Le «cyberslacking» désigne l'usage abusif d'Internet sur le lieu de travail, hors du cadre professionnel par les employés. Il soulève des problèmes de coût, de productivité, de sécurité et peut avoir des impacts directs ou indirects sur les actifs et l'image de l'entreprise.

Il peut se trouver à l'origine de l'introduction de programmes malveillants entraînant la destruction, la modification, le vol des données, l'espionnage économique ou la prise de contrôle des systèmes de l'entreprise.

Cela peut conduire à la mise en cause de la responsabilité civile ou pénale de la société et de l'employé. Il s'agit donc d'un risque non négligeable sur les plans stratégique, opérationnel, économique et légal, dont la prise en compte est à l'origine du phénomène de cybersurveillance des employés, des personnes ou des processus par tout moyen de contrôle technique. La question n'est pas de savoir comment faire de la cybersurveillance, mais jusqu'où aller dans la cybersurveillance?

Le Conseil fédéral, dans son ordonnance relative à la loi sur le travail, interdit la surveillance privée. Si des systèmes de surveillance sont nécessaires, ils doivent être conçus de telle sorte à ne pas porter atteinte à la liberté des travailleurs.

Ainsi la surveillance de l'usage d'Internet et de la messagerie n'est pas admissible, mais l'analyse anonymisée et pseudonymisée des fichiers de journalisation est autorisée. C'est seulement après une information préalable de l'employé et un constat d'abus avéré que l'employeur peut réaliser une surveillance plus ciblée.

Les réponses légales à la question de savoir si le contenu des messages peut être intercepté varient selon les cantons et les pays et passent d'un extrême à l'autre. Si l'usage privé de la messagerie a été strictement interdit, un contrôle du contenu sera possible. Cela suppose que l'employeur ait formulé explicitement cette restriction d'usage. Toutefois si aucune mention de cette interdiction n'est faite, le contrôle des contenus des messages privés est possible seulement en présence d'indices d'abus.

La cybersurveillance et la collecte des données à caractère personnel concernant un employé sont abordées par la loi sur la protection des données (LPD): le mode de collecte doit être loyal; il y a une obligation de transparence (pas de collecte à l'insu de l'employé); agir selon le principe de la proportionnalité; les données collectées doivent être traitées seulement dans le cadre des raisons pour lesquelles elles ont été collectées. L'employé peut à tout moment demander à son employeur si ce dernier traite des données personnelles le concernant. L'employé lésé peut alors demander au juge l'interdiction d'entreprendre la surveillance ou de la faire cesser.

Retenons trois principes de base de la cybersurveillance: l'information préalable; la transparence à l'égard du principe de loyauté dans les relations contractuelles et la proportionnalité. Cette dernière inclut le fait que la surveillance doit être l'ultime recours quand toutes les autres mesures auront été vaines.

Il est nécessaire de recourir à des solutions complémentaires d'ordre technologique et réglementaire pour gérer l'usage extraprofessionnel d'Internet et de mettre l'accent sur la qualité de la gestion des personnes et des relations au sein de l'entreprise pour assurer le respect des droits de l'employeur et des salariés.