Vidéosurveillance des salariés – Dispositif sensible – la CNIL condamne une TPE à une amende de 20 000 €
Le 13 juin 2019, la CNIL dans la délibération de sa formation restreinte n° SAN-2019-006 a notamment prononcé une amende de 20 000 € à l’encontre d’une TPE employant 9 salariés, et spécialisée dans la traduction libre et assermentée, pour avoir mis en place en son sein un système de vidéosurveillance des salariés ne répondant pas aux exigences du Règlement Général sur la Protection des Données (RGPD (UE) 2016/679).
La vidéosurveillance se définit par la mise en place d’un système d’enregistrement vidéo disposé dans un endroit public ou privé afin de pouvoir le surveiller à distance.
La réglementation applicable est distincte selon que le dispositif de surveillance est installé dans un espace public ou privé. Le premier relevant des dispositions du Code de la sécurité intérieure et de la Loi informatique et Libertés/ Règlement (UE) 2019/679, tandis que le second relève uniquement de la Loi informatique et Libertés / Règlement (UE) 2016/679.
Dans l’affaire ayant donné lieu à la décision de la formation restreinte de la CNIL précitée, quatre plaintes émanant de salariés de la société de traduction avaient été adressées à la CNIL entre 2013 et 2015, lesquelles faisaient état de la mise en place d’un système de vidéosurveillance par l’entreprise ne respectant pas les exigences de l’ancienne Loi informatique et Libertés.
La CNIL avait alors instruit ces plaintes et adressé à la société de traduction, TPE comptant 9 salariés, deux lettres en 2013, puis en 2016, rappelant les règles et bonnes pratiques en matière de vidéosurveillance, notamment quant à la nécessité d’un dispositif ne portant pas une atteinte excessive au respect de la vie privée des salariés.
Pour quasi- unique réponse, la société avait assuré que le dispositif était uniquement destiné à assurer la sécurité des biens et des personnes, et non à contrôler l’activité des salariés.
En 2017, la CNIL recevait quatre nouvelles plaintes des salariés de ladite société se plaignant toujours de l’existence de ce dispositif à l’origine d’une surveillance constante.
C’est dans ce contexte que la Présidente de la CNIL a désigné une délégation pour procéder à un contrôle sur site, le 16 février 2018.
Il est alors apparu que les locaux professionnels étaient équipés de 3 caméras de surveillance, dont une dans le bureau des traducteurs, pièce non accessible au public. Cette dernière caméra filmait en permanence six postes de travail, et une armoire contenant les documents de la société.
Des premiers manquements ont été relevés par les agents de la CNIL, selon procès-verbal notifié à la société le 20 février 2018, consistant dans :
- L’absence d’information à destination des salariés quant à l’existence du dispositif de vidéosurveillance ;
- L’existence d’une vidéosurveillance braquée en permanence sur les salariés ;
- Une durée de conservation des données de manière excessive compte tenu des finalités poursuivies ;
- Des moyens insuffisants mis en place par la société pour assurer la sécurité et la confidentialité des données quant à l’accès aux postes informatiques et boîte de messagerie.
La société en cause a adressé des éléments de réponse à la CNIL, que cette dernière a jugés insuffisants de telle sorte que la CNIL lui a adressé une mise en demeure, en date du 26 juillet 2018, d’avoir à se mettre en conformité dans un délai de deux mois aux dispositions de :
- L’article 5.1 c) du Règlement (UE) 2016/679 quant à la proportionnalité du dispositif mis en place par rapport à la finalité poursuivie ;
- L’article 5.1 e) du Règlement (UE) 20163/679 quant à la durée de conservation des données ;
- Les articles 12 et 13 du même Règlement quant à l’information des personnes concernées par le traitement ;
- L’article 32 du Règlement relatif à la sécurité des données (politique de gestion des mots de passe contraignante, accès individualisés aux messageries).
Seuls les trois premiers points spécifiquement liés à la vidéosurveillance des salariés feront l’objet du présent article.
Compte tenu de l’absence de réponse satisfaisante dans sa correspondance du 10 septembre 2018 à la CNIL, des contradictions relevées dans ses différentes argumentations, outre sa volonté affichée de ne pas tenir compte des observations de la CNIL, la société de traduction a été l’objet d’un nouveau contrôle sur site, dans le courant du mois d’octobre 2018, par des agents de la CNIL ayant reçu délégation à cet effet.
Ce contrôle a mis à jour que la situation était restée inchangée, ou presque, par rapport à celle constatée par la CNIL en février 2018.
La CNIL a donc désigné au sein de la formation restreinte un rapporteur qui a, selon rapport du 12 février 2019, repris l’ensemble des manquements au Règlement (UE) 2016/679 relevés à l’encontre de la société de traduction, et proposé à la CNIL de prononcer une amende de 75 000 €, rendue publique.
La séance de la formation restreinte de la CNIL s’est tenue le 18 avril 2019, séance au cours de laquelle la société de traduction a pu faire valoir ses arguments.
A l’issue de la procédure, la CNIL a prononcé une amende de 20 000 € à l’encontre de la société, ainsi qu’une injonction d’avoir à se conformer à l’article 32 du Règlement, et ce, sous astreinte de 200 € par jour.
Cette décision rappelle les règles et bonnes pratiques à respecter s’agissant de la « vidéosurveillance » des salariés, et apporte quelques enseignements à la lumière du Règlement (UE) 2016/679.
