Le 3 février dernier, les patrons de l’entreprise belge Newfusion défrayent la chronique en décidant d’implanter une puce électronique sous la peau de leurs employés. Ils ont choisi d’utiliser une puce d’identification par radio fréquence, plus communément désignée sous l’acronyme RFID. Pour justifier une telle initiative, la direction de ladite société fait savoir que cela a uniquement été fait pour le confort de ses salariés et pallier la perte récurrente des badges d’identification. Plus étonnant encore, ce sont les salariés eux-mêmes qui sont à l’origine de cette initiative et huit d’entre eux se sont portés volontaires pour se la faire implanter dans la main.
Cette fameuse puce électronique, aussi grande qu’un grain de riz, contiendrait seulement les données personnelles que les personnes concernées ont autorisé. Mais plusieurs questions se posent alors quant à la fiabilité de cette technologie en matière de sécurité, ainsi qu’aux diverses finalités qui pourraient en être faite et tout simplement quant au respect de la vie privée des personnes.
Une technologie déjà éprouvée à travers le monde
Contrairement à ce que l’on pourrait croire, cette technologie n’en est pas à son coup d’essai puisqu’elle a été testée il y a une dizaine d’années déjà par une discothèque néerlandaise afin de permettre aux clients de régler leurs consommations directement grâce à une puce RFID implantée sous leur épiderme. Dès 2004 aux Etats-Unis, une technologie similaire baptisée « Verichip » a été implantée à des personnes atteintes de la maladie d’Alzheimer afin de faciliter l’accès à leur dossier médical. En effet, les données personnelles des patients sont contenues dans une base de données indépendante et sont accessibles en scannant le numéro de série associé à cette puce. Ce numéro unique permet au personnel médical de consulter les informations essentielles relatives au patient comme son identité ou sa pathologie.
Or, l’utilisation faite de la technologie RFID en matière d’identification du personnel sur le lieu de travail est un concept bien plus récent. Cette idée a été lancée par la société suédoise Epicenter en février 2015, et vient donc d’être adoptée par la société Newfusion. Le but recherché est la dématérialisation des dispositifs de sécurité au sein de l’entreprise puisque la fameuse puce électronique permet aux salariés de déverrouiller la porte d’entrée de leur lieu de travail et d’activer leur ordinateur. Si certains se félicitent d’une telle innovation et des apports en matière de sécurisation des locaux de la société et du gain de temps, d’autres soulèvent les dérives qui pourraient naitre avec le développement d’un tel outil de surveillance.
En effet, une technologie aussi intrusive pour l’homme, au plus profond de sa chair, pourrait gravement porter atteinte au respect de la vie privée des individus. Une crainte exprimée par Alexis Deswaef, Président de la ligue des Droits de l’Homme, pour qui cette technologie RFID représente une menace certaine dans la mesure où il estime que « c’est un outil de contrôle total ». Selon lui une utilisation de cette technologie sur des employés permettrait de connaitre leurs habitudes, de sorte que cela pourrait permettre de connaitre exactement leurs entrées et sorties au cours d’une journée de travail et de mettre en parallèle de ces informations leur productivité. La réelle question qui se pose est de savoir ce qui pourrait être fait avec la collecte de ces données, elles pourraient servir à surveiller les employés, à faire pression sur eux. C’est un outil rêvé pour les patrons des entreprises, et pourtant en l’espèce ce sont les salariés qui en ont eu l’initiative, renforçant le pouvoir de leur employeur sur eux sans même s’en rendre compte.
L’implantation d’une telle technologie inenvisageable en France à l’heure actuelle
Si l’implantation d’une puce RFID à des employés est légalement possible en Belgique, cette éventualité est beaucoup plus incertaine en France. En effet, pour qu’un tel outil puisse être mis en place par une entreprise dans notre pays il faudrait que celle-ci respecte trois conditions cumulatives. La première d’entre elles c’est l’acceptation de l’ensemble du personnel concerné, après l’avoir informé de la mise en place de la technologie et de ses finalités. Ensuite, la consultation des représentants du personnel ou du comité d’hygiène, de sécurité, et des conditions de travail (CHSCT) pour les entreprises de plus de cinquante employés est également nécessaire. Enfin, il est nécessaire de soumettre un tel dispositif à la validation de la Commission nationale de l’informatique et des libertés, plus connue sous l’acronyme CNIL. Une étape décisive qui semble compliquée à satisfaire dans la mesure où il faudrait qu’une société démontre la nécessité d’utiliser une telle technologie et surtout qu’elle satisfasse au test de proportionnalité par rapport au but recherché.
