L’utilisation de dispositifs d’enregistrement de conversations en milieu professionnel soulève des questions juridiques et de protection de la vie privée, avec des implications en matière de sécurité et de relations internes.
La diffusion de technologies capables d’enregistrer des conversations a confronté les entreprises à une réalité nouvelle et délicate : comment gérer et réglementer l’enregistrement de conversations en entreprise, dans le respect de la législation et de la confiance au sein de l’organisation.
C’est désormais un fait établi : la technologie évolue à un rythme plus rapide que les normes et, souvent, que la connaissance collective. Un phénomène de plus en plus répandu est l’utilisation, par les salariés, de dispositifs magnétiques ou d’applications sur leur smartphone permettant d’enregistrer des appels téléphoniques, des réunions sur des plateformes comme Teams ou Zoom, ou encore des conversations dans l’environnement de travail.
À ces outils s’ajoutent des logiciels de transcription automatique en temps réel et des systèmes d’intelligence artificielle (parmi les plus connus, ChatGPT), capables de résumer de grandes quantités de données vocales.
Les dispositifs d’enregistrement les plus modernes sont petits, invisibles, facilement connectables aux smartphones et, surtout, accessibles à tous, tant en termes de disponibilité que de coût.
L’un des aspects les plus préoccupants est que tout cela se produit souvent à l’insu des interlocuteurs. Lorsque ces enregistrements sont réalisés dans un environnement professionnel, la question devient complexe. Comment l’employeur peut-il — et doit-il — gérer ce type de situation ?
Ces problématiques représentent aujourd’hui une nouvelle frontière dans la gestion d’aspects tels que le savoir-faire, la protection des données personnelles, la transparence et la sécurité au sein de l’entreprise.
La législation italienne en matière d’enregistrements est complexe.
Sans aborder ici les dispositions relatives aux interceptions ordonnées par l’autorité judiciaire, il convient d’approfondir la réglementation concernant les enregistrements de conversations (téléphoniques ou en personne) effectués par des citoyens privés participant directement aux échanges et enregistrant à l’insu des autres.
Sur ce point, la jurisprudence, en particulier celle de la Cour de cassation, a développé une orientation consolidée.
Selon l’interprétation majoritaire et constante de la jurisprudence pénale, l’enregistrement phonographique d’un entretien entre personnes présentes, réalisé à l’initiative de l’un des interlocuteurs, ne relève pas de la notion d’interception au sens technique.
La justification repose sur le fait que toute personne qui participe à une conversation accepte, dans une certaine mesure, le risque que celle-ci soit documentée par un enregistrement.
À la lumière de cette orientation, la légalité de l’enregistrement est donc étroitement liée à la participation de son auteur à la conversation.
Cependant, cette légalité connaît des limites. Ces limites sont liées au contexte spatial et à l’usage qui est fait de ces enregistrements.
Concernant le contexte spatial, l’enregistrement reste licite s’il est effectué à l’intérieur du domicile de la personne qui enregistre, dans un lieu qui lui appartient (comme, par exemple, son lieu de travail), ou dans un lieu public ou ouvert au public.
En revanche, cela implique qu’un enregistrement réalisé dans le domicile privé de la personne enregistrée ou dans un autre lieu privé lui appartenant est considéré comme illégal, pouvant constituer le délit d’atteinte illicite à la vie privée d’autrui (article 615-bis du Code pénal).
Dans ce contexte, il convient de rappeler que le traitement d’un enregistrement de conversations constitue un traitement de données personnelles au sens de l’article 4 du Règlement UE 2016/679 – le RGPD.
Dans ce cas, si l’enregistrement vise à faire valoir ou défendre un droit en justice, le traitement des données personnelles (et donc l’enregistrement lui-même) peut être effectué sans le consentement de la personne concernée et sans information préalable, à condition que les données soient traitées exclusivement à ces fins et pendant la durée strictement nécessaire.
Ce principe, bien qu’exprimé dans le cadre de la législation antérieure au RGPD, reste cohérent avec les bases juridiques du traitement prévues par le RGPD, notamment l’article 6, paragraphe 1, lettre f), qui prévoit l’intérêt légitime, incluant la défense en justice.
