Cette publication provient du site du syndicat de salariés CFDT.
Si l’utilisation du dispositif vidéo à des fins de prévention des atteintes aux biens et aux personnes peut être considéré comme légitime, telle n’est pas le cas d’une surveillance permanente des salariés à des fins de localisation. Cette vidéosurveillance est alors considérée comme excessive et portant atteinte à leurs libertés individuelles. CNIL, décision n°MED-2019-025 du 5.11.19.
Loin d’être un cas d’école, la surveillance des salariés à l’ère du numérique devient un cas d’entreprise ! Pour preuve, la CNIL a recensé plus de 1000 plaintes de salariés dans le cadre d’une surveillance continue, et ce, pour la seule année 2018(1).
Soucieuse de freiner la propagation d’un contrôle à la Big Brother du travailleur dans les entreprises, la Commission a rendu publique sa mise en demeure à l’encontre d’une entreprise surveillant ces salariés au moyen de caméras connectés.
- Du contrôle en temps réel par l’employeur…
Revenons-en aux faits. Dans cette affaire, l’entreprise BoutiqueAéro a fait l’objet d’un contrôle de la CNIL. A cette occasion, la délégation a constaté que l’entreprise était dotée d’un dispositif de 14 caméras destiné à localiser l’ensemble des salariés ainsi qu’un poste de travail constamment sous surveillance : les « caméras filmant en continu un poste de travail (…) » ainsi qu’une « zone (…) correspondant à un couloir desservant plusieurs bureaux de salariés » tous deux non ouverts au public(2).
- Et par les salariés eux-mêmes dans et… hors de l’entreprise !
Qui plus est, ces « images de vidéosurveillance étaient accessibles en temps réel depuis une connexion au logiciel » lui aussi accessible par « l’ensemble des salariés ». Cette accessibilité pouvait également se faire hors les murs de l’entreprise « depuis une connexion à partir d’un poste informatique extérieur au moyen de ses identifiants ».
Manifestement attentatoire à la vie privée du salarié !
Dans la droite ligne de sa doctrine(3), la Commission constate que ce dispositif est contraire au RGPD(4) : « Sauf circonstances particulières, les systèmes de vidéosurveillance qui placent les salariés sous surveillance constante sont excessifs et portent atteinte à leurs libertés individuelles ».
En premier lieu, cela porte atteinte au respect de la vie privée. Ce principe, rappelons-le, à valeur constitutionnelle et a été consacré par la Cour de cassation dans son arrêt Nikon : « le salarié a droit, même au temps et au lieu de travail, au respect de l’intimité de sa vie privée »(5).
A juste titre dès lors, la CNIL estime que le placement sous surveillance permanente des salariés à des fins de localisation est attentatoire à leur vie privée. Aurait pu néanmoins être considéré comme légitime une « utilisation du dispositif vidéo à des fins de prévention des atteintes aux biens ou des personnes » selon cette dernière. Tel n’est pas le cas, en l’espèce « de la localisation de salariés par le gérant à des fins de surveillance ». L’entreprise, qui plus est, ne fait en aucun cas état, pour justifier ce contrôle invasif de « la manipulation d’objet de grande valeur » par les salariés ou « de vol et de dégradation ».
En tout état de cause, la surveillance ainsi mis en œuvre portait atteinte à la vie privée des salariés et n’était, de toute évidence « pas justifié par la nature de la tâche à accomplir ni proportionné au but recherché »(6).
- Du manquement à l’obligation d’informer les salariés du système de vidéosurveillance et de sa finalité…
Au sens de l’article 13 du RGPD(7), l’employeur doit fournir aux salariés des informations sur les données personnelles collectées rappelle la CNIL. Cela comprend notamment l’identité du responsable du traitement, la finalité du dispositif, la durée de conservation des données et le droit pour le salarié d’introduire une réclamation. En l’état, la délégation constate qu’aucune information spécifique n’est délivrée aux salariés sur les caméras connectées. Simplement, l’information « délivrée dans le contrat de travail ne porte que sur la présence du dispositif de vidéoprotection à des fins de protection contre le vol ». Elle en conclut que les salariés n’ont pas été régulièrement informés du dispositif de vidéosurveillance et encore moins de sa réelle finalité de contrôle du travail.
Le RGPD est applicable dans toutes les entreprises de l’UE ! En effet, « le présent règlement s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union »(8).
