Sécurité au travail

Surveiller les téléphones professionnels : que dit la loi ?

Téléphone professionnel posé sur un bureau avec des icônes de sécurité et de protection

La généralisation des smartphones professionnels soulève une question de fond dans de nombreuses entreprises : dans quelle mesure un employeur peut-il surveiller l’usage que ses salariés font de ces appareils ? Entre légitime protection des actifs numériques de l’entreprise et respect de la vie privée des collaborateurs, le cadre juridique français est précis — et exigeant.

Le principe de base : surveillance possible, mais encadrée

Un employeur est autorisé à mettre en place des dispositifs de contrôle de l’usage des outils professionnels mis à disposition des salariés. Cela repose sur son pouvoir de direction et sa responsabilité de sécuriser les systèmes d’information de l’entreprise. Toutefois, cette surveillance n’est pas libre : elle doit respecter plusieurs principes fondamentaux issus du RGPD, du Code du travail et de la jurisprudence de la CNIL.

Les quatre conditions à réunir

1. Information préalable des salariés

C’est la condition la plus fondamentale. Les salariés doivent être informés avant la mise en place de tout dispositif de surveillance, de la nature du contrôle effectué, de ses finalités et des données collectées. Cette information peut se faire via :

  • La charte informatique (annexée au règlement intérieur)
  • Une note de service
  • Le contrat de travail

La CNIL est formelle : un dispositif de surveillance non porté à la connaissance des salariés est illicite, et les données ainsi collectées ne peuvent pas être utilisées comme preuves dans une procédure disciplinaire.

2. Consultation du CSE (Comité Social et Économique)

Avant de déployer un système de surveillance des appareils professionnels, l’employeur doit consulter le CSE. Cette obligation vaut pour tous les dispositifs susceptibles d’avoir un impact sur les conditions de travail, les droits des personnes et les libertés individuelles — ce qui inclut les logiciels de MDM (Mobile Device Management), les solutions de géolocalisation ou les outils de filtrage des communications.

3. Proportionnalité

Les moyens de surveillance mis en œuvre doivent être proportionnés à l’objectif poursuivi. Un employeur ne peut pas justifier une surveillance exhaustive (lecture de tous les messages, enregistrement des conversations) par un simple objectif de sécurité informatique basique. La CNIL et les tribunaux vérifient que le dispositif n’est pas excessif au regard du but recherché.

4. Respect du RGPD

Toute collecte de données sur les salariés via un dispositif de surveillance constitue un traitement de données personnelles soumis au RGPD. L’entreprise doit notamment :

  • Inscrire ce traitement dans son registre des activités de traitement
  • Définir une durée de conservation des données
  • Garantir la sécurité des données collectées
  • Permettre aux salariés d’exercer leurs droits d’accès et de rectification

Ce qui est généralement permis

Dans le respect des conditions ci-dessus, un employeur peut légalement :

ActionConditions
Géolocaliser les téléphones professionnelsInformation + CSE + proportionnalité (salariés en déplacement)
Filtrer les accès Internet via le réseau d’entrepriseInformation dans la charte informatique
Contrôler les applications installées via MDMCharte + politique BYOD si applicable
Consulter les journaux d’appels professionnelsÀ titre exceptionnel, pour un motif légitime
Bloquer certains sites ou applicationsInformation préalable

Ce qui est interdit

Même dans le cadre professionnel, certaines actions restent illicites :

  • Lire les messages personnels d’un salarié, même sur un téléphone professionnel (sauf s’ils sont clairement identifiés comme professionnels)
  • Installer un keylogger ou un logiciel espion à l’insu du salarié
  • Géolocaliser en permanence un salarié sédentaire (sans justification liée à la nature de son poste)
  • Surveiller en dehors des heures de travail
  • Accéder au contenu de dossiers personnels marqués comme tels

La jurisprudence de la Cour de cassation a clairement établi que les fichiers et messages identifiés comme « personnels » par le salarié sont protégés, même sur un outil professionnel.

Le cas du BYOD (Bring Your Own Device)

Lorsqu’un salarié utilise son téléphone personnel à des fins professionnelles (BYOD), le cadre est encore plus restrictif. L’employeur ne peut pas installer de logiciel de contrôle sur un appareil personnel sans le consentement explicite du salarié. Une politique BYOD écrite et signée est indispensable pour clarifier les droits et obligations de chacun.

Les outils MDM : une solution encadrée

Les solutions de MDM (Mobile Device Management), comme celles proposées par Microsoft Intune, VMware Workspace ONE ou d’autres éditeurs, permettent aux directions informatiques de gérer à distance les téléphones professionnels : déploiement d’applications, effacement à distance, gestion des mises à jour, séparation des données pro/perso. Ces outils sont légaux à condition que leur déploiement respecte les conditions exposées plus haut.

Pour en savoir plus sur la sécurisation des appareils mobiles en entreprise, consultez notre guide MDM : sécuriser les smartphones en entreprise.

Géolocalisation des salariés : un régime spécifique

La géolocalisation via un téléphone ou un véhicule professionnel fait l’objet d’une réglementation spécifique de la CNIL. Elle est autorisée pour certains usages (suivi de livraison, sécurité des travailleurs isolés, remboursement de frais kilométriques) et interdite pour d’autres (contrôle permanent de la durée de travail si d’autres moyens existent, surveillance hors temps de travail). Consultez notre article dédié : géolocalisation des salariés : cadre légal CNIL.

Attention

Un employeur qui met en place une surveillance sans information préalable des salariés s'expose non seulement à des sanctions pénales et RGPD, mais risque également de voir les preuves collectées rejetées par les prud'hommes en cas de litige. La régularité de la procédure conditionne la valeur probante des données.

En résumé

Surveiller les téléphones professionnels des salariés est légalement possible en France, à condition de respecter quatre piliers : information préalable des salariés, consultation du CSE, proportionnalité des moyens et conformité RGPD. Ce qui est interdit de surveiller, même sur un outil professionnel, ce sont les messages et fichiers personnels du salarié. En cas de doute sur la légalité d’un dispositif envisagé, une consultation de la CNIL ou d’un avocat spécialisé en droit social est vivement conseillée.

LR
La rédaction

La rédaction de Surveillance-Téléphone teste et compare les solutions de contrôle parental et de sécurité mobile, et vulgarise le cadre légal français. Nos avis sont indépendants — voir notre méthodologie de test.