Droit du travail & RH

  1. Accueil
  2. Actualités

Actualités

Vidéosurveillance : respecter les règles relatives à la protection des données

Publié le par dans Sanction et discipline.

Avant de mettre en place un système de vidéosurveillance, vous devez notamment informer les salariés concernés et respecter les règles relatives à la protection des données personnelles. Ne pas tenir compte des mises en demeure de la CNIL et les appliquer trop tard peut coûter cher à l’entreprise.

Vidéosurveillance : informer les salariés et respecter les règles relatives à la protection des données personnelles

La mise en place d’un dispositif de vidéosurveillance dans l’entreprise est très encadrée. Le dispositif doit répondre à un besoin précis de votre activité, notamment prévenir les agressions, les vols ou surveiller un poste dangereux.

S’il n’y a aucun risque spécifique, vous n’avez pas de raison valable de filmer les salariés.

Attention
La mise en place de caméras ne doit pas aboutir à une surveillance permanente et généralisée des salariés.

Avant l’installation du dispositif, vous devez informer les salariés et les représentants du personnel. En effet, aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n'a pas été préalablement porté à sa connaissance.

Notez-le
Cette communication n’est pas nécessaire si les caméras de vidéosurveillance sont placées dans des lieux inaccessibles aux salariés.

De plus, vous devez respecter les règles relatives à la protection des données personnelles, notamment le principe de minimisation des données collectées. Les données collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

De plus, leur durée de conservation est limitée. Elle dépendra également des finalités pour lesquelles les données sont traitées, des objectifs poursuivis.

Vidéosurveillance : illustration

Il est important de respecter ces différentes règles. En cas de manquement, la CNIL peut vous condamner à une amende administrative. C’est ce qu’il vient d’arriver à une entreprise qui filmait des salariés en permanence, sans les avoir informés. De plus, les données récoltées étaient conservées trop longtemps par rapport à leur finalité.

Cette entreprise était équipée de caméras qui filmaient en permanence des salariés dans un bureau.

Le dispositif n’avait fait l’objet d’aucune information formelle à destination de ces salariés.

Une des caméras permettait de visualiser en continu les postes de travail. De plus, la durée de conservation des images excédait celle nécessaire à la finalité indiquée par la société. L’entreprise avait dit à la CNIL que ce dispositif se justifiait dans un souci de sécurité des biens et des personnes.

En juillet 2018, la CNIL a mis en demeure l’entreprise de modifier son dispositif de vidéosurveillance afin qu’il soit en conformité avec les dispositions du règlement RGPD (proportionné au regard de la finalité poursuivie). Ainsi, l’entreprise devait cesser de placer les salariés sous surveillance constante, par exemple, en réorientant ou en déplaçant les caméras.

La CNIL lui demandait également de mettre en œuvre une politique de durée de conservation des données à caractère personnel qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées. Pour la CNIL, les enregistrements des images ne devaient pas être conservés au-delà d’une période de 15 jours.

De plus, l’entreprise devait informer les personnes dont les données étaient traitées s’agissant du dispositif de vidéosurveillance : apposition de panneaux, mise en œuvre d’un système de vidéosurveillance en précisant la finalité du traitement, la durée de conservation et les personnes destinataires des données, etc.

Six mois plus tard, l’entreprise n’avait pas mis fin à ses manquements. En mars 2019, plusieurs mois après l’expiration du délai de mise en demeure, la société a procédé au retrait définitif de la caméra litigieuse…une fois que la procédure de sanction ait été engagée. La sanction est donc tombée. L’entreprise a réagi très très tard aux mises en demeure de la CNIL. Résultat : 20 000 euros d’amende.

A savoir : dans cette affaire, l’entreprise doit également sécuriser l’accès aux postes informatiques des salariés afin d’assurer la traçabilité des accès individuels à une boite de messagerie professionnelle générique. Cette injonction est assortie d’une astreinte de 200 euros par jour de retard à l’issue d’un délai de 2 mois.


Délibération n°SAN-2019-006 du 13 juin 2019

Délibération de la formation restreinte n° SAN-2019-006 du 13 juin 2019 prononçant une sanction à l’encontre de la société UNIONTRAD COMPANY