Or, on peut légitimement penser que la CNIL privilégierait certainement une alternative moins intrusive et moins attentatoire à la protection des données personnelles que l’implantation d’une puce électronique sous la peau des employés. Ce dispositif apparait excessif dans la mesure où d’autres solutions plus adaptées et proportionnées existent déjà pour sécuriser l’accès des locaux d’une entreprise, ainsi que ses équipements de travail. Parmi les solutions qui sont plus respectueuses de la vie privée des employés il y a la mise à disposition de badges de sécurité, de téléphones portables ou encore l’installation d’un système d’identification biométrique.
Il y a eu un précédent en France avec une expérience de la part de la société Sanofi en avril 2016. Ladite société a eu l’idée d’équiper les employés de son siège social à Gentilly d’une puce RFID, soit quelques 3 000 personnes. Sauf qu’ici le choix n’a pas été d’implanter la puce électronique directement sous la peau des salariés mais de l’accrocher à leur porte-badge de sécurité. Ce dispositif a été mis en place pour retracer tous les déplacements des employés au sein de l’entreprise, permettant une géolocalisation en temps réel dont les données sont conservées puis observées afin de simplifier la circulation et l’occupation de l’espace sur le lieu de travail.
Officiellement, cette technologie a été utilisée simplement pour optimiser l’organisation interne. Une explication jugée peu convaincante par les syndicats à l’époque qui s’inquiétaient d’une surveillance dissimulée pour comparer la productivité des salariés alors que le groupe Sanofi préparait un plan social. Ainsi, cette initiative apparaissait comme un moyen détourné d’identifier les salariés les moins efficaces pour les licencier. D’autant plus que le port de cette puce électronique aurait été imposé à l’ensemble des salariés. Mais ladite société a publié un communiqué de presse au cours du mois d’avril afin de souligner le fait que le dispositif mis en place était anonyme et que son unique objectif était d’améliorer les conditions de travail au sein de l’entreprise.
Une justification qui a convaincu la CNIL de valider le dispositif puisque les puces RFID utilisées ne sont pas nominatives et sont interchangeables entre les employés. De ce fait, la collecte des données n’est pas soumise à une déclaration auprès de l’autorité en charge de la protection des données personnelles puisque les données dont il est question ne sont pas nominatives. Même si avec ces garanties une telle utilisation demeure légale, des questions se posent sur les éventuelles finalités qui pourraient en être faite.
Néanmoins, cette utilisation de la technologie d’identification par radio fréquence diffère de celle adoptée par la société belge Newfusion puisque les données sont anonymes, interchangeables et surtout la puce électronique n’est pas directement implantée dans la chair des personnes. Ainsi, même si la technologie RFID a été testée en France, les entreprises n’ont pas franchi le pas de l’implanter directement dans le corps de leurs employés car la CNIL veille aux garanties de protection de la vie privée des français.
De plus, un autre acteur en France veille à ces garanties, c’est le CHSCT mentionné précédemment, comité qui doit être informé et consulté avant l’introduction de moyens et de techniques permettant un contrôle de l’activité des salariés. Ledit comité a notamment pour mission de contribuer à la protection physique et mentale des travailleurs, ainsi qu’à leur sécurité dans le but d’améliorer leurs conditions de travail.
