L’employeur peut utiliser un système de vidéosurveillance dans son entreprise, s’il justifie d’une préoccupation en matière de sécurité.
Un système de vidéosurveillance utilisé dans des locaux non ouverts au public constitue un traitement automatisé de données à caractère personnel soumis à la loi « Informatique et Libertés » si deux conditions cumulatives sont remplies :
- les images doivent faire l’objet d’un enregistrement et d’une conservation ;
- l’employeur doit être en mesure d’identifier les personnes filmées sur la vidéo.
Si ces conditions sont remplies, l’employeur doit procéder à une déclaration préalable auprès de la CNIL.
L’employeur doit en informer chaque salarié individuellement et le règlement intérieur doit en faire mention et la vidéosurveillance ne peut en aucun cas entrainer une atteinte au respect de la vie privée des salariés.
Si ces règles ne sont pas respectées, la Commission nationale de l’informatique et des libertés (CNIL) peut intervenir pour veiller au respect de ces règles et sanctionner le cas échéant.
Une décision du Conseil d’Etat du 18 novembre 2015 est venue confirmer la sanction infligée par la CNIL à une entreprise (Conseil d’État, 10ème / 9ème SSR, décision du 18 novembre 2015, PS Consulting).
En l’espèce, une entreprise a installé un dispositif de caméras de vidéosurveillance intrusives sur le lieu de travail des salariés.
Un des salariés en a averti la CNIL qui a effectué plusieurs contrôles.
Un premier contrôle a permis de constater que les caméras visaient un poste d’une salariée et une salle ou travaillaient plusieurs personnes.
Lors du deuxième contrôle, les angles des caméras avaient été modifiés mais une troisième caméra était désormais orientée vers le poste d’un autre salarié.
De plus, même si des affiches avaient été apposées dans les locaux de l’entreprise, celles-ci ne reprenaient pas les mentions obligatoires d’information.
La CNIL a décidé d’engager une procédure de sanction à l’encontre de la société pour manquements aux obligations de collecter des données adéquates pertinentes et non excessives, d’informer les personnes et de veiller à la sécurité des données et a infligé une amende de 10.000 euros à la société.
La société a déposé une requête devant le Conseil d’Etat pour disproportion de la sanction.
Le Conseil d’Etat, par une décision du 18 novembre 2015, a donné raison à la CNIL en considérant que la sanction que la Commission avait donnée n’était pas disproportionnée.
Le Conseil d’Etat rejette la requête de la société estimant que les données à caractère personnel collectées par un responsable de traitement doivent être « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées ainsi et de leurs traitements ultérieurs ».
En outre, la société n’a pas respecté les termes de l’article L. 1121-1 du code du travail selon lequel : « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives des restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché. »
Par conséquent, le Conseil d’Etat a jugé qu’aux vues « du caractère soutenu des contrôles effectués par la Commission nationale de l’informatique et des libertés » et « qu’au regard de la persistance et de la gravité de ces manquements caractérisés », la sanction de la CNIL n’est donc pas disproportionnée.
Je suis à votre disposition pour toute action ou information (en cliquant ici).
Anthony Bem
Avocat à la Cour
27 bd Malesherbes - 75008 Paris
01 40 26 25 01
abem@cabinetbem.com
