Dans quelle mesure la loi Informatique et Libertés permet-elle de surveiller les salariés ?
1 avril 2015
Dans le cadre de son pouvoir de Direction, l’employeur peut contrôler ses salariés pendant leur temps de travail.
La CNIL (Commission nationale de l’informatique et des libertés) demeure attentive aux questions qui se posent alors dans l’entreprise, lieu central des relations sociales. Son approche se veut cependant pragmatique, encore davantage que par le passé, compte tenu de l’évolution permanente des nouvelles technologies. Cela s’est plus particulièrement manifesté ces derniers mois en matière d’écoutes téléphoniques et de vidéosurveillance.
Limites modérées à l’utilisation de la vidéosurveillance
La CNIL rappelle, elle-même sur son site qu’«aucun texte n’interdit à un employeur d’installer des caméras de surveillance dans son entreprise à condition bien sûr que cette installation soit motivée par des raisons de sécurité concernant des personnes et des biens».
Dans les faits, ces dispositifs sont très répandus, notamment dans les lieux où les risques de vol sont importants, tels que les entrepôts et commerces (en sus du cas particulier, non visé ici, de la surveillance des lieux accessibles au Public qui suppose une autorisation de la préfecture).
L’installation de caméras de vidéosurveillance est néanmoins soumise à une procédure de déclaration à la CNIL et doit être conforme aux principes de la loi Informatique et Libertés lorsque des enregistrements sont effectués sur support numérique.
La mise en place d’un tel dispositif impose en outre de respecter le principe de proportionnalité. La CNIL entend, notamment éviter que les employés soient placés sous surveillance constante et permanente sauf nécessité impérieuse. A fortiori faut-il éviter de filmer … l’accès du local syndical ! Les autres principes de la loi Informatique et Libertés (sécurité de l’information, droit d’accès, etc.) sont également applicables.
Par ailleurs, tout dispositif de surveillance doit faire l’objet d’une consultation des représentants du personnel et d’une information des salariés. La jurisprudence a cependant déjà eu l’occasion d’affirmer que ces procédures ne s’imposaient pas lorsque la zone contrôlée via la vidéosurveillance n’avait pas vocation à être visitée par le personnel. Si un salarié s’y aventure de manière irrégulière, l’enregistrement lui sera donc opposable.
Notons en revanche qu’en cas de litige avec un salarié, les juges rejetteront une preuve collectée de manière illicite, ce qui sera le cas d’un dispositif non déclaré à la CNIL (pour un exemple récent, en matière de messagerie électronique : Cass. soc. 8 octobre 2014, n°13-14991).
Les plaintes sont assez fréquentes sur ces sujets, ce qui a amené la CNIL à procéder à plus de 150 contrôles sur place et à intervenir publiquement à trois reprises, à propos d’établissements de logistique et de commerces.
Dans la plupart des cas, la publicité donnée à cette mise en demeure de se mettre en conformité est la plus dissuasive des sanctions. On ne signale guère qu’un cas où la CNIL a usé de son pouvoir de prononcer une amende (de 10 000 euros), la Société ne s’étant pas conformée à une mise en demeure de modifier son dispositif de vidéosurveillance.
Normes simplifiées pour les écoutes téléphoniques
Pour les écoutes téléphoniques, une délibération n° 2014-474 du 27 novembre 2014 institue une norme simplifiée (n°57) pour alléger les formalités administratives des entreprises et administrations qui envisagent de procéder à l’écoute et l’enregistrement des conversations téléphoniques du personnel sur le lieu de travail. La seule obligation pour les sociétés sera désormais d’effectuer en ligne une déclaration affirmant leur engagement de conformité aux exigences de cette norme qui a été élaborée après une concertation approfondie de l’ensemble des acteurs sociaux concernés.