En règle générale, les enregistrements de conversations (téléphoniques ou en personne) ainsi recueillis sont admissibles dans le cadre d’un procès civil.
Leur valeur probante dépend évidemment de la vérification de leur authenticité, mais la jurisprudence de la Cour de cassation a précisé que l’enregistrement phonographique d’un entretien entre personnes présentes, réalisé par un salarié et portant sur une conversation avec l’employeur, ne constitue pas une faute disciplinaire et ne porte pas atteinte au lien de confiance, étant justifié par l’exercice du droit de défense.
Continuez à lire l’article complet publié sur Agenda Digitale.
« Même les espaces extérieurs, où l’activité professionnelle se déroule de manière occasionnelle ou sporadique, doivent être considérés comme des “lieux de travail”. »
C’est ce qu’a précisé le Tribunal administratif régional (TAR) de Toscane, en accueillant le recours présenté par une société qui demandait l’annulation du refus émis par l’Inspection territoriale du travail (ITL) en réponse à sa demande d’installation de dispositifs audiovisuels dans l’établissement de l’entreprise.
Les faits
L’affaire trouve son origine dans la demande soumise par une société à l’ITL compétente qui – comme prévu à l’article 4 du Statut des travailleurs (Loi 300/70) – s’était adressée à l’Administration publique après l’échec des négociations avec les représentants syndicaux de l’entreprise.
En particulier, la société expliquait que, malgré la présence d’un système de vidéosurveillance déjà installé depuis un certain temps le long du périmètre du site industriel, la nécessité d’installer 9 caméras supplémentaires subsistait. Ces caméras devaient être positionnées dans une zone périphérique de l’installation, afin de surveiller le bon traitement des déchets dans les zones de déchargement prévues à cet effet – zones dans lesquelles intervenaient également des personnes extérieures à l’organigramme de l’entreprise – ceci dans le but de prévenir les risques pour la sécurité des travailleurs, les incendies, les dommages environnementaux, ainsi que pour la protection du patrimoine de l’entreprise.
Le rejet de l’Inspection du travail était fondé sur la qualification des zones concernées comme lieux de travail et sur le caractère disproportionné de la mesure, jugée inadaptée par rapport aux risques invoqués.
La position du Tribunal
Le Collège a jugé fondé le recours présenté par l’entreprise pour les raisons suivantes :
Autres analyses connexes :
La Corte di Cassazione, con ordinanza del 13 gennaio 2025, n. 807, è tornata nuovamente sul tema della legittimità dei controlli datoriali effettuati tramite accesso alla casella di posta elettronica aziendale dei lavoratori. Con quest’ultima pronuncia, la Suprema Corte ha ribadito che il datore di lavoro può sì eseguire indagini accedendo alla mail aziendale del dipendente ma ciò è legittimo solo a partire dal momento in cui sorge il fondato sospetto della commissione di un illecito. Ne deriva che eventuali informazioni raccolte in una fase precedente non sono utilizzabili per nessuna finalità comprese, quindi, eventuali azioni disciplinari nei confronti del lavoratore infedele.
Nel caso di specie, la società intimava il licenziamento ad un proprio dirigente sulla base di informazioni raccolte durante un controllo effettuato sui file log di e-mail inviate dal lavoratore anteriormente all’”alert” inviato dal sistema informatico dell’azienda che aveva generato il “sospetto datoriale” e quindi sollevato l’esigenza di avviare dei controlli.
Già secondo la Corte d’Appello le informazioni così raccolte dalla società erano di fatto inutilizzabili per fini disciplinari e gli elementi di prova a motivazione del licenziamento avrebbero dovuto essere ricercati esclusivamente nelle giustificazioni rese dal dirigente.
La sentenza in esame solleva un’importante riflessione sul tema dei controlli datoriali in un contesto in cui le nuove tecnologie hanno notevolmente ampliato le possibilità di monitoraggio. È essenziale definire con chiarezza quali siano i confini da considerare affinché le azioni intraprese e i dati eventualmente raccolti possano essere considerati legittimi e conformi al quadro normativo oggi vigente. Il rischio è che informazioni che possano confermare la commissione di illeciti siano di fatto inutilizzabili.
