Vidéosurveillance permanente des salariés

·

·

Vidéosurveillance permanente des salariés
,

L’essentiel : La CNIL a déclaré que la vidéosurveillance permanente des salariés est illicite, sauf circonstances exceptionnelles. Dans le cas de la société BOUTIQUE.AERO, un contrôle a révélé que certaines caméras filmaient en continu les postes de travail, ce qui a conduit à une mise en demeure pour non-conformité au RGPD. La CNIL a souligné que cette surveillance permanente constitue une atteinte à la vie privée des employés, sans justification de circonstances particulières comme des vols ou dégradations. De plus, les salariés n’étaient pas correctement informés des modalités de cette surveillance, ce qui constitue un manquement aux obligations d’information prévues par le RGPD.

Selon la
position de la CNIL, toute vidéosurveillance permanente des salariés est
illicite sauf circonstances exceptionnelles.

Contrôle de la DIRECCTE

La direction régionale des entreprises, de
la concurrence, de la consommation, du travail et de l’emploi en Occitanie
(DIRECCTE) a signalé à la CNIL, la présence, dans le magasin de la société
BOUTIQUE.AERO, d’un dispositif de vidéosurveillance dont certaines caméras
filment en continu les postes de travail des salariés. Après un contrôle sur
place, la CNIL a mis en demeure la société de se mettre en conformité avec le
RGDP sur plusieurs points.

Traitement de données disproportionné et atteinte à la vie privée

L’article 5.1 c) du RGDP pose que les
données à caractère personnel doivent être adéquates, pertinentes et limitées à
ce qui est nécessaire au regard des finalités pour lesquelles elles sont
traitées (minimisation des données). Or,
la délégation CNIL a constaté que l’une des caméras permettait la visualisation
d’un emplacement de travail non ouvert au public pour la préparation de
commandes. Ce dispositif de
vidéosurveillance a conduit à placer le salarié occupant le poste concerné sous
surveillance permanente.

Si l’utilisation du dispositif vidéo à des
fins de prévention des atteintes aux biens et aux personnes peut être
considérée comme légitime, tel n’est pas le cas de la localisation des salariés
par le gérant à des fins de surveillance. La Commission considère avec
constance que les employés ont droit au respect de leur vie privée sur leur
lieu de travail. Or le placement sous surveillance permanente des salariés à
des fins de localisation est attentatoire à leur vie privée. Ainsi le fait de
filmer en continu le poste de travail d’un salarié est disproportionné, sauf
circonstance particulière tenant, par exemple, à la nature de la tâche à
accomplir. Il en est ainsi lorsqu’un employé manipule des objets de grande
valeur ou lorsque le responsable de traitement est à même de justifier de vols
ou de dégradations commises sur ces zones.

Absence de circonstances exceptionnelles

En l’espèce, le responsable de traitement
ne faisait état d’aucune circonstance particulière telle que des vols,
dégradations ou agressions de nature à justifier la mise sous surveillance
constante de salariés à des fins de localisation. Un tel dispositif constitue une
ingérence dans la vie privée des salariés sur leur lieu de travail et porte
atteinte à leur liberté individuelle.

Au demeurant, l’article L. 1121-1 du Code
du travail prévoit à cet égard que Nul ne peut apporter aux droits des
personnes et aux libertés individuelles et collectives de restrictions qui ne
seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées
au but recherché. Ces faits constituaient un manquement aux obligations de
l’article 5-1 c) du RGDP.

Défaut d’information précise des salariés

Par ailleurs, la CNIL a constaté qu’aucune
information spécifique n’était délivrée aux salariés concernant la mise en
place du dispositif vidéo qui conduit à collecter et traiter leurs données à
caractère personnel. En effet, l’information qui leur est délivrée dans leur
contrat de travail ne porte que sur la présence du dispositif de
vidéoprotection à des fins de protection contre le vol. En particulier, le
contrat de travail du salarié, qui est filmé de manière continue dans une zone
non ouverte au public, contient la mention suivante : «M. X reconnaît
avoir été informé que les établissements et locaux de l’entreprise sont placés
sous vidéoprotection et qu’il est du devoir de chacun d’utiliser ce dispositif
pour lutter contre le vol et signaler tout fait anormal». Le contrat de
travail ou un éventuel document annexé à ce dernier ne contenait pas l’ensemble des mentions d’information
prévues par l’article 13 du RGDP.

Ces faits constituaient un manquement aux
obligations de l’article 13 du Règlement qui exige du responsable de traitement qu’il fournisse, au moment où les
données sont collectées, les informations relatives à son identité et ses
coordonnées, celles du délégué à la protection des données, les finalités du
traitement et sa base juridique, les destinataires des données à caractère
personnel, le cas échéant les transferts de données à caractère personnel, la
durée de conservation des données à caractère personnel, les droits dont bénéficient
les personnes ainsi que le droit d’introduire une réclamation auprès d’une
autorité de contrôle.

