La cybersurveillance au travail n’est plus un sujet marginal réservé aux environnements hautement sécurisés. En 2025 et 2026, les travaux de l’OCDE, de l’OIT et d’Eurofound montrent qu’elle s’inscrit désormais dans des dispositifs plus larges de gestion algorithmique: suivi du temps, surveillance d’écran, analyse des communications, allocation automatisée des tâches, voire décisions affectant l’accès au travail. Autrement dit, la question n’est plus seulement de savoir si l’on est « surveillé », mais comment les outils numériques influencent l’autonomie, la charge mentale, la confiance et, au fond, le bien-être professionnel.
Se protéger de la cybersurveillance ne signifie pas refuser toute règle de sécurité ni nier les besoins légitimes des organisations. Il s’agit plutôt de distinguer protection et intrusion, prévention et contrôle excessif. Dans une perspective de santé mentale, cette nuance est essentielle: lorsqu’un salarié ne sait pas quelles données sont collectées, pourquoi elles le sont et comment elles seront utilisées, l’incertitude peut nourrir stress, hypervigilance et sentiment d’impuissance. Des outils concrets et de bonnes pratiques permettent pourtant de réduire cette exposition, tout en respectant les exigences de cybersécurité.
Comprendre la cybersurveillance et ses effets psychologiques
La cybersurveillance recouvre plusieurs réalités: journalisation des connexions, contrôle des accès, géolocalisation, logiciels de suivi d’activité, analyse des échanges numériques ou dispositifs plus sophistiqués de gestion algorithmique. Selon Eurofound en 2026, ces systèmes peuvent combiner plusieurs couches de monitoring et produire des effets très concrets sur les travailleurs, allant de l’évaluation continue jusqu’aux avertissements ou à la désactivation automatique de comptes dans certains contextes de plateforme.
L’OCDE a confirmé en février 2025 que ces outils se diffusent largement dans l’entreprise. L’enjeu dépasse donc la seule conformité informatique. L’OIT, dans ses études de cas 2024 publiées en 2025, évoque des « significant challenges » et un « strong potential for intrusive worker surveillance ». Ces formulations sont importantes, car elles relient explicitement l’organisation numérique du travail à la qualité de l’emploi, au sentiment de contrôle et à la sécurité psychologique.
Sur le plan clinique et psychosocial, une surveillance opaque ou permanente peut favoriser la fatigue cognitive, l’auto-censure, la peur de l’erreur et la difficulté à récupérer mentalement après la journée de travail. Le bien-être professionnel dépend en partie de la prévisibilité des règles et de la possibilité de conserver un espace raisonnable d’autonomie. Quand chaque action paraît mesurée, scorée ou interprétée hors contexte, la relation au travail peut devenir défensive plutôt que constructive.
Ce que dit le cadre européen et français
En Europe, la régulation progresse nettement. Le Conseil de l’Union européenne a présenté la directive sur le travail via plateforme comme « the first-ever piece of EU legislation to regulate algorithmic management in the workplace ». La directive (UE) 2024/2831, entrée en vigueur le 1er décembre 2024, doit être transposée d’ici le 1er décembre 2026. Ce mouvement réglementaire est un signal fort: la gestion algorithmique du travail n’est plus un angle mort juridique.
En France, la CNIL rappelle de longue date que la surveillance d’un salarié doit rester justifiée, transparente et proportionnée. L’amende de 32 millions d’euros infligée en 2024 à Amazon France Logistique a illustré cette ligne: certains indicateurs issus des scanners ont été considérés comme excessifs au regard des principes de minimisation et de transparence. Cette décision montre qu’un objectif de performance ou de sécurité ne suffit pas à légitimer une granularité illimitée des données.
Le principe juridique central est clair: une surveillance légitime n’autorise pas une surveillance disproportionnée. Des autorités européennes, y compris hors de France, rappellent qu’une organisation ne peut pas annuler toute attente raisonnable de vie privée au travail sous prétexte de sécurité réseau. Pour les salariés comme pour les managers, cette idée est essentielle: la protection du système d’information et la protection de la santé psychique doivent être pensées ensemble, et non opposées.
