Dans quelle mesure la loi Informatique et Libertés permet-elle de surveiller les salariés ?

1 avril 2015
Dans le cadre de son pouvoir de Direction, l’employeur peut contrôler ses salariés pendant leur temps de travail.
La CNIL (Commission nationale de l’informatique et des libertés) demeure attentive aux questions qui se posent alors dans l’entreprise, lieu central des relations sociales. Son approche se veut cependant pragmatique, encore davantage que par le passé, compte tenu de l’évolution permanente des nouvelles technologies. Cela s’est plus particulièrement manifesté ces derniers mois en matière d’écoutes téléphoniques et de vidéosurveillance.
Limites modérées à l’utilisation de la vidéosurveillance
La CNIL rappelle, elle-même sur son site qu’«aucun texte n’interdit à un employeur d’installer des caméras de surveillance dans son entreprise à condition bien sûr que cette installation soit motivée par des raisons de sécurité concernant des personnes et des biens».
Dans les faits, ces dispositifs sont très répandus, notamment dans les lieux où les risques de vol sont importants, tels que les entrepôts et commerces (en sus du cas particulier, non visé ici, de la surveillance des lieux accessibles au Public qui suppose une autorisation de la préfecture).
L’installation de caméras de vidéosurveillance est néanmoins soumise à une procédure de déclaration à la CNIL et doit être conforme aux principes de la loi Informatique et Libertés lorsque des enregistrements sont effectués sur support numérique.
La mise en place d’un tel dispositif impose en outre de respecter le principe de proportionnalité. La CNIL entend, notamment éviter que les employés soient placés sous surveillance constante et permanente sauf nécessité impérieuse. A fortiori faut-il éviter de filmer … l’accès du local syndical ! Les autres principes de la loi Informatique et Libertés (sécurité de l’information, droit d’accès, etc.) sont également applicables.
Par ailleurs, tout dispositif de surveillance doit faire l’objet d’une consultation des représentants du personnel et d’une information des salariés. La jurisprudence a cependant déjà eu l’occasion d’affirmer que ces procédures ne s’imposaient pas lorsque la zone contrôlée via la vidéosurveillance n’avait pas vocation à être visitée par le personnel. Si un salarié s’y aventure de manière irrégulière, l’enregistrement lui sera donc opposable.
Notons en revanche qu’en cas de litige avec un salarié, les juges rejetteront une preuve collectée de manière illicite, ce qui sera le cas d’un dispositif non déclaré à la CNIL (pour un exemple récent, en matière de messagerie électronique : Cass. soc. 8 octobre 2014, n°13-14991).
Les plaintes sont assez fréquentes sur ces sujets, ce qui a amené la CNIL à procéder à plus de 150 contrôles sur place et à intervenir publiquement à trois reprises, à propos d’établissements de logistique et de commerces.
Dans la plupart des cas, la publicité donnée à cette mise en demeure de se mettre en conformité est la plus dissuasive des sanctions. On ne signale guère qu’un cas où la CNIL a usé de son pouvoir de prononcer une amende (de 10 000 euros), la Société ne s’étant pas conformée à une mise en demeure de modifier son dispositif de vidéosurveillance.
Normes simplifiées pour les écoutes téléphoniques
Pour les écoutes téléphoniques, une délibération n° 2014-474 du 27 novembre 2014 institue une norme simplifiée (n°57) pour alléger les formalités administratives des entreprises et administrations qui envisagent de procéder à l’écoute et l’enregistrement des conversations téléphoniques du personnel sur le lieu de travail. La seule obligation pour les sociétés sera désormais d’effectuer en ligne une déclaration affirmant leur engagement de conformité aux exigences de cette norme qui a été élaborée après une concertation approfondie de l’ensemble des acteurs sociaux concernés.
L’objectif n’est pas bien sûr d’encourager une «espionnite généralisée». Les pratiques visées sont uniquement celles qui ont vocation à assurer la qualité du service de contact téléphonique ou la formation des employés et leur évaluation en la matière. Il s’agira le plus souvent de pouvoir contrôler des conversations avec des tiers, clients et prospects mais toujours dans le respect du caractère justifié et proportionné de la méthode utilisée. De manière générale, ces écoutes et enregistrements doivent ainsi avoir un caractère «ponctuel» et ne pas être, en conséquence, «permanents ou systématiques».
Certaines pratiques importantes (par exemple, l’enregistrement des ordres de bourse transmis par voie téléphonique) ne sont pas concernées, de même que certains traitements de données «sensibles» au sens de la loi (exemple : SAMU). Ces traitements resteront soumis aux procédures, plus lourdes, de déclaration numérique (sauf pour les entreprises dotées d’un Correspondant Informatique et Libertés (CIL), qui devra les porter à son registre).
La nouvelle norme simplifiée prévoit enfin, très classiquement, un ensemble de prescriptions générales «protectrices» des salariés, portant sur l’information des personnes susceptibles d’être écoutées, la durée maximale de conservation des enregistrements (six mois), le caractère adéquat, pertinent et non excessif des données enregistrées au regard des finalités du traitement, leur protection et les droits d’opposition, d’accès et de rectification.
Notons pour conclure sur ce point que la norme simplifiée n’est pas un blanc-seing. Certaines affaires (notamment en matière d’alertes professionnelles, autre sujet ayant donné lieu à l’adoption d’une autorisation unique) démontrent qu’une entreprise peut être poursuivie, notamment si ses pratiques débordent du champ autorisé de la norme ou si elle n’a pas respecté l’engagement de conformité qu’elle a pris.
Auteurs
Marie-Pierrre Schramm, avocat associée, spécialisée en conseil et en contentieux dans le domaine du droit social.
Anne-Laure Villedieu,, avocat associée en de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.
*Dans quelle mesure la loi Informatique et Libertés permet-elle de surveiller les salariés?* – Article paru dans Les Echos Business le 1er avril 2015
Related Posts
Protection du concept : l’action en parasitisme inefficace... 21 novembre 2017 | CMS FL