Occorre anche considerare quanto sia fondamentale individuare il punto di equilibrio tra le esigenze di protezione degli interessi e dei beni aziendali e di libertà di iniziativa economica in capo al datore di lavoro e la tutela della dignità e della riservatezza del lavoratore. Se a fronte di un fondato sospetto il datore di lavoro potesse estendere il proprio controllo indistintamente a tutti i dati che fino a quel momento sono stati raccolti e conservati nel sistema informatico aziendale, l’equilibrio tra gli interessi in gioco verrebbe naturalmente meno. A ricordarlo è la stessa Corte di Cassazione (ordinanza 807/2025).
Ma quindi il datore di lavoro può porre in essere controlli tecnologici finalizzati a tutelare beni estranei al rapporto di lavoro o a evitare comportamenti illeciti da parte dei suoi dipendenti?
La risposta è sicuramente affermativa ma ciò è possibile a determinate condizioni.
• Deve generarsi un fondato sospetto della commissione di azioni e condotte illecite.
• Il controllo deve essere mirato, limitato nel tempo e finalizzato solo a ricercare elementi che confermino il sospetto generatosi.
• Oggetto di controllo possono essere esclusivamente le informazioni acquisite successivamente – ex post – all’insorgere del sospetto.
Ciò consente di individuare e assicurare il mantenimento del punto di equilibrio tra le diverse esigenze delle parti coinvolte citato anche con quest’ultima pronuncia dalla stessa Corte di Cassazione.
Continua a leggere la versione integrale pubblicata su Norme & Tributi Plus Diritto de Il Sole 24 Ore.
Mercredi dernier, le 24 avril 2024, les députés européens ont adopté le texte de la nouvelle directive sur les conditions de travail des travailleurs des plateformes numériques. Comme nous l’apprend le communiqué de presse publié sur le site institutionnel du Parlement, la directive vise « à garantir que les personnes travaillant via des plateformes aient un statut professionnel correctement défini et à corriger le « faux travail indépendant » en introduisant « une présomption de relation de travail (par opposition au travail indépendant) qui est déclenchée dès que des faits indiquent la présence d’un contrôle et d’une direction conformément au droit national et aux conventions collectives [ …] ».
Parmi les innovations introduites par la directive, dans la mesure où elles nous intéressent ici, figurent des limitations au traitement des données à caractère personnel par des systèmes de prise de décision ou de contrôle automatisés. Par exemple, aucun traitement ne peut être effectué sur (i) les données relatives à l’état émotionnel ou psychologique de la personne effectuant un travail via des plateformes numériques ; (ii) les données à caractère personnel relatives à des conversations privées ; (iii) les données appartenant à la catégorie des données spéciales (anciennement désignées en tant que données sensibles) ou les données biométriques ; ou (iv) les données du travailleur effectuant des activités via une plateforme numérique lorsqu’il n’effectue pas son activité via la plateforme elle-même ne pourront pas être collectées.
Tout ceci sera valable et devra être appliqué dès le début des procédures de recrutement et de sélection et pendant toute la durée de la relation. Il est entendu que, compte tenu du type de traitement et du risque élevé qu’il peut entraîner pour les droits et libertés des personnes physiques, les traitements de données effectués par l’intermédiaire d’une plateforme numérique de travail devront faire l’objet d’analyses d’impact spécifiques en vertu de l’article 35 du règlement (UE) 2016/679. Les analyses d’impact réalisées par l’employeur doivent ensuite être partagées avec les représentants des travailleurs.
Un autre élément clé concerne les obligations de transparence. Les personnes qui travaillent sur des plateformes numériques devront être informées, de manière transparente, intelligible et facilement accessible, dans un langage simple et clair, de tous les types de décisions soutenues ou prises par des systèmes automatisés de prise de décision ou de contrôle. Il s’agit d’un élément avec lequel le système juridique national italien s’est déjà « familiarisé », tant à la suite de l’introduction des dispositions énoncées dans le règlement (UE) 2016/679 que du dénommé « Décret transparence ».
Enfin, il est entendu que les États membres devront exiger que les plateformes numériques de travail garantissent des ressources humaines suffisantes pour contrôler et évaluer efficacement l’impact des décisions individuelles prises ou soutenues par des systèmes automatisés de prise de décision ou de contrôle.