Séparer les usages professionnels et personnels
L’une des premières protections contre la cybersurveillance diffuse consiste à bien distinguer les espaces numériques. La CNIL, notamment dans son guide de sécurité des données réactualisé en 2024, insiste sur l’encadrement des usages en télétravail et sur les situations de BYOD, c’est-à-dire l’usage d’équipements personnels dans un contexte professionnel. Mélanger les deux univers augmente les risques de fuite de données, mais aussi d’exposition involontaire de la vie privée.
Concrètement, il est préférable d’utiliser des appareils, comptes et navigateurs distincts pour le travail et pour la sphère personnelle. Un téléphone professionnel ne devrait pas devenir le support principal des échanges intimes, des achats privés ou du stockage familial. Inversement, un ordinateur personnel utilisé pour le travail mérite au minimum des règles explicites: session dédiée, chiffrement, mises à jour, séparation des dossiers et paramètres de sécurité harmonisés.
Cette séparation a aussi une valeur psychologique. Elle aide à poser des frontières, particulièrement en télétravail, où les outils professionnels colonisent facilement l’espace domestique. Préserver le bien-être professionnel, c’est aussi réduire la sensation d’être joignable partout, traçable en permanence ou évalué au sein même de son intimité quotidienne.
Protéger ses comptes et ses terminaux au quotidien
La sécurité de base reste un levier majeur pour limiter les intrusions, les compromissions de compte et certaines formes de surveillance malveillante. En 2025, la CNIL rappelle l’importance d’utiliser des mots de passe forts, différents pour chaque service, et idéalement un gestionnaire de mots de passe. Le NIST recommande lui aussi explicitement ces outils, notamment pour éviter les réutilisations qui facilitent l’accès non autorisé aux comptes professionnels.
Il est également recommandé d’activer la MFA, c’est-à-dire l’authentification multifacteur, en particulier sur la messagerie, le stockage cloud et les accès distants. La CISA souligne qu’une MFA résistante au phishing, comme les passkeys ou les clés physiques, offre une protection supérieure. Dans la pratique, cela réduit le risque qu’un tiers prenne le contrôle d’un compte et accède à des échanges ou à des documents pouvant ensuite servir à surveiller, manipuler ou extorquer.
Enfin, des réflexes simples gardent toute leur pertinence: ne pas laisser les terminaux ni les documents sans surveillance, verrouiller sa session en cas d’absence, éviter les conversations sensibles dans des lieux exposés, et protéger l’écran des regards indiscrets pendant les déplacements. Ces gestes paraissent basiques, mais ils structurent une culture de protection concrète et diminuent à la fois les risques cyber et le sentiment d’insécurité numérique.
Réduire les risques liés au phishing et aux outils d’IA
Le phishing reste l’une des principales portes d’entrée vers la compromission des environnements professionnels. La CISA recommande de former les équipes à reconnaître et signaler rapidement les messages suspects. Ce point a une dimension de bien-être professionnel: plus les salariés savent identifier les tentatives de fraude, moins ils sont laissés seuls face à l’angoisse d’avoir « mal fait » ou d’avoir déclenché un incident irréversible.
Une culture de signalement non punitive est donc préférable à une culture de blâme. Lorsqu’une organisation répond à un clic malheureux uniquement par la menace ou la honte, elle encourage la dissimulation. À l’inverse, des procédures claires et des interlocuteurs identifiés réduisent la charge psychologique associée aux erreurs numériques, qui sont souvent exploitées précisément parce qu’elles s’appuient sur la fatigue, l’urgence ou la distraction.
Les outils d’IA générative ajoutent un risque spécifique. La mémo-liste 2025 CNIL/Cybermalveillance recommande explicitement de ne pas y verser des données personnelles ou sensibles. Dans le travail quotidien, cela signifie éviter de coller des dossiers RH, des échanges cliniques, des informations médicales, des données clients identifiantes ou des documents internes stratégiques dans un agent conversationnel sans cadre validé. Réduire l’exposition des données, c’est réduire simultanément les risques de fuite, de réutilisation non maîtrisée et de surveillance indirecte.