- A la violation de l’obligation d’assurer la sécurité et la confidentialité des données ou d’établir un registre
Trois autres manquements au RGPD sont en outre constatés par la délégation. En somme, l’employeur a manqué à son :
– obligation de veiller à la sécurité des données personnelles traitées par un sous-traitant. L’employeur a violé l’article 28 du présent règlement en ayant recours à un prestataire en charge de la maintenance informatique des caméras qui pouvait librement accéder aux images vidéo à distance, et ce, sans qu’aucune clause contractuelle ne garantisse la sécurité et la confidentialité des données ;
– obligation d’établir un registre des activités de traitement. La vidéosurveillance étant en place depuis 2010 pour localiser les salariés, le traitement n’était en tout état de cause pas occasionnel. Dès lors cette obligation incombait à l’employeur. Or, la délégation constate l’absence de registre ;
– obligation d’assurer la sécurité et la confidentialité. Plus flagrant est le laxisme de l’employeur sur l’accessibilité des images de vidéosurveillance par l’ensemble du personnel de l’entreprise dans son enceinte et en dehors. La délégation a donc considéré que l’employeur violait l’article 32 du présent règlement puisque l’entreprise se doit, de « définir des profils d’habilitation afin de limiter les accès des utilisateurs aux seules données dont ils ont besoin » (pour leur travail).
- Mise en demeure de se conformer au RGPD sous peine de sanction(s) !
Aux vues des différents manquements relevés, la CNIL a mis en demeure la société de « redimensionner » son dispositif de vidéosurveillance – comprenons, de se conformer au RGPD – pour que cesse ce « caractère intrusif ». En d’autres termes, ne plus filmer en continu les salariés sur leur poste de travail, « par exemple, en supprimant ou réorientant les caméras ». Elle enjoint par ailleurs l’employeur dans les délais impartis à prendre toutes les mesures de sécurité pour l’ensemble du traitement des données personnelles des salariés. En particulier, pour l’accès aux flux vidéo des caméras, « de manière à préserver la sécurité de ces données et empêcher que des tiers non autorisés – cela comprend aussi d’autres salariés non habilité – y aient accès ».
La mise en demeure n’est pas une sanction. En effet, aucune suite ne sera donnée à cette procédure si la société se conforme à la loi dans les délais qui lui sont impartis, soit dix jours et deux mois selon les manquements retenus. En revanche, si la société ne se conforme pas à la mise en demeure, la Présidente saisira la formation restreinte de la CNIL qui pourra prononcer une sanction.
Sous peine de ne pas se conformer à la mise en demeure dans les délais imparties, l’entreprise violant le RGPD s’expose à une amende pouvant aller jusqu’à 20 millions d’euros ou 4 % de son chiffre d’affaire[9].
Quand bien même l’employeur serait technophile ou technophobe, la diffusion de cette mise en demeure envoie un message clair : peu importe le design du contrôle, il ne doit pas être attentatoire à la vie privée du travailleur s’il n’est pas justifié par un objectif légitime !
Considérant la difficile conciliation entre respect de la vie privée et surveillance numérique, le législateur est venu introduire un nouveau garde-fou : l’action de groupe par une organisation syndicale. En effet, depuis 2018 une organisation syndicale à la possibilité d’assigner en justice un employeur pour violation du RGPD et demander réparation des préjudices matériels et moraux subis en cas de violation des données personnelles !
Prenons bonne mesure : la donnée personnelle du travailleur constitue, à l’ère du Big data, une nouvelle arène où l’enjeu n’est rien moins que le respect de ses libertés et droits fondamentaux.
Le RGPD est applicable à tous les travailleurs, du salarié à l’auto-entrepreneur ubérisé. Chacun d’eux peut donc porter réclamation devant la CNIL pour faire cesser l’atteinte d’un contrôle ou d’un traitement de ses données personnelles contraire au RGPD !
(1) CNIL, délibération n°MEDP-2019-001 du 22.11.19.
(2) CNIL, décision n°MED-2019-025 du 5.11.19.
(3) CNIL, délibération n° 2013-475 du 03.01.03.
(4) Règlement général sur la protection des données (RGPD), (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), JOUE L127 2 du 23.05.18.
(5) Cass.soc. 2.10.01, n°99-42.942.
(6) Art. L.1121-1 C.trav.
(7) Art. 20. Loi n° 78-17. 06.01.78 relative à l’informatique, aux fichiers et aux libertés.
(8) LOI n° 2018-493. 20.06.18 relative à la protection des données personnelles.
(9) Art. 2. RGPD. (UE) 2016/679.