Comment mettre en œuvre la mobilité en entreprise? Avec la présence de : Xavier de Mazenod, co-organisateur du Tour de France du télétravail 2012 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 1
11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 2
Introduction La situation en 2014 Mise en place de nombreuses stratégies numériques au travers de la réorganisation managériale Evolution du pouvoir de contrôle de l employeur et du statut du salarié L actualité La Cnil, toujours plus présente dans l accompagnement de la conformité L introduction de nouvelles pratiques numériques non règlementées à ce jour L enjeu Gestion de la mobilité Régulation des temps de travail 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 3
Plan 1. Santé au travail et internet des objets (IdO) 2. L entreprise «HUB» : Byod/télétravail 3. La régulation des temps 4. La cybersurveillance vs mobilité 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 4
1. Santé au travail et internet de objets (IdO) 1. Obligation de résultat 2. Les enjeux 3. Les tendances IdO 4. Nos recommandations 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 5
1.1 Obligation de résultat Principe: 2 arrêts 3.02.2010 Tenu d une obligation de sécurité de résultat en matière de protection de la santé et de la sécurité des travailleurs, l employeur manque à cette obligation lorsqu un salarié est victime, sur le lieu de travail, d agissements de harcèlement moral ou sexuel (arrêt n 1, pourvoi n 08-44.019), ou de violences physiques ou morales (arrêt n 2, pourvoi n 08-40.144), exercés par l un ou l autre de ses salariés, quand bien même il aurait pris des mesures en vue de faire cesser ces agissements. Conséquence L entreprise est responsable des salariés en situation de mobilité 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 6
1.2 Les enjeux (1) Risques psychosociaux harcèlement moral/sexuel (L1152-1/1153- Code travail) stress professionnel/épuisement professionnel Incivilités Mise en place d un cadre régulateur 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 7
1.2 Les enjeux (2) Arrêt du 8.11.2011 n 11-23855 - Pour retenir la faute inexcusable, le salarié invoque la surcharge de travail. L employeur ne peut ignorer les données médicales afférentes au stress au travail Autres jurisprudences - Crim 6.12 2011 n 10-82 266 La chambre criminelle rappelle que le délit de harcèlement moral ne requiert pas qu il existe un lien de subordination entre l auteur et la victime 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 8
1.2 Les enjeux (3) Prévenir Risques Mettre en place les mesures adaptées Ecoute du salarié Pas de droit à l erreur Réagir Mettre fin à la situation Trouver une situation médicale Rompre le contrat de travail Demande de réparation Résultat Obligation de résultat 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 9
1.3 Tendances IdO (1) Définition : Connexion d objets sans fil à internet au moyen de puces intelligentes badges sociométriques, bracelets d identification, etc. Objets connectés aux salariés afin de mesurer leur activité Dispositifs de collecte, traitement et transfert des informations 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 10
1.3 Tendances IdO (3) 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 11
1.3 Tendance IdO (1) Prévenir Risques Mettre en place les mesures adaptées Ecoute du salarié Pas de droit à l erreur Réagir Mettre fin à la situation Trouver une situation médicale Rompre le contrat de travail Demande de réparation Résultat Obligation de résultat Variable d ajuste ment Mesurer la santé du salarié Pilotage 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 12
1.4 Nos recommandations Déterminer l usage et l objectif de l objet connecté Analyse du respect de la conformité à la règlementation informatique et libertés Déclaration préalable à la CNIL Analyse du respect de la conformité à la règlementation sociale Information et consultation préalable à la mise en place du Comité d entreprise Information des salariés 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 13
2. Les entreprises «hub» 1. Byod/Télétravail 2. Les risques 3. Les enjeux 4. Nos recommandations 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 14