Exiger de la transparence sur les outils de pilotage numérique
Le débat actuel ne porte plus seulement sur la sécurité technique, mais sur les effets organisationnels des systèmes de monitoring. Les travaux de l’OIT et de l’OCDE convergent: lorsque les outils de gestion algorithmique restent opaques, ils peuvent dégrader la satisfaction au travail, la confiance et le sentiment de sécurité professionnelle. Le bien-être professionnel dépend donc aussi de la compréhension des règles numériques qui orientent l’évaluation et la charge de travail.
Pour les salariés, demander des explications sur les données collectées, la durée de conservation, les destinataires, les finalités et l’existence éventuelle d’une prise de décision automatisée est une démarche légitime. Cette demande ne traduit pas une opposition à l’entreprise; elle participe au contraire à une relation de travail plus saine, où les attentes sont explicitables. L’incertitude chronique est un facteur de stress bien documenté en psychologie du travail.
Pour les organisations, la bonne pratique consiste à documenter la finalité, la proportionnalité et la minimisation de toute mesure de monitoring. Il est également préférable de privilégier des indicateurs agrégés et contextualisés plutôt qu’un suivi individuel permanent. Cette approche est cohérente avec les critiques formulées par la CNIL contre une granularité excessive des indicateurs et avec une conception plus respectueuse de la dignité au travail.
Mettre en place une gouvernance protectrice dans l’entreprise
Une politique saine de protection contre la cybersurveillance repose rarement sur un service unique. Avant tout déploiement d’outil de surveillance ou d’IA au travail, il est prudent d’associer représentants du personnel, DPO, RSSI, RH et management opérationnel. Cette démarche est cohérente avec les publications de l’OIT sur le dialogue social autour de l’IA et de la gestion algorithmique, ainsi qu’avec l’évolution du cadre européen.
La CNIL, dans son programme 2025, revendique « un juste équilibre entre la voie répressive et l’accompagnement ». Cette formule est utile au niveau organisationnel. Elle suggère qu’une entreprise mature ne se contente pas d’interdire ou de contrôler: elle explique, forme, ajuste et met en place des garde-fous vérifiables. En 2024, la CNIL a réalisé 321 contrôles et reçu 5 629 notifications de violations de données, soit une hausse de 20 % par rapport à 2023, ce qui montre que les sujets cyber et données sont désormais suivis de près.
Dans les faits, une gouvernance protectrice comprend des politiques écrites lisibles, des analyses d’impact lorsque nécessaire, des paramètres techniques limitant la collecte superflue, des voies de recours humaines en cas de décision automatisée, et des espaces de discussion sur les effets concrets des outils. Lorsque les salariés sentent que les règles sont discutables, auditées et révisables, la confiance augmente et l’épuisement défensif diminue.
Se protéger de la cybersurveillance, c’est donc agir à deux niveaux complémentaires. D’un côté, chacun peut renforcer son hygiène numérique: séparer les usages pro et perso, sécuriser ses comptes, activer la MFA, reconnaître le phishing, limiter ce qu’il partage avec les outils d’IA et protéger ses terminaux au quotidien. De l’autre, les employeurs ont la responsabilité de concevoir des systèmes transparents, proportionnés et compatibles avec la santé mentale au travail.
Au fond, préserver le bien-être professionnel dans un environnement numérisé ne consiste pas à choisir entre sécurité et liberté, mais à construire des pratiques qui protègent sans écraser. Quand les outils sont compréhensibles, les finalités limitées, les données minimisées et le dialogue réel, la technologie peut soutenir le travail au lieu d’installer une vigilance permanente. C’est cette ligne d’équilibre, à la fois juridique, technique et psychologique, qui mérite aujourd’hui d’être défendue.
















