Cet article est issu du site du syndicat de salariés CGT
Dans l’une des ses Pages juridiques, la CGT-santé privée fait le point sur l’utilisation de la vidéosurveillance en milieu professionnel et sur les recours possibles en cas d’usage contraire à la procédure.
Procédure de mise en place
déclaration normale de l’employeur auprès de la Commission nationale de l’informatique et des libertés (Cnil) pour chaque site ou établissement non ouvert au public et équipé d’une ou plusieurs vidéo de surveillance, SAUF si l’organisme ayant mis en place les caméras a désigné un correspondant informatique et libertés (CIL), auquel cas celui-ci notera ce dispositif dans son registre et aucune formalité ne sera nécessaire auprès de la Cnil. Dans tous les cas, pour être légitime, ce contrôle devra être réalisé dans le respect de la vie privée (cf. article 9 du Code civil) et des libertés individuelles et collectives des salariés (cf. article L. 1121 du Code du travail) ; information et consultation du CE ou CSE (cf. L. 2312-17 et l. 2312-28 CT) ; information individuelle des salariés par un avenant à leur contrat ou une note de service ; information des personnes concernées (employés et/ou visiteurs) au moyen d’un panneau affiché de manière visible dans les locaux, établissant :
- l’existence du dispositif,
- le nom du responsable,
- la procédure à suivre pour demander l’accès aux enregistrement visuels les concernant.
Le droit communautaire adopte la même vision et d’ailleurs, dans un arrêt récent (CEDH, López Ribalda et autres c. Espagne, 9 janvier 2018, 1874/13 et 8567/13), la Cour européenne des droits de l’Homme a conclu que la dissimulation d’une vidéosurveillance sur le lieu de travail constituait une violation de l’article 8 de la Convention européenne des droits de l’Homme, lequel affirme le droit au respect de la vie privée et familiale.Quand bien même le dispositif avait pour but de faire la lumière sur des soupçons de vol, il aurait dû être porté à la connaissance des employés qu’ils étaient surveillés.
Précisons, en outre, qu’il s’agit également d’une application du principe de loyauté de la preuve en matière civile (étant donné que, si la procédure n’est pas respectée, ce moyen, alors illicite, sera inopposable au salarié notamment — cf. article 9 CPC, article 6 par. 1 CEDH, Ccass Soc. 7 juin 2006 n° 10-23482), la preuve étant en revanche libre en matière pénale, de sorte que même si ces vidéos sont illicites, elles pourront être utilisées au niveau pénal mais pas au niveau prud’homal.
Le non-respect de cette procédure peut d’ailleurs entraîner des sanctions pénales (cf.articles 226-1, 226-21 CP).
NB : il existe une exception. En effet, ces informations ne s’imposent pas dès lors que le dispositif est uniquement destiné à surveiller des locaux où les salariés n’ont pas accès et non au contrôle de leur activité. Les images recueillies pourront d’ailleurs être utilisées afin de prouver qu’une infraction a été commise (cf. Ccass Soc. 31 janvier 2001 n° 98-44290, Ccass Soc. 19 avril 2005 n° 02-46295).
Tableau récapitulatif des procédures
Recours
Si le dispositif ne respecte pas ces règles, il est possible de saisir le service des plaintes de la Cnil, laquelle peut d’ailleurs contrôler tous les dispositifs installés sur le territoire national de sa propre initiative ou à la demande de la commission départementale de vidéo-protection.
Elle pourra notamment mettre en demeure l’entreprise ayant abusé de la finalité du dispositif d’effectuer une mise en conformité de ce système sous un certain délai, mais elle pourra aussi condamner l’entreprise utilisant le système de vidéosurveillance à une sanction pécuniaire publique.
Peuvent également être saisis : les services de l’Inspection du travail ; les services de police ou de gendarmerie (il faudra alors déposer une plainte contre le responsable du dispositif) ; le procureur de la République.
Règlement général sur la protection des données (RGPD)
À compter du 25 mai 2018, avec l’entrée en application du règlement européen de protection des données à caractère personnel (règlement UE 2016/279 du Parlement européen et du Conseil du 27 avril 2016), les obligations de l’employeur vont être modifiées.
Ainsi, les formalités préalables auprès de la Cnil disparaîtront pour la quasi-totalité des traitements. Les traitements de données mis en œuvre par l’employeur devront cependant être conformes au RGPD, de sorte qu’il sera notamment amené à documenter les différentes caractéristiques desdits traitements, être en mesure de démontrer leur proportionnalité ou encore respecter les principes de protection des données par défaut.
Par ailleurs, les salariés devront toujours être informés, si ce n’est encore plus précisément. Lesdites informations devront en effets être particulièrement claires, facilement accessibles et devront également porter sur la possiblilité d’introduire une réclamation auprès de la Cnil (cf. articles 13, 14 et 15 RGPD).
NB : les actuels CIL seront remplacés par des délégués à la protection des données (DPO — data protection officers) qui reprendront leurs attributions mais avec des missions élargies.
Les principes de protection des données sont tout de même maintenus (licéité du dispositif, proportionnalité des données — lesquelles doivent toujours respecter la vie privée des salariés et leurs libertés individuelles et collectives — avec le but poursuivi par l’employeur et la limitation de la durée de conservation des sonnées).
La Cnil conserve ses missions d’information et de conseil mais également son pouvoir de contrôle et de sanction.