Type de juridiction : Conseil d’Etat
Juridiction : CNIL
Thématique : Vidéosurveillance permanente des salariés
→ RésuméLa CNIL a déclaré que la vidéosurveillance permanente des salariés est illicite, sauf circonstances exceptionnelles. Dans le cas de la société BOUTIQUE.AERO, un contrôle a révélé que certaines caméras filmaient en continu les postes de travail, ce qui a conduit à une mise en demeure pour non-conformité au RGPD. La CNIL a souligné que cette surveillance permanente constitue une atteinte à la vie privée des employés, sans justification de circonstances particulières comme des vols ou dégradations. De plus, les salariés n’étaient pas correctement informés des modalités de cette surveillance, ce qui constitue un manquement aux obligations d’information prévues par le RGPD.
|
Selon la
position de la CNIL, toute vidéosurveillance permanente des salariés est
illicite sauf circonstances exceptionnelles.
Contrôle de la DIRECCTE
La direction régionale des entreprises, de
la concurrence, de la consommation, du travail et de l’emploi en Occitanie
(DIRECCTE) a signalé à la CNIL, la présence, dans le magasin de la société
BOUTIQUE.AERO, d’un dispositif de vidéosurveillance dont certaines caméras
filment en continu les postes de travail des salariés. Après un contrôle sur
place, la CNIL a mis en demeure la société de se mettre en conformité avec le
RGDP sur plusieurs points.
Traitement de données disproportionné et atteinte à la vie privée
L’article 5.1 c) du RGDP pose que les
données à caractère personnel doivent être adéquates, pertinentes et limitées à
ce qui est nécessaire au regard des finalités pour lesquelles elles sont
traitées (minimisation des données). Or,
la délégation CNIL a constaté que l’une des caméras permettait la visualisation
d’un emplacement de travail non ouvert au public pour la préparation de
commandes. Ce dispositif de
vidéosurveillance a conduit à placer le salarié occupant le poste concerné sous
surveillance permanente.
Si l’utilisation du dispositif vidéo à des
fins de prévention des atteintes aux biens et aux personnes peut être
considérée comme légitime, tel n’est pas le cas de la localisation des salariés
par le gérant à des fins de surveillance. La Commission considère avec
constance que les employés ont droit au respect de leur vie privée sur leur
lieu de travail. Or le placement sous surveillance permanente des salariés à
des fins de localisation est attentatoire à leur vie privée. Ainsi le fait de
filmer en continu le poste de travail d’un salarié est disproportionné, sauf
circonstance particulière tenant, par exemple, à la nature de la tâche à
accomplir. Il en est ainsi lorsqu’un employé manipule des objets de grande
valeur ou lorsque le responsable de traitement est à même de justifier de vols
ou de dégradations commises sur ces zones.
Absence de circonstances exceptionnelles
En l’espèce, le responsable de traitement
ne faisait état d’aucune circonstance particulière telle que des vols,
dégradations ou agressions de nature à justifier la mise sous surveillance
constante de salariés à des fins de localisation. Un tel dispositif constitue une
ingérence dans la vie privée des salariés sur leur lieu de travail et porte
atteinte à leur liberté individuelle.
Au demeurant, l’article L. 1121-1 du Code
du travail prévoit à cet égard que Nul ne peut apporter aux droits des
personnes et aux libertés individuelles et collectives de restrictions qui ne
seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées
au but recherché. Ces faits constituaient un manquement aux obligations de
l’article 5-1 c) du RGDP.
Défaut d’information précise des salariés
Par ailleurs, la CNIL a constaté qu’aucune
information spécifique n’était délivrée aux salariés concernant la mise en
place du dispositif vidéo qui conduit à collecter et traiter leurs données à
caractère personnel. En effet, l’information qui leur est délivrée dans leur
contrat de travail ne porte que sur la présence du dispositif de
vidéoprotection à des fins de protection contre le vol. En particulier, le
contrat de travail du salarié, qui est filmé de manière continue dans une zone
non ouverte au public, contient la mention suivante : «M. X reconnaît
avoir été informé que les établissements et locaux de l’entreprise sont placés
sous vidéoprotection et qu’il est du devoir de chacun d’utiliser ce dispositif
pour lutter contre le vol et signaler tout fait anormal». Le contrat de
travail ou un éventuel document annexé à ce dernier ne contenait pas l’ensemble des mentions d’information
prévues par l’article 13 du RGDP.
Ces faits constituaient un manquement aux
obligations de l’article 13 du Règlement qui exige du responsable de traitement qu’il fournisse, au moment où les
données sont collectées, les informations relatives à son identité et ses
coordonnées, celles du délégué à la protection des données, les finalités du
traitement et sa base juridique, les destinataires des données à caractère
personnel, le cas échéant les transferts de données à caractère personnel, la
durée de conservation des données à caractère personnel, les droits dont bénéficient
les personnes ainsi que le droit d’introduire une réclamation auprès d’une
autorité de contrôle.
Accès non sécurisé aux images de
vidéosurveillance
Enfin, tout utilisateur pouvait accéder aux postes informatiques et à la connexion au logiciel de gestion de la société de vidéoprotection sans authentification préalable, le pré-enregistrement des mots de passe et identifiants équivalant à une absence de mot de passe et d’identifiants. Par conséquent, l’authentification des utilisateurs n’était pas assurée ce qui pouvait conduire des tiers non autorisés à accéder à des données personnelles, telles que les images vidéo. De surcroît, la connexion au logiciel de gestion de la société se faisait sans chiffrement via le protocole http. La mise en place d’un protocole de chiffrement doit permettre d’assurer la sécurité des données personnelles lors des flux transmis entre l’utilisateur et le serveur hébergeant le site. Télécharger la décision
Laisser un commentaire