Digitalisation oblige, les entreprises manipulent un nombre croissant de données. La connaissance des textes encadrant cette pratique en pleine expansion s’impose comme un nouvel enjeu majeur. Sans pour autant dispenser les entreprises d’une élémentaire prudence.

Les outils actuels d’exploitation des bâtiments, auxquels s’ajoutent désormais les multiples systèmes des prestataires de services et autres objets connectés, produisent quantité de données. En digitalisant leurs espaces de travail, les entreprises se transforment ainsi par la force des choses en collecteurs de datas. Elles ne doivent cependant pas oublier un point fondamental. La collecte et l’utilisation de ces données dans le cadre de la gestion du digital workplace est soumise à un certain nombre de règles strictes, en particulier s’agissant de la protection des données personnelles. Le règlement général pour la protection des données (RGPD), entré en application en mai 2018, impose aux entreprises de constituer un registre de traitement de leurs données, de trier ces données, de les sécuriser et d’informer les personnes concernées de leur collecte. « Toutes les données RH sont soumises au RGPD, résume Alain Bensoussan, avocat spécialisé en droit des technologies avancées. Dans ce cadre, les collaborateurs doivent être informés de leur acquisition, de l’usage qui en est fait et de la possibilité d’y accéder. » S’agissant de la collecte des données, c’est le Code du travail, dans un article L1121-1 très général, qui fixe les règles. Le texte dispose que « nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives des restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché. » « La jurisprudence s’appuie sur cet article pour retenir qu’un salarié ne peut pas être placé en situation de surveillance permanente, décrypte Alain Bensoussan. Sous couvert de management et d’optimisation des services aux collaborateurs, il ne faut pas que de tels éléments servent à contrôler leur activité. Ce serait un détournement de finalité de réaliser des audits cachés. »

 

Propriété des technologies, propriété des données

 

À qui appartiennent les données ?

La gestion des données soulève aussi de nouveaux enjeux, variables selon les dimensions et le secteur d’activité. Si une grande entreprise multi-site aura tendance à développer son propre système propriétaire pour des raisons de sécurité évidentes, les acteurs plus modestes se tournent plus volontiers vers des prestataires à qui ils confient la gestion de leurs données. En pratique, selon l’enquête Club Digital Arseg, deux tiers des entreprises ont leur système informatique dominé par des technologies propriétaires. Problème, ces dernières ont créé un blocage dans 48 % des cas (systèmes de sécurité, GTB/GTC…). Tout aussi problématique, les entreprises maîtrisent mal la question de la propriété de leurs données : si 44 % déclarent en être propriétaire et 15 % copropriétaire, 35 % avouent ignorer dans quelle situation elles se trouvent. Il appartient in fine aux entreprises de prendre les mesures nécessaires : « Si un prestataire connaît l’emplacement d’un lieu sensible de l’entreprise ou la localisation du PDG en temps réel, il faut sécuriser en conséquence, avertit Pierre Lusteau, directeur d’Aremis. La technologie le permet. C’est d’abord un sujet d’organisation avant d’être un sujet juridique. »