Accès non sécurisé aux images de
vidéosurveillance

Enfin, tout utilisateur pouvait accéder aux postes informatiques et à la connexion au logiciel de gestion de la société de vidéoprotection sans authentification préalable, le pré-enregistrement des mots de passe et identifiants équivalant à une absence de mot de passe et d’identifiants. Par conséquent, l’authentification des utilisateurs n’était pas assurée ce qui pouvait conduire des tiers non autorisés à accéder à des données personnelles, telles que les images vidéo. De surcroît, la connexion au logiciel de gestion de la société se faisait sans chiffrement via le protocole http. La mise en place d’un protocole de chiffrement doit permettre d’assurer la sécurité des données personnelles lors des flux transmis entre l’utilisateur et le serveur hébergeant le site. Télécharger la décision

Q/R juridiques soulevées :

Quelle est la position de la CNIL sur la vidéosurveillance des salariés ?

La CNIL (Commission Nationale de l’Informatique et des Libertés) considère que la vidéosurveillance permanente des salariés est illicite, sauf dans des circonstances exceptionnelles. Cela signifie que, en règle générale, les employeurs ne peuvent pas surveiller leurs employés de manière continue sans justification valable.

Cette position est fondée sur le respect de la vie privée des salariés, qui doit être préservée sur leur lieu de travail. La vidéosurveillance ne peut être justifiée que si des raisons spécifiques, telles que des vols ou des dégradations, sont mises en avant.

En l’absence de telles circonstances, la mise en place d’un dispositif de vidéosurveillance est considérée comme une atteinte à la liberté individuelle des employés.

Quelles ont été les conclusions de la DIRECCTE concernant la société BOUTIQUE.AERO ?

La DIRECCTE (Direction Régionale des Entreprises, de la Concurrence, de la Consommation, du Travail et de l’Emploi) a signalé à la CNIL la présence d’un dispositif de vidéosurveillance dans le magasin de la société BOUTIQUE.AERO. Ce dispositif filmait en continu les postes de travail des salariés, ce qui a conduit à un contrôle sur place par la CNIL.

Suite à ce contrôle, la CNIL a mis en demeure la société de se conformer au Règlement Général sur la Protection des Données (RGPD) sur plusieurs points. Cela inclut des manquements aux obligations de minimisation des données et de respect de la vie privée des employés.

Quels sont les enjeux liés à la minimisation des données selon le RGPD ?

L’article 5.1 c) du RGPD stipule que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Cela signifie que les employeurs doivent éviter de collecter des données excessives ou non pertinentes.

Dans le cas de BOUTIQUE.AERO, la CNIL a constaté que certaines caméras filmaient des zones de travail non accessibles au public, ce qui a conduit à une surveillance permanente des salariés. Cette situation est jugée disproportionnée, car elle ne respecte pas le principe de minimisation des données, sauf si des circonstances particulières justifient une telle surveillance.

Quelles circonstances exceptionnelles pourraient justifier la vidéosurveillance des salariés ?

La CNIL admet que la vidéosurveillance peut être légitime dans certaines circonstances exceptionnelles, notamment lorsque des employés manipulent des objets de grande valeur ou en cas de justification de vols ou de dégradations.

Cependant, dans le cas de BOUTIQUE.AERO, aucune de ces circonstances n’a été démontrée. Le responsable de traitement n’a pas fourni de preuves de vols, dégradations ou agressions qui pourraient justifier la mise sous surveillance constante des salariés.

Ainsi, la vidéosurveillance permanente a été considérée comme une ingérence dans la vie privée des employés, ce qui est contraire aux principes établis par le RGPD.

Quelles obligations d’information pèsent sur l’employeur concernant la vidéosurveillance ?

L’employeur a l’obligation de fournir des informations claires et précises aux salariés concernant la mise en place de dispositifs de vidéosurveillance. Selon l’article 13 du RGPD, ces informations doivent inclure l’identité du responsable de traitement, les finalités du traitement, ainsi que les droits des personnes concernées.

Dans le cas de BOUTIQUE.AERO, la CNIL a constaté qu’aucune information spécifique n’était fournie aux salariés sur la vidéosurveillance. Le contrat de travail mentionnait seulement la présence d’un dispositif de vidéoprotection à des fins de lutte contre le vol, sans détailler les implications pour les données personnelles des employés.

Quels sont les problèmes de sécurité liés à l’accès aux images de vidéosurveillance ?

La CNIL a également relevé des problèmes de sécurité concernant l’accès aux images de vidéosurveillance. Tout utilisateur pouvait accéder aux postes informatiques et au logiciel de gestion de la vidéoprotection sans authentification préalable. Cela signifie que des tiers non autorisés pouvaient potentiellement accéder à des données personnelles, y compris des images vidéo.

De plus, la connexion au logiciel de gestion se faisait sans chiffrement, ce qui expose les données à des risques de sécurité. La mise en place d’un protocole de chiffrement est essentielle pour protéger les données personnelles lors des échanges entre l’utilisateur et le serveur.

Ces manquements constituent des violations des obligations de sécurité des données prévues par le RGPD.

Votre avis sur ce point juridique ? Une actualité ? Une recommandation ?

Merci pour votre retour ! Partagez votre point de vue, une info ou une ressource utile.


Rédaction en cours .... ...
Chat Icon