Protection des bases de données : la délicate preuve d’investissements spéc... 24 février 2016 | CMS FL

Publication d’une ordonnance pour faciliter l’identification électronique... 20 février 2018 | CMS FL

La poupée trop connectée, une Toy’s Story qui dérape... 25 mai 2018 | CMS FL

Franchise : confirmation du principe selon lequel l’insuffisance du docume... 24 décembre 2014 | CMS FL
Contrôle URSSAF par échantillonnage ou extrapolation, importance du délai dâ€... 19 avril 2019 | CMS FL

RGPD – Le G29 livre ses lignes directrices pour la mise en œuvre de l’analy... 19 février 2018 | CMS FL

Le défaut de mentions légales sur un site Internet est constitutif de concurre... 17 mai 2018 | CMS FL

Articles récents
- Licenciement pour insuffisance professionnelle d’un salarié protégé : le Conseil d’Etat remplace l’obligation préalable de reclassement par une obligation d’adaptation
- Contrat d’engagement et offre raisonnable d’emploi : précisions sur le « salaire attendu »
- Avantage en nature « Véhicule » : les précisions de l’administration
- Contribution patronale sur les actions gratuites réhaussée à 30% : retour vers le futur…
- Présomption de justification des avantages conventionnels : un nouveau cas d’application, l’accord de substitution !
- Les nouveaux modèles d’avis d’aptitude et d’avis d’inaptitude, d’attestation de suivi individuel de l’état de santé et de proposition de mesures d’aménagement de poste sont publiés
- Mise à pied disciplinaire d’un salarié protégé : l’employeur retrouve son pouvoir disciplinaire
- La loi de financement de la sécurité sociale pour 2025 est entrée en vigueur
- La loi de finances pour 2025 est entrée en vigueur
- Le casse-tête de la loi applicable au contrat de travail