Accueil > Juridique > Vidéosurveillance au travail : oui mais pas n’importe comment

Vidéosurveillance au travail : oui mais pas n’importe comment

4 décembre, 2015

Le Conseil d’État a rendu il y a quelques jours un arrêt à propos de l’installation de caméras de surveillance, par un employeur, sur un lieu de travail.

Si l’installation de caméras de surveillance sur un lieu de travail n’est pas en principe interdit, cette installation ne doit pas être faite n’importe comment.

C’est ce que rappelle le Conseil d’État dans son arrêt du 18 novembre 2015 (N° 371196), confirmant une décision de la CNIL intervenue en mai 2013.

Les faits rapportés dans l’arrêt montre que l’employeur avait installé un système de vidéosurveillance.  L’une des « caméra[s] permettait de voir le poste d’une salariée et […] la n° 3 était orientée en direction d’une salle où travaillaient six personnes ; qu’à la suite de deux lettres de rappel adressées les 6 et 23 juillet 2012, le deuxième contrôle de la Commission lui a permis de constater le 15 octobre 2012, soit au-delà de l’échéance fixée par la mise en demeure du 13 avril 2012, que, si les orientations des deux caméras avaient été modifiées, la n° 3 était dirigée désormais vers le poste d’un autre salarié ; que ce n’est que lors du troisième et dernier contrôle, le 11 décembre 2012, qu’il est apparu qu’aucun salarié n’était plus sous la surveillance constante de caméras« .

L’installation de caméras de surveillance pose 3 questions juridiques :

  • la pertinence du recours à ce procédé ;
  • l’information des personnes concernées ;
  • la sécurisation des données personnelles.

 

La pertinence de la mise en place d’une vidéosurveillance

Je vais dans un premier temps rappeler les textes en vigueur avant d’analyser la position de la CNIL et du Conseil d’État.

Le premier texte visant la pertinence du recours à la vidéosurveillance est l’article L. 1121-1 du code du travail. Cet article prévoit que « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ».

Second texte à appliquer : l’article 6 de la loi du 6 janvier 1978 et plus particulièrement son point 3. Ce texte prévoit que les données à caractère personnel collectées par un responsable de traitement doivent être « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées ainsi et de leurs traitements ultérieurs ».

Il ressort de ces textes que l’installation de caméras de surveillance n’est possible que si cela répond a des impératifs adéquats pertinents et non excessifs.

Lors de différents contrôles sur place, la CNIL a constaté, au sein de la société mise en cause, qu’une caméra était braquée sur le poste d’un salarié et qu’une seconde caméra était pointée vers une salle où 6 personnes travaillaient.
Après un échange de courriers, la CNIL a fait un second contrôle qui lui a permis de constater que l’orientation de 2 caméras avaient été modifiées mais qu’une troisième caméra était, elle, orientée vers le poste d’un autre salarié.

Pour justifier du recours à la vidéosurveillance, la société sanctionnée par la CNIL, avait invoqué la sécurité de son personnel et de ses équipements.

Cet argument n’a convaincu ni la CNIL ni le Conseil d’État. L’arrêt évoque ainsi « qu’il apparaît, au contraire, que, dès le premier contrôle, il avait été constaté que le dispositif était installé depuis plusieurs mois dans des locaux sécurisés, dont l’entrée ne peut s’effectuer qu’après autorisation et vérification d’identité« .

Dès lors, le Conseil d’État a jugé que la vidéosurveillance ne répondant, dans le cas présent, à l’« obligation de proportionner le dispositif de vidéosurveillance aux finalités poursuivies ».
La sécurité des locaux est en effet déjà assurée par l’autorisation et vérification d’identité faite avant d’entrer.

L’obligation d’information des salariés

Si le critère de pertinence est rempli, l’employeur doit également informer ses salariés de la mise en place de ce type de dispositif.

L’article L. 1222-4 du code du travail prévoit qu' »aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance« .

Par ailleurs, aux termes du I de l’article 32 de la loi du 6 janvier 1978 : « La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable, par le responsable du traitement ou son représentant : / 1° De l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ; / 2° De la finalité poursuivie par le traitement auquel/es données sont destinées ; / 3° Du caractère obligatoire ou facultatif des réponses ; / 4° Des conséquences éventuelles, à son égard, d’un défaut de réponse; / 5° Des destinataires ou catégories de destinataires des données ; / 6° Des droits qu’elle tient des dispositions de la section 2 du présent chapitre ; / 7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d’un État non membre de la Communauté européenne (…)« .

Pour accomplir son obligation d’information des salariés, l’employeur avait apposé à l’entrée de ses locaux, un affichage pour ses salariés et pour les postulants à un emploi. Cet employeur avait mis en place un correspondant informatique et libertés pour informer individuellement les salariés. Cette information était à la charge du service RH pour les candidats à un emploi.

Toutefois, la CNIL a estimé que l’affichage à l’entrée des locaux ne comportait pas les mentions obligatoires de l’article 32 de la loi du 6 janvier 1978, telles que l‘identité du responsable du traitement, les finalités poursuivies par le traitement, les destinataires des données et les droits des personnes ; qu’il n’est, d’autre part, pas contesté, en dépit de nombreuses lettres explicatives et de rappel, que l’information personnelle préalable tant des salariés que des candidats à l’embauche n’était pas ou très aléatoirement assurée, y compris lors du troisième contrôle le 11 décembre 2012″.

De plus, la CNIL a constaté par procès-verbaux les carences du correspondant informatique et libertés et des chargés de recrutement, les agents préposés à ces tâches ne les remplissaient pas ou n’étaient pas en mesure de le faire correctement.

Le Conseil d’État a donc jugé que l’information des salariés n’avait pas été suffisante.

La sécurité des données personnelles

Au delà des questions de pertinence de la mise en place d’une vidéosurveillance et de l’information des salariés, les données récoltées doivent être sécurisées.

C’est l’article 34 de la loi du 6 janvier 1978 qui le prévoit. Ce texte prévoit ainsi que responsable de traitement doit prendre « toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès« .

Dans le cas présent, les mesures de sécurités mises en place pour protéger les données personnelles issues de la vidéosurveillance n’ont convaincu ni la CNIL ni le Conseil d’État.

Ainsi, l’employeur arguait du fait que « le seul poste de la salariée qui [avait] accès aux images enregistrées et dont le mot de passe de cinq caractères » lui paraissait dans un premier temps suffisant. Après mise en demeure elle avait renforcé la sécurité du mot de passe permettant d’accéder aux images et qu’il  comportait désormais seize caractères alphanumériques et qu’il serait renouvelé tous les deux mois.

Toutefois, à l’issue d’un nouveau contrôle, la CNIL avait constaté que l’employeur n’avait pas modifié ses pratiques et que le mot de passe de 5 caractères correspondant au prénom de l’agent.

Enfin, la société n’avait mis en place aucune politique de sécurité alors ces outils informatiques impliquaient des exigences minimales de sécurisation.

On le voit, pour mettre en place un système de vidéosurveillance, il est nécessaire de prouver que cela est pertinent, d’en informer les salariés. Il ne faut pas non plus oublier de sécuriser ces données personnelles au même titre que les données des clients.

Catégories :Juridique Étiquettes : , ,
%d blogueurs aiment cette page :