◊◊◊◊
Le texte approuvé par le Parlement européen devra maintenant être formellement adopté par le Conseil et publié au Journal officiel de l’Union européenne. Suite à la publication, chaque État membre disposera de deux ans pour transposer les nouvelles dispositions dans son droit national.
Autres informations connexes :
Les sites internet qui utilisent le service Google Analytics (GA), sans les garanties prévues par le Règlement (UE) 2016/679 (le « Règlement »), violent la réglementation sur la protection des données, car ils transfèrent aux États-Unis, pays sans niveau de protection approprié, les données des utilisateurs. Ainsi a statué le Garant pour la protection des données personnelles (le « Garant ») par sa décision du 9 juin 2022, suite à une instruction ouverte sur la base d’une série de réclamations et en coordination avec d’autres Autorités Européennes de protection de la vie privée, et publiée le 23 juin suivant.
GA est un instrument informatique fourni par Google aux gérants de sites internet, leur permettant d’analyser des statistiques détaillées sur les utilisateurs, afin d’optimiser les services qu’ils offrent et de piloter leurs campagnes de marketing.
En ce qui concerne le traitement effectué avec cet instrument, d’après les contrôles effectués par le Garant, il est apparu que les gérants des sites internet (comme la société sanctionnée) collectent, au moyen de cookies transmis au navigateur de l’utilisateur, des informations sur les modalités d’interaction de ces derniers avec le site internet, avec chaque page et avec les services proposés. En l’espèce, les données collectées consistent en : des identificateurs en ligne uniques, qui permettent aussi bien l’identification du navigateur ou du dispositif de l’utilisateur qui visite le site internet, que celle du gérant même du site (au travers de l’ID account Google) ; adresse, nom du site internet et données de navigation ; adresse IP du dispositif de l’utilisateur; informations relatives au navigateur, au système d’exploitation, à la résolution de l’écran, à la langue sélectionnée, ainsi qu’à la date et à l’heure de la visite au site internet.
Ces informations sont transférées aux États-Unis d’Amérique, pays qui, à ce jour, comme le Garant l’a déjà répété plusieurs fois, ne garantit pas un système de protection des données personnelles équivalent à celui prévu au sein de l’Union Européenne. Dans un tel contexte, le Garant a souligné que la réglementation en vigueur aux États-Unis permet aux Autorités gouvernementales et aux services de renseignement nord-américains d’accéder aux informations personnelles à des fins de sécurité nationale, sans les garanties prévues par la réglementation européenne.
Le Garant a aussi réaffirmé que l’adresse IP est une donnée personnelle à tous les effets, dans la mesure où elle permet d’identifier un dispositif de communication électronique, rendant ainsi par conséquent indirectement identifiable la personne concernée en sa qualité d’utilisateur. Et cette donnée, quand bien même elle serait tronquée, ne deviendrait pas une donnée anonyme, étant donnée la capacité de Google de l’associer à d’autres données en sa possession, rendant ainsi possible une ré-identification de l’utilisateur.
Pour tous ces motifs, le Garant a adopté la première d’une série de décisions par lesquelles il a averti la société qui gérait le site objet de l’instruction, la sommant de se conformer au Règlement dans les quatre-vingt-dix jours. Le délai indiqué a été considéré par le Garant comme suffisant pour permettre à celle-ci de prendre les mesures nécessaires au transfert, sous peine de suspension des flux de données effectués, par l’intermédiaire de GA, vers les États-Unis.
À l’échéance des quatre-vingt-dix jours, peut-on lire dans la décision examinée, le Garant vérifiera, également sur la base d’activités spécifiques d’inspection, la conformité au Règlement des transferts effectués par les responsables.
◊◊◊◊
Dans l’attente que l’Union Européenne et les États-Unis d’Amérique arrivent à un accord juridiquement contraignant, garantissant un transfert international avec des protections équivalentes à ce qui est requis en Europe, les gérants des sites internet sont appelés à respecter les prescriptions de la réglementation en vigueur. Cela même en envisageant de faire appel éventuellement à des fournisseurs d’accès européens traitant les données personnelles des utilisateurs à l’intérieur du territoire UE.
Contenus corrélés :