L’objectif n’est pas bien sûr d’encourager une «espionnite généralisée». Les pratiques visées sont uniquement celles qui ont vocation à assurer la qualité du service de contact téléphonique ou la formation des employés et leur évaluation en la matière. Il s’agira le plus souvent de pouvoir contrôler des conversations avec des tiers, clients et prospects mais toujours dans le respect du caractère justifié et proportionné de la méthode utilisée. De manière générale, ces écoutes et enregistrements doivent ainsi avoir un caractère «ponctuel» et ne pas être, en conséquence, «permanents ou systématiques».
Certaines pratiques importantes (par exemple, l’enregistrement des ordres de bourse transmis par voie téléphonique) ne sont pas concernées, de même que certains traitements de données «sensibles» au sens de la loi (exemple : SAMU). Ces traitements resteront soumis aux procédures, plus lourdes, de déclaration numérique (sauf pour les entreprises dotées d’un Correspondant Informatique et Libertés (CIL), qui devra les porter à son registre).
La nouvelle norme simplifiée prévoit enfin, très classiquement, un ensemble de prescriptions générales «protectrices» des salariés, portant sur l’information des personnes susceptibles d’être écoutées, la durée maximale de conservation des enregistrements (six mois), le caractère adéquat, pertinent et non excessif des données enregistrées au regard des finalités du traitement, leur protection et les droits d’opposition, d’accès et de rectification.
Notons pour conclure sur ce point que la norme simplifiée n’est pas un blanc-seing. Certaines affaires (notamment en matière d’alertes professionnelles, autre sujet ayant donné lieu à l’adoption d’une autorisation unique) démontrent qu’une entreprise peut être poursuivie, notamment si ses pratiques débordent du champ autorisé de la norme ou si elle n’a pas respecté l’engagement de conformité qu’elle a pris.
Auteurs
Marie-Pierrre Schramm, avocat associée, spécialisée en conseil et en contentieux dans le domaine du droit social.
Anne-Laure Villedieu,, avocat associée en de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.
*Dans quelle mesure la loi Informatique et Libertés permet-elle de surveiller les salariés?* – Article paru dans Les Echos Business le 1er avril 2015
A lire également
RGPD – Le G29 livre ses lignes directrices pour la mise en œuvre de l’analy... 19 février 2018 | CMS FL
Actualité de la Transaction 26 décembre 2014 | CMS FL
Open Data : protection des archives publiques par le droit sui generis des produ... 5 août 2015 | CMS FL
De l’importance de l’expression des besoins dans les projets informatiques... 27 février 2018 | CMS FL
Open data. Toujours un décret en attente !... 10 novembre 2016 | CMS FL
La CNIL sanctionne le défaut de coopération et impose la publication de décis... 14 février 2014 | CMS FL
La vie privée du salarié à l’ère du digital : où en est-on ?... 13 juin 2018 | CMS FL
Google versus la CNIL : deux interprétations de l’étendue des obligation... 6 novembre 2015 | CMS FL
Articles récents
- L’action en nullité d’un accord collectif est ouverte au CSE
- Complémentaire santé : vigilance sur la rédaction des dispenses d’adhésion
- Précisions récentes sur la portée de l’obligation de sécurité de l’employeur dans un contexte de harcèlement
- La jurisprudence pragmatique du Conseil d’Etat en matière de PSE unilatéral : Délimitation du périmètre du groupe (Partie I)
- Détachement, expatriation, pluriactivité : quelques nouveautés en matière de mobilité internationale
- Avenant de révision-extinction d’un accord collectif : « Ce que les parties ont fait, elles peuvent le défaire »
- Dialogue social et environnement : la prise en compte des enjeux environnementaux à l’occasion des négociations collectives d’entreprise
- L’accès de l’expert-comptable du CSE aux informations individuelles relatives aux salariés lors de la consultation sur la politique sociale de l’entreprise
- Conférence : Sécuriser vos pratiques pour limiter les risques juridiques dans l’entreprise (risque pénal, congés payés, RPS)
- Le recours à un client mystère : une méthode de contrôle loyale à condition d’être transparente