2.1 Byod/télétravail 14 % de salariés français télé-travaillent au moins 8h/mois en 2013 1370 de coût moyen par télétravailleur pour la mise en place + 22 % de gain moyen de productivité en télétravail 64 % des télétravailleurs notent une augmentation du temps de travail 35 % des télétravailleurs notent un «coût» du télétravail (surtout lorsque non prévu dans le contrat de travail ou accord d entreprise) 85 % des mises en place du télétravail sont d abord motivées par l amélioration de la qualité de vie 20 % des salariés-parents plébiscitent le télétravail +37 min/jour de temps gagné au profit de la vie familiale +45 min/jour de temps de sommeil supplémentaire 96 % de satisfaction liée au télétravail (télétravailleurs, manageurs et employeurs) 90 % des télétravailleurs estiment que le télétravail a amélioré leur vie personnelle et 84 % leur vie familiale 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 15
2.2 Risques (1) Risques Propriétaire du terminal Scénarios envisagées l absence prolongée d un collaborateur Indisponibilité de données professionnelles Atteinte à l intégrité ou perte de données professionnelles Vol / fuite de données professionnelles Propriétaire du terminal ou tiers Propriétaire du terminal ou administrateur Propriétaire du terminal ou tiers Propriétaire du terminal Tiers Tiers Propriétaire du terminal ou tiers Tiers Administrateur ou tiers Tiers destruction du terminal personnel erreur d administration sur le terminal personnel perte ou la destruction du terminal personnel modification / suppression volontaire de données présentes sur un terminal personnel modification / suppression malicieuse de données présentes sur un terminal personnel vol d un terminal personnel infection par une application malveillante interception des communications intrusion sur un terminal personnel fuite sur l infrastructure de fournisseur / Cloud 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 16
2.2 Risques (2) Des risques SI liés au BYOD : Risques pour les données professionnelles et personnelles Terminaux et données Réseau opérateur / Internet SI de l'entreprise Risques pour le Système d Information de l Entreprise Y compris sur les infrastructures en ligne des fournisseurs Et des enjeux organisationnels à ne pas négliger : Risques Juridiques et RH Jusqu où l entreprise peut-elle maitriser le terminal personnel de l utilisateur (le tracer, récupérer certaines données, en supprimer, etc.)? L introduction du BYOD ne risque-t-elle pas d introduire une forme de discrimination entre les collaborateurs? Qu en est-il de la perte/du vol de la partie matérielle et/ou de la partie immatérielle? 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 17
2.2 Risques (3) Risques Scénarios envisagés Propriétaire du terminal demande de compensation financière pour casse d un terminal dans les locaux de l entreprise Coûts cachés Propriétaire du terminal demande de compensation des coûts de connexion Propriétaire du terminal perte de productivité (probabilité plus forte avec l utilisation d un terminal personnel) Modification de l organisation du travail Tiers (responsable d équipe) Tiers (responsable d équipe) discrimination des collaborateurs qui ne veulent / ne peuvent pas adhérer au service BYOD non respect du temps de travail / du temps de repos Tiers manque de traçabilité sur les terminaux personnels Non conformité avec le réglementation Tiers impossibilité d investiguer sur un terminal personnel Propriétaire du terminal utilisation de licences non appropriées ou frauduleuses 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 18
2.3 Les enjeux (1) Sources Scénarios envisagés Projet pluridisciplinaire DRH DSI. CADRAGE Choix de la cible Critères d éligibilité Santé sécurité Conformité/rappel des règles/chartes/outils de gouvernance PILOTAGE Durée Management Test 6 mois/1an Formation/information/définition des règles communes DELOIEMENT Accord d entreprise L article L.1222-9 al.5 du Code du travail dispose que : - «A défaut d accord collectif applicable, le contrat de travail ou son avenant précise les modalités de contrôle du temps de travail» Coûts Distinction coût direct coût indirect Evolution Décision du 15.01.2014 n 11-28.898 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 19
