
  • Durée de conservation des données 
  • Droits d’opposition, d’accès et de rectification 
  • Possibilité d’introduire une réclamation auprès d’une autorité de contrôle 

La marge de manœuvre de l’employeur dans la mise en place d’outils de contrôle

Plusieurs dispositifs peuvent être mis en œuvre par l’employeur afin de contrôler l’activité des salariés sur le lieu de travail. La CNIL et la jurisprudence en droit du travail ont précisé à plusieurs reprises cette marge de manœuvre. 

L’interdiction formelle d’outils de surveillance permanente

Même si l’employeur a le droit de contrôler l’activité des salariés, il lui est interdit de les placer en situation de surveillance permanente. La CNIL rappelle que certains dispositifs sont fortement intrusifs. 

Sont interdits : 

  • Surveillance constante via dispositifs vidéo, notamment en demandant aux salariés de garder leur caméra activée 
  • Utilisation de keyloggers pour enregistrer frappes et mouvements de souris 
  • Contrôle excessif des connexions internet 

L’utilisation d’internet à des fins personnelles doit rester raisonnable et ne concerner que des sites dont le contenu est légal. 

La Cour de cassation rappelle que les connexions personnelles abusives pendant le temps de travail peuvent constituer une faute grave, justifiant un licenciement. 

Pour la sécurité des données, un logiciel de filtrage peut restreindre la navigation et bloquer l’accès aux sites non autorisés. 

Le contrôle des e-mails

  • Les e-mails reçus sur la boîte mail professionnelle peuvent être consultés, sauf s’ils sont identifiés comme « personnels ». 
  • L’employeur ne peut accéder aux e-mails de la boîte électronique personnelle, même s’ils ont été rédigés sur l’ordinateur professionnel 5. 

Le recours à la vidéosurveillance

  • Doit respecter le Code du Travail et le RGPD 
  • Information claire aux salariés (affichage obligatoire)

Limitations :

  • Caméras limitées aux entrées/sorties, issues de secours, zones de stockage de biens de valeur 
  • Interdiction de filmer : postes de travail (sauf cas particuliers), zones de pause/repos, toilettes, locaux syndicaux 
  • Durée de conservation maximale : 1 mois

Conclusion

Le contrôle de l’activité des salariés est un levier légitime pour l’employeur, notamment afin de garantir la sécurité des données personnelles et la continuité de l’activité de l’entreprise. Toutefois, ce pouvoir de contrôle ne peut s’exercer sans limites. Le Code du Travail et le RGPD imposent un cadre strict, fondé sur les principes de proportionnalité, de transparence et de respect de la vie privée des salariés. 

La mise en place d’outils de contrôle doit ainsi répondre à un objectif clairement identifié, être justifiée par les risques encourus et s’accompagner d’une information complète des salariés et des instances représentatives du personnel. En conciliant exigences de sécurité et protection des droits fondamentaux, l’employeur s’inscrit dans une démarche de conformité durable et renforce la relation de confiance avec ses collaborateurs.

Sources

1 Art. L. 1121-1 du Code du Travail 

2 Cass. Soc, 11 décembre 2019 n°18-11.792 

3 Art.30 du RGPD par la CNIL 

4 Art.35 du RGPD par la CNIL 

Ola Mohty
Ola Mohty

Experte en protection des données & Docteure en droit

Passionnée par la protection de la vie privée et la sécurité des données, Ola aide depuis 2018 les entreprises à transformer la conformité en véritable levier de confiance. Forte de son expertise juridique approfondie en matière de protection des données personnelles, elle allie précision juridique et approche opérationnelle pour accompagner des organisations de toutes tailles. Sa mission : rendre la protection des données accessible, stratégique et porteuse de valeur.

Contact