Check-in automatique de Teams : quand Microsoft transforme le Wi-Fi du bureau en pointeuse
Microsoft déploie dans Teams une fonctionnalité de « check-in » automatique qui détecte la présence d'un salarié au bureau grâce à la localisation Wi-Fi. Présentée comme un outil de fluidification du travail hybride, elle transforme de fait le réseau de l'entreprise en capteur de présence — et rouvre une question que les DPO connaissent bien : à partir de quand un service collaboratif devient-il un dispositif de surveillance ?
Ce qui se passe
La nouvelle option de Teams enregistre automatiquement l'arrivée d'un collaborateur sur site en s'appuyant sur le point d'accès Wi-Fi auquel son appareil se connecte. L'objectif affiché par Microsoft est pratique : indiquer aux collègues qui est physiquement présent, faciliter la réservation d'espaces et nourrir les indicateurs d'occupation des bureaux dans un contexte de travail hybride généralisé.
Le problème est que cette commodité repose sur un traitement de données de géolocalisation des salariés. Même indirecte, la donnée « cette personne est arrivée au bureau à telle heure » est une donnée personnelle qui révèle la présence, les horaires et, par recoupement, les habitudes de mobilité d'un individu identifié. Le fait que la collecte soit silencieuse et automatique — sans geste actif de l'employé — déplace le curseur de l'outil collaboratif vers le dispositif de contrôle.
Pourquoi c'est important
En droit européen, un employeur ne peut pas traiter les données de ses salariés simplement parce que c'est techniquement possible ou commercialement utile. Le traitement doit reposer sur une base légale valide au sens de l'article 6 du RGPD. Or, dans la relation de travail, le consentement est presque toujours écarté : le lien de subordination empêche qu'il soit « libre ». L'employeur doit donc se rabattre sur l'intérêt légitime ou une obligation légale — et démontrer, à chaque fois, que la mesure est proportionnée.
C'est exactement la logique que la CNIL a rappelée à propos des badgeuses et des systèmes de pointage : comme l'autorité l'a souligné dans sa doctrine sur le contrôle d'accès et le suivi des horaires au travail, surveiller ses salariés n'autorise pas tout. La proportionnalité, la minimisation et l'information préalable ne sont pas des options. Le cadre est encore plus précis pour les traitements RH : l'article 88 du RGPD prévoit des règles spécifiques pour les données traitées dans le cadre des relations de travail, et invite les États membres à encadrer la surveillance sur le lieu de travail.
Le check-in automatique de Teams s'inscrit dans une tendance de fond inquiétante : l'intégration de capacités de surveillance directement dans les outils de productivité du quotidien. On l'a vu récemment avec le dispositif MCI de Meta, qui enregistre clics et frappes clavier des salariés sans option de retrait. À chaque fois, le même piège se referme : la fonctionnalité est activée par défaut, la finalité est floue, et la donnée collectée dépasse largement le besoin initial.
Ce que ça change pour les organisations
Pour un DPO ou un RSSI, l'arrivée de cette option dans une suite aussi répandue que Microsoft 365 n'est pas un sujet théorique : elle peut être déployée par un service IT ou RH sans que la conformité ait été évaluée. Trois réflexes s'imposent.
D'abord, cartographier le traitement avant toute activation. Le suivi automatique et systématique de la localisation de salariés est précisément le type de traitement « à grande échelle » et potentiellement intrusif qui déclenche l'obligation de mener une analyse d'impact relative à la protection des données (AIPD). Cette analyse doit documenter la nécessité, la proportionnalité et les mesures d'atténuation — et conclure, le cas échéant, qu'il faut désactiver la fonction.
Ensuite, sécuriser la base légale et l'information. Si l'intérêt légitime est retenu, il faut formaliser un test de mise en balance et informer clairement les salariés de la collecte, de sa finalité et de leurs droits, en cohérence avec le régime applicable aux données RH. Le comité social et économique doit également être consulté avant la mise en place d'un dispositif de contrôle de l'activité.
Enfin, appliquer la minimisation et des durées de conservation courtes : pas de constitution d'un historique de présence qui permettrait, demain, de reconstituer le rythme de vie d'un collaborateur ou de l'utiliser dans un contentieux prud'homal.
Ce que Leto pense de cette décision
Le problème n'est pas la fonctionnalité en soi — savoir qui est au bureau peut avoir un intérêt organisationnel réel. Le problème, c'est l'activation silencieuse et la collecte par défaut. Une donnée de géolocalisation des salariés ne devrait jamais être captée sans décision consciente de l'organisation, base légale documentée et information des intéressés. Tant que l'éditeur place le curseur côté « commodité » et laisse à l'employeur le soin de gérer le risque juridique, la prudence commande de désactiver l'option par défaut et de ne la réactiver qu'après une AIPD en bonne et due forme. En 2026, la surveillance au travail ne se juge plus à l'intention affichée, mais à ce que l'outil collecte réellement.
