Dans le cadre de son pouvoir de Direction, l’employeur peut contrôler ses salariés pendant leur temps de travail.

La CNIL (Commission nationale de l’informatique et des libertés) demeure attentive aux questions qui se posent alors dans l’entreprise, lieu central des relations sociales. Son approche se veut cependant pragmatique, encore davantage que par le passé, compte tenu de l’évolution permanente des nouvelles technologies. Cela s’est plus particulièrement manifesté ces derniers mois en matière d’écoutes téléphoniques et de vidéosurveillance.

Limites modérées à l’utilisation de la vidéosurveillance

La CNIL rappelle, elle-même sur son site qu’«aucun texte n’interdit à un employeur d’installer des caméras de surveillance dans son entreprise à condition bien sûr que cette installation soit motivée par des raisons de sécurité concernant des personnes et des biens».

Dans les faits, ces dispositifs sont très répandus, notamment dans les lieux où les risques de vol sont importants, tels que les entrepôts et commerces (en sus du cas particulier, non visé ici, de la surveillance des lieux accessibles au Public qui suppose une autorisation de la préfecture).

L’installation de caméras de vidéosurveillance est néanmoins soumise à une procédure de déclaration à la CNIL et doit être conforme aux principes de la loi Informatique et Libertés lorsque des enregistrements sont effectués sur support numérique.

La mise en place d’un tel dispositif impose en outre de respecter le principe de proportionnalité. La CNIL entend, notamment éviter que les employés soient placés sous surveillance constante et permanente sauf nécessité impérieuse. A fortiori faut-il éviter de filmer … l’accès du local syndical ! Les autres principes de la loi Informatique et Libertés (sécurité de l’information, droit d’accès, etc.) sont également applicables.

Par ailleurs, tout dispositif de surveillance doit faire l’objet d’une consultation des représentants du personnel et d’une information des salariés. La jurisprudence a cependant déjà eu l’occasion d’affirmer que ces procédures ne s’imposaient pas lorsque la zone contrôlée via la vidéosurveillance n’avait pas vocation à être visitée par le personnel. Si un salarié s’y aventure de manière irrégulière, l’enregistrement lui sera donc opposable.

Notons en revanche qu’en cas de litige avec un salarié, les juges rejetteront une preuve collectée de manière illicite, ce qui sera le cas d’un dispositif non déclaré à la CNIL (pour un exemple récent, en matière de messagerie électronique : Cass. soc. 8 octobre 2014, n°13-14991).

Les plaintes sont assez fréquentes sur ces sujets, ce qui a amené la CNIL à procéder à plus de 150 contrôles sur place et à intervenir publiquement à trois reprises, à propos d’établissements de logistique et de commerces.

Dans la plupart des cas, la publicité donnée à cette mise en demeure de se mettre en conformité est la plus dissuasive des sanctions. On ne signale guère qu’un cas où la CNIL a usé de son pouvoir de prononcer une amende (de 10 000 euros), la Société ne s’étant pas conformée à une mise en demeure de modifier son dispositif de vidéosurveillance.

Normes simplifiées pour les écoutes téléphoniques

Pour les écoutes téléphoniques, une délibération n° 2014-474 du 27 novembre 2014 institue une norme simplifiée (n°57) pour alléger les formalités administratives des entreprises et administrations qui envisagent de procéder à l’écoute et l’enregistrement des conversations téléphoniques du personnel sur le lieu de travail. La seule obligation pour les sociétés sera désormais d’effectuer en ligne une déclaration affirmant leur engagement de conformité aux exigences de cette norme qui a été élaborée après une concertation approfondie de l’ensemble des acteurs sociaux concernés.

L’objectif n’est pas bien sûr d’encourager une «espionnite généralisée». Les pratiques visées sont uniquement celles qui ont vocation à assurer la qualité du service de contact téléphonique ou la formation des employés et leur évaluation en la matière. Il s’agira le plus souvent de pouvoir contrôler des conversations avec des tiers, clients et prospects mais toujours dans le respect du caractère justifié et proportionné de la méthode utilisée. De manière générale, ces écoutes et enregistrements doivent ainsi avoir un caractère «ponctuel» et ne pas être, en conséquence, «permanents ou systématiques».

Certaines pratiques importantes (par exemple, l’enregistrement des ordres de bourse transmis par voie téléphonique) ne sont pas concernées, de même que certains traitements de données «sensibles» au sens de la loi (exemple : SAMU). Ces traitements resteront soumis aux procédures, plus lourdes, de déclaration numérique (sauf pour les entreprises dotées d’un Correspondant Informatique et Libertés (CIL), qui devra les porter à son registre).

La nouvelle norme simplifiée prévoit enfin, très classiquement, un ensemble de prescriptions générales «protectrices» des salariés, portant sur l’information des personnes susceptibles d’être écoutées, la durée maximale de conservation des enregistrements (six mois), le caractère adéquat, pertinent et non excessif des données enregistrées au regard des finalités du traitement, leur protection et les droits d’opposition, d’accès et de rectification.

Notons pour conclure sur ce point que la norme simplifiée n’est pas un blanc-seing. Certaines affaires (notamment en matière d’alertes professionnelles, autre sujet ayant donné lieu à l’adoption d’une autorisation unique) démontrent qu’une entreprise peut être poursuivie, notamment si ses pratiques débordent du champ autorisé de la norme ou si elle n’a pas respecté l’engagement de conformité qu’elle a pris.

Marie-Pierrre Schramm, avocat associée, spécialisée en conseil et en contentieux dans le domaine du droit social.

Anne-Laure Villedieu,, avocat associée en de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.