1. Sur le respect du principe de minimisation des données fixé à l’article 5.1c) du Règlement
L’article 5.1 c) du Règlement précise que « Les données doivent être […] adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données). »
La CNIL a rappelé dans cette décision le principe selon lequel « l’utilisation d’un dispositif de vidéosurveillance conduisant à placer des salariés sous une surveillance permanente n’apparaît pas justifiée et doit être considérée comme manifestement excessive et disproportionnée au regard de la finalité déclarée ».
Or, la finalité poursuivie par la société de traduction était d’assurer la sécurité des personnes et des biens / documents de l’entreprise.
La collecte de données doit, comme le rappelle la CNIL, être proportionnée à la finalité, de telle sorte que le dispositif mis en place doit être strictement nécessaire à l’objectif poursuivi.
Dans la présente affaire, les agents de la CNIL avaient constaté que la caméra placée dans le bureau des traducteurs était orientée de telle sorte que tous les salariés étaient surveillés de manière continue. Au cours des années 2016- 2017, la CNIL avait sollicité de l’entreprise qu’elle modifie ce dispositif, considérant qu’il était ainsi trop attentatoire à la vie privée des salariés.
La société de traduction avait affirmé avoir fait le nécessaire pour se mettre en conformité.
Toutefois, au cours du second contrôle en octobre 2018, les agents de la CNIL avaient pu se convaincre de l’absence de conformité du dispositif puisque malgré la pose de ruban adhésif sur la caméra, un salarié au moins était filmé de manière constante.
La CNIL a donc pu considérer que les dispositions de l’article 5.1 c) du Règlement n’étaient pas respectées.
Il ressort de cette décision que la proportionnalité du dispositif est appréciée par la CNIL selon les éléments suivants : le nombre de personnels visés, l’emplacement du dispositif de surveillance, son orientation, les périodes de mise en fonctionnement de la caméra, la nature des tâches confiées aux salariés concernés. En outre, il nous semple important de préciser qu’un système, permettant la captation du son en parallèle de la captation d’images, sera considéré par l’autorité de contrôle comme particulièrement intrusif, et sera quasi- systématiquement qualifié de dispositif disproportionné.
Il nous semble, en toute hypothèse, que le critère principal réside dans l’orientation de la caméra sur un ou plusieurs salariés, et ce de manière continue puisque, selon la CNIL dans cette décision, le principe en matière de vidéosurveillance est le suivant : « Si la surveillance de zones sensibles peut être justifiée par des impératifs de sécurité, le placement sous surveillance permanente de salariés, attentatoire à leur vie privée, ne peut toutefois intervenir que dans des circonstances exceptionnelles tenant, par exemple, à la nature de la tâche à accomplir. »
Cette position de la CNIL renvoie à celle déjà adoptée récemment, dans une décision à la faveur de laquelle, en octobre 2018, elle avait mis en demeure le Directeur d’une école privée d’enseignement supérieur de mettre son système de vidéosurveillance en conformité, puisque les étudiants et salariés faisaient l’objet d’une surveillance généralisée et permanente dans l’établissement. (CNIL, déc. N°MED-2018-041, 8 oct.2018)
Doit-on y voir la volonté de l’autorité de contrôle de s’intéresser plus précisément à ces dispositifs ?
Enfin, la CNIL précise ses recommandations quant à la durée de conservation des images issues d’un tel dispositif de vidéosurveillance.
En effet, elle considère, si l’on s’en tient aux informations présentes sur son site (https://www.cnil.fr/fr/cnil-direct/question/videoprotectionvideosurveillance-combien-de-temps-peuvent-etre-conservees-les) que la conservation des images ne doit pas dépasser un mois. Cependant, le plus souvent, quelques jours suffisent au responsable de traitement pour réaliser les vérifications qui s’imposeraient dans l’hypothèse d’un incident.
Dans la présente affaire, la CNIL a jugé, par une appréciation in concreto de la situation, que les images ne pouvaient être conservées au -delà d’un délai de 15 jours, compte tenu de la finalité du traitement destiné à assurer la sécurité des personnes et des biens. En conséquence, il apparaît nécessaire pour tout responsable de traitement de limiter au maximum la durée de conservation de telles images, sauf justification particulière.
Par ailleurs, il nous semble que cette décision est aussi l’occasion de rappeler que l’usage de tels dispositifs de vidéosurveillance ayant pour finalité de « surveiller de manière constante l’activité des salariés », tels que vidéosurveillance portant sur les employés manipulant de l’argent ou encore vidéosurveillance d’un entrepôt stockant des biens de valeur au sein duquel travaillent des manutentionnaires, n’est pas interdit et nécessite la réalisation d’une étude d’impact (Délibération n°2018-327 du 11 octobre 2018). Tel n’était pas le cas dans la présente situation puisque la société avait cantonné le recours au dispositif de surveillance à la sécurité des personnes et des biens. Une étude d’impact sur la vie privée ne s’imposait donc pas en application de l’article 35 du Règlement (UE) 2016/679.
2. Sur la nécessaire information à délivrer aux salariés en application des articles 12 et 13 du Règlement
L’un des principaux manquements relevés à l’encontre de la société de traduction résidait dans l’absence d’information délivrée aux salariés quant à l’existence de ce dispositif de surveillance dans leur bureau, local non – accessible au public. (…)
Lire la suite de l’article publié dans la revue EXPERTISES
Article publié dans la revue EXPERTISES – Droit, Technologies & Prospectives, septembre 2019 n°449, page 223, par Stéphane Baïkoff – Avocate