Selon la position de la CNIL, toute vidéosurveillance permanente des salariés est illicite sauf circonstances exceptionnelles.
Sommaire
Contrôle de la DIRECCTE
La direction régionale des entreprises, de la concurrence, de la consommation, du travail et de l’emploi en Occitanie (DIRECCTE) a signalé à la CNIL, la présence, dans le magasin de la société BOUTIQUE.AERO, d’un dispositif de vidéosurveillance dont certaines caméras filment en continu les postes de travail des salariés. Après un contrôle sur place, la CNIL a mis en demeure la société de se mettre en conformité avec le RGDP sur plusieurs points.
Traitement de données disproportionné et atteinte à la vie privée
L’article 5.1 c) du RGDP pose que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données). Or, la délégation CNIL a constaté que l’une des caméras permettait la visualisation d’un emplacement de travail non ouvert au public pour la préparation de commandes. Ce dispositif de vidéosurveillance a conduit à placer le salarié occupant le poste concerné sous surveillance permanente.
Si l’utilisation du dispositif vidéo à des fins de prévention des atteintes aux biens et aux personnes peut être considérée comme légitime, tel n’est pas le cas de la localisation des salariés par le gérant à des fins de surveillance. La Commission considère avec constance que les employés ont droit au respect de leur vie privée sur leur lieu de travail. Or le placement sous surveillance permanente des salariés à des fins de localisation est attentatoire à leur vie privée. Ainsi le fait de filmer en continu le poste de travail d’un salarié est disproportionné, sauf circonstance particulière tenant, par exemple, à la nature de la tâche à accomplir. Il en est ainsi lorsqu’un employé manipule des objets de grande valeur ou lorsque le responsable de traitement est à même de justifier de vols ou de dégradations commises sur ces zones.
Absence de circonstances exceptionnelles
En l’espèce, le responsable de traitement ne faisait état d’aucune circonstance particulière telle que des vols, dégradations ou agressions de nature à justifier la mise sous surveillance constante de salariés à des fins de localisation. Un tel dispositif constitue une ingérence dans la vie privée des salariés sur leur lieu de travail et porte atteinte à leur liberté individuelle.
Au demeurant, l’article L. 1121-1 du Code du travail prévoit à cet égard que Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché. Ces faits constituaient un manquement aux obligations de l’article 5-1 c) du RGDP.
Défaut d’information précise des salariés
Par ailleurs, la CNIL a constaté qu’aucune information spécifique n’était délivrée aux salariés concernant la mise en place du dispositif vidéo qui conduit à collecter et traiter leurs données à caractère personnel. En effet, l’information qui leur est délivrée dans leur contrat de travail ne porte que sur la présence du dispositif de vidéoprotection à des fins de protection contre le vol. En particulier, le contrat de travail du salarié, qui est filmé de manière continue dans une zone non ouverte au public, contient la mention suivante : « M. X reconnaît avoir été informé que les établissements et locaux de l’entreprise sont placés sous vidéoprotection et qu’il est du devoir de chacun d’utiliser ce dispositif pour lutter contre le vol et signaler tout fait anormal ». Le contrat de travail ou un éventuel document annexé à ce dernier ne contenait pas l’ensemble des mentions d’information prévues par l’article 13 du RGDP.
Ces faits constituaient un manquement aux obligations de l’article 13 du Règlement qui exige du responsable de traitement qu’il fournisse, au moment où les données sont collectées, les informations relatives à son identité et ses coordonnées, celles du délégué à la protection des données, les finalités du traitement et sa base juridique, les destinataires des données à caractère personnel, le cas échéant les transferts de données à caractère personnel, la durée de conservation des données à caractère personnel, les droits dont bénéficient les personnes ainsi que le droit d’introduire une réclamation auprès d’une autorité de contrôle.
Accès non sécurisé aux images de vidéosurveillance
Enfin, tout utilisateur pouvait accéder aux postes informatiques et à la connexion au logiciel de gestion de la société de vidéoprotection sans authentification préalable, le pré-enregistrement des mots de passe et identifiants équivalant à une absence de mot de passe et d’identifiants. Par conséquent, l’authentification des utilisateurs n’était pas assurée ce qui pouvait conduire des tiers non autorisés à accéder à des données personnelles, telles que les images vidéo. De surcroît, la connexion au logiciel de gestion de la société se faisait sans chiffrement via le protocole http. La mise en place d’un protocole de chiffrement doit permettre d’assurer la sécurité des données personnelles lors des flux transmis entre l’utilisateur et le serveur hébergeant le site. Télécharger la décision
