Dans quelle mesure la loi Informatique et Libertés permet-elle de surveiller les salariés ?
1 avril 2015
Dans le cadre de son pouvoir de Direction, l’employeur peut contrôler ses salariés pendant leur temps de travail.
La CNIL (Commission nationale de l’informatique et des libertés) demeure attentive aux questions qui se posent alors dans l’entreprise, lieu central des relations sociales. Son approche se veut cependant pragmatique, encore davantage que par le passé, compte tenu de l’évolution permanente des nouvelles technologies. Cela s’est plus particulièrement manifesté ces derniers mois en matière d’écoutes téléphoniques et de vidéosurveillance.
Limites modérées à l’utilisation de la vidéosurveillance
La CNIL rappelle, elle-même sur son site qu’«aucun texte n’interdit à un employeur d’installer des caméras de surveillance dans son entreprise à condition bien sûr que cette installation soit motivée par des raisons de sécurité concernant des personnes et des biens».
Dans les faits, ces dispositifs sont très répandus, notamment dans les lieux où les risques de vol sont importants, tels que les entrepôts et commerces (en sus du cas particulier, non visé ici, de la surveillance des lieux accessibles au Public qui suppose une autorisation de la préfecture).
L’installation de caméras de vidéosurveillance est néanmoins soumise à une procédure de déclaration à la CNIL et doit être conforme aux principes de la loi Informatique et Libertés lorsque des enregistrements sont effectués sur support numérique.
La mise en place d’un tel dispositif impose en outre de respecter le principe de proportionnalité. La CNIL entend, notamment éviter que les employés soient placés sous surveillance constante et permanente sauf nécessité impérieuse. A fortiori faut-il éviter de filmer … l’accès du local syndical ! Les autres principes de la loi Informatique et Libertés (sécurité de l’information, droit d’accès, etc.) sont également applicables.
Par ailleurs, tout dispositif de surveillance doit faire l’objet d’une consultation des représentants du personnel et d’une information des salariés. La jurisprudence a cependant déjà eu l’occasion d’affirmer que ces procédures ne s’imposaient pas lorsque la zone contrôlée via la vidéosurveillance n’avait pas vocation à être visitée par le personnel. Si un salarié s’y aventure de manière irrégulière, l’enregistrement lui sera donc opposable.
Notons en revanche qu’en cas de litige avec un salarié, les juges rejetteront une preuve collectée de manière illicite, ce qui sera le cas d’un dispositif non déclaré à la CNIL (pour un exemple récent, en matière de messagerie électronique : Cass. soc. 8 octobre 2014, n°13-14991).
Les plaintes sont assez fréquentes sur ces sujets, ce qui a amené la CNIL à procéder à plus de 150 contrôles sur place et à intervenir publiquement à trois reprises, à propos d’établissements de logistique et de commerces.
Dans la plupart des cas, la publicité donnée à cette mise en demeure de se mettre en conformité est la plus dissuasive des sanctions. On ne signale guère qu’un cas où la CNIL a usé de son pouvoir de prononcer une amende (de 10 000 euros), la Société ne s’étant pas conformée à une mise en demeure de modifier son dispositif de vidéosurveillance.
Normes simplifiées pour les écoutes téléphoniques
Pour les écoutes téléphoniques, une délibération n° 2014-474 du 27 novembre 2014 institue une norme simplifiée (n°57) pour alléger les formalités administratives des entreprises et administrations qui envisagent de procéder à l’écoute et l’enregistrement des conversations téléphoniques du personnel sur le lieu de travail. La seule obligation pour les sociétés sera désormais d’effectuer en ligne une déclaration affirmant leur engagement de conformité aux exigences de cette norme qui a été élaborée après une concertation approfondie de l’ensemble des acteurs sociaux concernés.