2.3 Les enjeux (2) : cadre temporel Durée et fréquence Fixée en jours/semaine (maximum 3) ou sur le mois éviter l isolement ou la «déconnection» de l entreprise Fixée de façon stricte : jours fixes Temps de travail Définition du «temps de travail effectif» et base de calcul (similaire ou équivalente à celle des salariés dans les locaux de la société) Rappel des règles de droit du travail : 11h consécutives de repos quotidien 35h consécutives de repos hebdomadaire 6 jours/semaine de travail maximum Plage horaire et disponibilité Définition «plage de disponibilité» et choix horaires (1) - Standard : joignable sur la base de plages horaires fixes - Souple : joignable sur la base de plages horaires de travail «habituelles» mais organisation autonome - Stricte : joignable et rapport d activité régulier Eviter les contradictions Nécessaire prise en compte de contraintes dont : - Liberté de choix des horaires pour le salarié - Cohérence entre plage de disponibilité et droit à la déconnection - Durée de travail et charge de travail NB/ modalités de contrôle des temps et problématiques inhérentes (1) Cass. soc. 17 févr., 2004 n 01-45889 : le fait de n avoir pas pu être joint en dehors des horaires de travail sur son téléphone portable personnel est dépourvu de caractère fautif et ne permet donc pas de justifier un licenciement disciplinaire pour faute grave 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 20
2.4 Nos recommandations Définir un encadrement technique et juridique En adoptant une solution de MDM En mettant en place une charte de régulation à l attention du personnel 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 21
3. La régulation des temps 1. Définition/périmètres 2. Les enjeux 3. Cas BMW 4. Adaptation du management 5. Nos recommandations 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 22
3.1 Définition/périmètres : les objectifs (1) Maitriser les définitions et les concepts Appréhender et comprendre le cadre juridique Identifier une situation, les éléments à risques Acquérir les bons réflexes 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 23
3.1 Définition/périmètres : le principe (2) La durée du temps de travail relève du pouvoir de direction de l employeur La liberté dans le respect des dispositions relatives à la durée maximale du temps de travail et au temps de repos quotidien Attention: l augmentation, la réduction, la modulation du temps de travail peut constituer: - un simple changement des conditions de travail: pas d accord du salarié - une modification du contrat de travail: nécessité de l accord du salarié 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 24
3.2 Les enjeux Limiter les risques en cas de contentieux relatifs à la durée du travail - demande de requalification en heures supplémentaires dans le cadre des conventions de forfaits - infractions relatives au travail dissimulé dans le cadre de mauvaise gestion de la comptabilisation des heures de travail Il est important de bien maîtriser la notion de temps de travail effectif Régimes applicables avant et après la loi de 2008 Mettre en place des outils de contrôle de la durée du temps de travail adaptés à l organisation du travail qui a été retenue: - forfait: heures/ jours - horaires: collectifs/ individuels 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 25
3.3 CAS BMW [02.2014] Périmètre juridique - Accord CE et IRP (30 000 personnes) - Heures effectuées hors bureau comptabilisées dans le temps de travail contractuel Périmètre technique - Hors locaux /au delà des heures ouvrables/auto organisation Périmètre économique - Droit à la non accessibilité (coupure serveurs /suppressions automatique des méls/ cas exceptionnels et éminemment urgents) 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 26
3.4 Adaptation du management (1) Serveurs d applications internes - «Applis» : note de frais, enregistrement congés, gestion des expatriés Les questions - Gadgets? - Quelles sécurités? - Quelles gouvernances? 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 27