D’ailleurs, la consultation du CHSCT peut être rendue obligatoire dans certains cas, notamment lorsqu’une décision d’aménagement important modifie les conditions de santé, de sécurité ou les conditions de travail des salariés selon l’article L. 4612-8-1 du code du travail. L’article précise que cette consultation intervient en cas de transformation conséquente des postes de travail pouvant résulter d’une modification de l’outillage, ou encore d’un changement de produit ou de l’organisation du travail. Un dernier point qui correspond à la problématique de l’implantation de la puce RFID qui constitue bien une décision d’aménagement important qui modifie sensiblement les conditions de santé, de sécurité et de travail des salariés, en modifiant l’organisation du travail de ces derniers.
Ainsi, en droit français, le CHSCT est nécessairement consulté dans les cas où une entreprise projette d’introduire des nouvelles technologies affectant les salariés, afin d’en évaluer les éventuels dangers selon l’article L. 4612-9 du code du travail. Si l’entreprise ne dispose pas de ce comité c’est le délégué du personnel qui sera consulté, et à défaut les salariés eux-mêmes.
Les individus prêts à restreindre leur droit au respect de leurs données personnelles pour davantage de confort et de simplicité
Une implantation de cette technologie RFID dans l’intérêt d’un employeur semble encore lointaine en France, néanmoins on constate que la tendance en Europe concernant la mise en place d’un tel dispositif a été initiée par les employés, comme l’atteste l’exemple de l’entreprise belge. Ce n’est pas anodin puisque si les salariés eux-mêmes acceptent de restreindre leur droit au respect de leurs données à caractère personnel pour accéder à davantage de confort dans le travail, de simplicité et de sécurité, cette technologie, comme les autres avant elle, risque de se développer massivement dans les années à venir.
Il est intéressant de faire le parallèle avec le port d’un badge automatisé, dont l’utilisation s’est démocratisée et s’est étendue à l’ensemble des entreprises à travers le monde. De nos jours, le dispositif du badge de sécurité ne choque plus personne car les personnes veulent davantage de simplicité et de confort, c’est plus simple que d’utiliser une clé et de signer un formulaire d’entrée et de sortie. L’implantation d’une puce électronique apparait encore plus simple que d’utiliser un badge, les avantages de confort et de simplicité sont indéniables, mais cela restreint une nouvelle fois sensiblement le droit à la vie privée. Or, même si avec le temps les individus ont accepté le port d’un badge de sécurité, se faire implanter une puce électronique dans sa chair donne un caractère encore plus intrusif à la surveillance. Il n’empêche que même si tout le monde ne s’en rend pas toujours compte, les smartphones font déjà office de traceurs des individus, et ce à chaque instant de leur quotidien. Alors, la puce RFID est-elle la prochaine étape technologique de notre société, les Hommes seront-ils prêts une nouvelle fois à restreindre leurs droits à la vie privée pour bénéficier de davantage de confort et de simplicité ?
GILBERT (A.), « États-Unis : l’implantation de puces sous-cutanée autorisée sur des individus », zdnet.fr, mis en ligne le 15 octobre 2004, consulté le 11 février 2017, <http://www.zdnet.fr/actualites/tats-unis-l-implantation-de-puces-sous-cutanee-autorisee-sur-des-individus-39177951.htm>
CONGE (P.), « Sanofi soupçonné de “surveillance à la Big Brother” sur ses employés », lexpress.fr, mis en ligne le 15 avril 2016, consulté le 11 février 2017, <http://lexpansion.lexpress.fr/entreprises/chez-sanofi-soupconne-de-surveillance-a-la-big-brother-sur-ses-employes_1783194.html>
HOSNI (S.), « Une société belge implante une puce électronique sous la peau de ses employés », rtbf.be, mis en ligne le 3 février 2017, consulté le 11 février 2017, <http://www.rtbf.be/info/societe/onpdp/detail_une-societe-belge-implante-une-puce-electronique-sous-la-peau-de-ses-employes?id=9511535>
TYMEN (E.), « Une société belge équipe certains employés de puces électroniques », lefigaro.fr, mis en ligne le 7 février 2017, consulté le 11 février 2017, <http://www.lefigaro.fr/societes/2017/02/07/20005-20170207ARTFIG00153-une-societe-belge-equipe-certains-employes-de-puces-electroniques.php >