La généralisation des smartphones professionnels soulève une question de fond dans de nombreuses entreprises : dans quelle mesure un employeur peut-il surveiller l’usage que ses salariés font de ces appareils ? Entre légitime protection des actifs numériques de l’entreprise et respect de la vie privée des collaborateurs, le cadre juridique français est précis — et exigeant.
Le principe de base : surveillance possible, mais encadrée
Un employeur est autorisé à mettre en place des dispositifs de contrôle de l’usage des outils professionnels mis à disposition des salariés. Cela repose sur son pouvoir de direction et sa responsabilité de sécuriser les systèmes d’information de l’entreprise. Toutefois, cette surveillance n’est pas libre : elle doit respecter plusieurs principes fondamentaux issus du RGPD, du Code du travail et de la jurisprudence de la CNIL.
Les quatre conditions à réunir
1. Information préalable des salariés
C’est la condition la plus fondamentale. Les salariés doivent être informés avant la mise en place de tout dispositif de surveillance, de la nature du contrôle effectué, de ses finalités et des données collectées. Cette information peut se faire via :
- La charte informatique (annexée au règlement intérieur)
- Une note de service
- Le contrat de travail
La CNIL est formelle : un dispositif de surveillance non porté à la connaissance des salariés est illicite, et les données ainsi collectées ne peuvent pas être utilisées comme preuves dans une procédure disciplinaire.
2. Consultation du CSE (Comité Social et Économique)
Avant de déployer un système de surveillance des appareils professionnels, l’employeur doit consulter le CSE. Cette obligation vaut pour tous les dispositifs susceptibles d’avoir un impact sur les conditions de travail, les droits des personnes et les libertés individuelles — ce qui inclut les logiciels de MDM (Mobile Device Management), les solutions de géolocalisation ou les outils de filtrage des communications.
3. Proportionnalité
Les moyens de surveillance mis en œuvre doivent être proportionnés à l’objectif poursuivi. Un employeur ne peut pas justifier une surveillance exhaustive (lecture de tous les messages, enregistrement des conversations) par un simple objectif de sécurité informatique basique. La CNIL et les tribunaux vérifient que le dispositif n’est pas excessif au regard du but recherché.
4. Respect du RGPD
Toute collecte de données sur les salariés via un dispositif de surveillance constitue un traitement de données personnelles soumis au RGPD. L’entreprise doit notamment :
- Inscrire ce traitement dans son registre des activités de traitement
- Définir une durée de conservation des données
- Garantir la sécurité des données collectées
- Permettre aux salariés d’exercer leurs droits d’accès et de rectification
Ce que dit la loi
L'article L.1222-4 du Code du travail interdit à l'employeur de collecter des informations sur un salarié par un dispositif qui n'a pas été porté préalablement à sa connaissance. L'interception illicite de communications électroniques est sanctionnée par l'article 226-15 du code pénal (1 an d'emprisonnement, 45 000 € d'amende). Le RGPD ajoute des sanctions administratives pouvant atteindre 4 % du chiffre d'affaires annuel mondial en cas de manquement grave.
Ce qui est généralement permis
Dans le respect des conditions ci-dessus, un employeur peut légalement :
| Action | Conditions |
|---|---|
| Géolocaliser les téléphones professionnels | Information + CSE + proportionnalité (salariés en déplacement) |
| Filtrer les accès Internet via le réseau d’entreprise | Information dans la charte informatique |
| Contrôler les applications installées via MDM | Charte + politique BYOD si applicable |
| Consulter les journaux d’appels professionnels | À titre exceptionnel, pour un motif légitime |
| Bloquer certains sites ou applications | Information préalable |
Ce qui est interdit
Même dans le cadre professionnel, certaines actions restent illicites :
- Lire les messages personnels d’un salarié, même sur un téléphone professionnel (sauf s’ils sont clairement identifiés comme professionnels)
- Installer un keylogger ou un logiciel espion à l’insu du salarié
- Géolocaliser en permanence un salarié sédentaire (sans justification liée à la nature de son poste)
- Surveiller en dehors des heures de travail
- Accéder au contenu de dossiers personnels marqués comme tels
La jurisprudence de la Cour de cassation a clairement établi que les fichiers et messages identifiés comme « personnels » par le salarié sont protégés, même sur un outil professionnel.
Le cas du BYOD (Bring Your Own Device)
Lorsqu’un salarié utilise son téléphone personnel à des fins professionnelles (BYOD), le cadre est encore plus restrictif. L’employeur ne peut pas installer de logiciel de contrôle sur un appareil personnel sans le consentement explicite du salarié. Une politique BYOD écrite et signée est indispensable pour clarifier les droits et obligations de chacun.
Les outils MDM : une solution encadrée
Les solutions de MDM (Mobile Device Management), comme celles proposées par Microsoft Intune, VMware Workspace ONE ou d’autres éditeurs, permettent aux directions informatiques de gérer à distance les téléphones professionnels : déploiement d’applications, effacement à distance, gestion des mises à jour, séparation des données pro/perso. Ces outils sont légaux à condition que leur déploiement respecte les conditions exposées plus haut.
Pour en savoir plus sur la sécurisation des appareils mobiles en entreprise, consultez notre guide MDM : sécuriser les smartphones en entreprise.
Géolocalisation des salariés : un régime spécifique
La géolocalisation via un téléphone ou un véhicule professionnel fait l’objet d’une réglementation spécifique de la CNIL. Elle est autorisée pour certains usages (suivi de livraison, sécurité des travailleurs isolés, remboursement de frais kilométriques) et interdite pour d’autres (contrôle permanent de la durée de travail si d’autres moyens existent, surveillance hors temps de travail). Consultez notre article dédié : géolocalisation des salariés : cadre légal CNIL.
Attention
Un employeur qui met en place une surveillance sans information préalable des salariés s'expose non seulement à des sanctions pénales et RGPD, mais risque également de voir les preuves collectées rejetées par les prud'hommes en cas de litige. La régularité de la procédure conditionne la valeur probante des données.
En résumé
Surveiller les téléphones professionnels des salariés est légalement possible en France, à condition de respecter quatre piliers : information préalable des salariés, consultation du CSE, proportionnalité des moyens et conformité RGPD. Ce qui est interdit de surveiller, même sur un outil professionnel, ce sont les messages et fichiers personnels du salarié. En cas de doute sur la légalité d’un dispositif envisagé, une consultation de la CNIL ou d’un avocat spécialisé en droit social est vivement conseillée.