3.4 Adaptation du management (2) Une notion source de préoccupation G29 Publication de l avis 05/2012 sur l informatique en nuage: Groupe Article 29» WP 196 (1-6- 2012) Cnil Publication de recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing (25-6-2012) CIGREF Publication d un guide pratique «Cloud computing et protection des données» (3-2013) 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 28
3.5 Nos recommandations (1) Les étapes à suivre lors d un passage aux applis: 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 29
3.5 Nos recommandations (2) Aménagement contractuel et respect des dispositions légales Guide des opérations de contrôle Charte administrateur Charte / Livret / Guide technique utilisateurs 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 30
4. La cybersurveillance vs mobilité 1. Transversalité 2. Précisions sur les formalités Cnil 3. Vie privée résiduelle au travail 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 31
4.1 Transversalité Quelles fonctions en entreprise? Messagerie Agenda Contacts Intranet Documents Applis Métier Quels terminaux? Smartphones : iphone Android Blackberry Windows Phone Tablettes : Principalement des ipads Ordinateurs portables Quelle connectivité? 3G Connexion distante : Via 3G Via hotspot Connexion directe au réseau de l entreprise : Depuis les locaux Via VPN 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 32
4.2 Formalités Cnil et preuve (1) 1/ Recevabilité d un traitement non déclaré (Cass. Soc. 14 janvier 2014, n 12-16218) Contexte : obligation légale de mettre en œuvre un dispositif de contrôle de l activité des salariés (ex. : chronotachygraphe des compagnies de transports routiers). Les caractéristiques détaillées du dispositif de contrôle sont définies par décret Problématique : l employeur ne déclare pas le dispositif à la Cnil mais informe le personnel Cour de cassation : moyen de preuve jugé recevable 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 33
4.2 Formalités Cnil et preuve (2) 2/ Mise à jour d un logiciel : absence d obligation de déclarer la modification à la Cnil (Cass. Soc. 23 avril 2013, n 11-26099) Distinction de la Cour de cassation : «modification substantielle» du logiciel obligation de déclarer à la Cnil vs «mise à jour» du logiciel pas d obligation de déclarer à la Cnil Exemples de modifications substantielles : changement de la nature des données personnelles traitées, de la finalité, de la durée de conservation, des conditions de conservation, de la personne en charge du traitement, etc 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 34
4.3 Vie privée résiduelle au travail (1) 1/ Connexions à internet à des fins personnelles : interdiction par le règlement intérieur. Cass. Soc. 18 déc. 2013, n 12-17832 Règlement intérieur et contrat de travail du salarié prohibent toutes connexions sur internet à des fins personnelles. Un salarié envoie à ses collègues de travail 178 méls accompagnés de vidéos à caractère sexuel, humoristique, politique ou sportif. Réaction de l employeur : (i) constat d huissier et (ii) licenciement pour faute grave 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 35
4.3 Vie privée résiduelle au travail (2) Cour d appel de Besançon : absence de faute, licenciement sans cause réelle et sérieuse Cour de cassation (Cass. Soc. 18 déc. 2013, n 12-17832) : «le salarié avait, en violation de ses obligations contractuelles et du règlement intérieur de l'entreprise prohibant les connexions sur internet à des fins personnelles, envoyé à ses collègues de travail à partir de l'ordinateur mis à sa disposition par l'entreprise cent soixante dix-huit courriels accompagnés de vidéos à caractère sexuel, humoristique, politique ou sportif, ce qui caractérisait une faute» 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 36
4.3 Vie privée résiduelle au travail (3) 2/ Connexion à internet à des fins personnelles : faute grave en cas d abus (Cass. Soc. 26 février 2013, n 11-2372) «la salariée s'était connectée pendant son temps de travail à de très nombreuses reprises à de nombreux sites extraprofessionnels ( ) et que ces connexions s'établissaient ( ) à plus de 10 000 sur la période du 15 au 28 décembre 2008 et du 8 janvier au 11 janvier 2009» 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 37