L’objectif n’est pas bien sûr d’encourager une «espionnite généralisée». Les pratiques visées sont uniquement celles qui ont vocation à assurer la qualité du service de contact téléphonique ou la formation des employés et leur évaluation en la matière. Il s’agira le plus souvent de pouvoir contrôler des conversations avec des tiers, clients et prospects mais toujours dans le respect du caractère justifié et proportionné de la méthode utilisée. De manière générale, ces écoutes et enregistrements doivent ainsi avoir un caractère «ponctuel» et ne pas être, en conséquence, «permanents ou systématiques».
Certaines pratiques importantes (par exemple, l’enregistrement des ordres de bourse transmis par voie téléphonique) ne sont pas concernées, de même que certains traitements de données «sensibles» au sens de la loi (exemple : SAMU). Ces traitements resteront soumis aux procédures, plus lourdes, de déclaration numérique (sauf pour les entreprises dotées d’un Correspondant Informatique et Libertés (CIL), qui devra les porter à son registre).
La nouvelle norme simplifiée prévoit enfin, très classiquement, un ensemble de prescriptions générales «protectrices» des salariés, portant sur l’information des personnes susceptibles d’être écoutées, la durée maximale de conservation des enregistrements (six mois), le caractère adéquat, pertinent et non excessif des données enregistrées au regard des finalités du traitement, leur protection et les droits d’opposition, d’accès et de rectification.
Notons pour conclure sur ce point que la norme simplifiée n’est pas un blanc-seing. Certaines affaires (notamment en matière d’alertes professionnelles, autre sujet ayant donné lieu à l’adoption d’une autorisation unique) démontrent qu’une entreprise peut être poursuivie, notamment si ses pratiques débordent du champ autorisé de la norme ou si elle n’a pas respecté l’engagement de conformité qu’elle a pris.
Auteurs
Marie-Pierrre Schramm, avocat associée, spécialisée en conseil et en contentieux dans le domaine du droit social.
Anne-Laure Villedieu,, avocat associée en de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.
*Dans quelle mesure la loi Informatique et Libertés permet-elle de surveiller les salariés?* – Article paru dans Les Echos Business le 1er avril 2015
A lire également
Le dialogue des carmélites selon D. Tcherniakov : limites du droit moral et pro... 15 novembre 2017 | CMS FL
Les numéros RIO fixes bientôt en usage 17 août 2015 | CMS FL
Le défaut de mentions légales peut conduire à la condamnation pénale de l&rs... 13 février 2015 | CMS FL
Alertes professionnelles et protection des données personnelles : Mise à jour ... 22 septembre 2023 | Pascaline Neymond
Impact des absences d’un salarié en forfait-jours sur ses jours de repos... 17 mars 2016 | CMS FL
L’intermédiaire commercial doit tirer les conséquences des mises en rela... 24 décembre 2015 | CMS FL
Entrée en application du RGPD : quels impacts pratiques ?... 10 juillet 2018 | CMS FL
Sanctions de la CNIL en cas de violation de données personnelles... 28 novembre 2017 | CMS FL
Articles récents
- La « charte IA » : un outil de contrôle et de conformité désormais incontournable
- Rapport de durabilité : la nouvelle obligation de consultation du CSE entre en vigueur le 1er janvier 2025
- Statut de lanceur d’alerte : le Défenseur des droits et la jurisprudence précisent ses contours
- Enquêtes internes : des règles en constante évolution
- Pas de co-emploi sans immixtion dans la gestion économique et sociale de la société : illustration en présence d’une société d’exploitation
- Fixation du plafond de la sécurité sociale pour 2025
- Un salarié licencié pour harcèlement sexuel ne peut se prévaloir du phénomène «#Metoo»
- Régimes de retraite des dirigeants : prestations définies versus actions gratuites
- SMIC : Relèvement du salaire minimum de croissance au 1er novembre 2024
- Inaptitude et reclassement : c’est au salarié qu’il appartient de rapporter la preuve d’une déloyauté de l’employeur