4.3 Vie privée résiduelle au travail (4) suite : «malgré l'absence de définition précise du poste de la salariée, ( ) une telle utilisation d'internet par celle-ci pendant son temps de travail présentait un caractère particulièrement abusif et constitutif d'une faute grave» 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 38
4.3 Vie privée résiduelle au travail (5) 3/ Accès de l employeur aux méls du salarié Cass. Soc. 19 juin 2013 n 12-12138 et 12-12139 : «Les dossiers et fichiers créés par un salarié grâce à l'outil informatique mis à sa disposition par son employeur pour l'exécution de son travail sont présumés, sauf si le salarié les identifie comme étant personnels, avoir un caractère professionnel de sorte que l'employeur peut y avoir accès hors sa présence» 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 39
4.3 Vie privée résiduelle au travail (6) suite : «des courriels et fichiers intégrés dans le disque dur de l'ordinateur mis à disposition du salarié par l'employeur ne sont pas identifiés comme personnels du seul fait qu'ils émanent initialement de la messagerie électronique personnelle du salarié» 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 40
4.3 Vie privée résiduelle au travail (7) 4/ Présomption d usage professionnel d une clé USB personnelle (Cass. soc. 12 février 2013, n 11-28649) «une clé USB, dès lors qu'elle est connectée à un outil informatique mis à la disposition du salarié par l'employeur pour l'exécution du contrat de travail, étant présumée utilisée à des fins professionnelles, l'employeur peut avoir accès aux fichiers non identifiés comme personnels qu'elle contient, hors la présence du salarié» 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 41
5 Conseils 1. Prévenir, évaluer les risques 2. Réagir, mettre fin à la situation 3. Trouver une solution médicale et ou technique 4. Information et formation des acteurs 5. Gestion aspects vie privée vie professionnelle 6. Gestion de la responsabilité 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 42
Prochaine rencontre 9 avril 2014 «Impact du Référentiel général de gestion des archives (R2GA) : quel impact?» Animé par Eric Barbry, Antoine Meissonnier, Archives de France et Pierre Fuzeau, vice-président du groupe Serda Pour recevoir les lettres Juristendances, abonnez-vous sur notre site internet : www.alain-bensoussan.com 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 43
Embarquez à bord de l entreprise de demain Questions - Réponses 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 44
Qui sommes nous? Pour la 3e année consécutive, Alain Bensoussan et le cabinet ont été distingués «Lawyer» de l année 2013 dans les catégories Technologies, Technologies de l Information, et Contentieux Pour la 1ère édition du Palmarès des Cabinets d Avocats d Affaires organisé par Le Monde du Droit, Alain Bensoussan-Avocats s est vu décerner le premier prix dans la catégorie «Technologies de l information Médias & Télécommunications» Après avoir obtenu le label Cnil «Lexing formation informatique et libertés» pour son catalogue de formations informatique et libertés, le cabinet a obtenu le label Cnil pour sa procédure d audit «Lexing audit informatique et libertés» «Informatique et libertés», Éditions Francis Lefebvre, 2éme édition, 2010* «Global Privacy and Security Law», Aspen Publishers 2010 «Informatique, Télécoms, Internet», Éditions Francis Lefebvre, 4ème édition, 2008* * Mise a jour en ligne Le premier réseau international d avocats dédié au droit des technologies avancées 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 45
Informations ALAIN BENSOUSSAN AVOCATS 58 boulevard Gouvion-Saint-Cyr Paris 17è Tél. : 33 1 82 73 05 05 Fax : 33 1 82 73 05 06 paris@alain-bensoussan.com www.alain-bensoussan.com @AB_Avocats Alain Bensoussan Mob. : 33 6 19 13 44 46 alain-bensoussan@alain-bensoussan.com @A_Bensoussan Lexing est une marque déposée par Alain Bensoussan Selas 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 46
Crédits Networking Scott Maxwell-Fotolia.com informatique data room réunion BEI 4676344 World with a heap of packages Franck Boston-Fotolia.com informatique internet monde BEI 4688010 Networking Scott Maxwell-Fotolia.com informatique data room réunion BEI 4676344 Gps navigator Sergey Eshmetoy-Fotolia.com BEI 4648699.jpg 11/03/2014 Copyright Lexing 2014 Confidentiel Entreprise 47