Santé & sécurité

  1. Accueil
  2. Actualités

Actualités

Vidéosurveillance et protection des données personnelles

Publié le par dans Obligations de l’employeur.

Des raisons de sécurité peuvent pousser l’entreprise à installer un système de vidéosurveillance. La mise en place d’un tel dispositif suppose d’informer au préalable les salariés concernés et de respecter les règles relatives à la protection des données personnelles. Attention, si cela n’est pas respecté, la CNIL peut prendre des sanctions.

Vidéosurveillance et protection des données : des règles à suivre

La mise en place d’un dispositif de vidéosurveillance dans l’entreprise est très encadrée. Le dispositif doit répondre à un besoin précis de l’activité, notamment prévenir les agressions, les vols ou surveiller un poste dangereux.

S’il n’y a aucun risque spécifique, il n’y a pas de raison valable de filmer les salariés.

Attention
La mise en place de caméras ne doit pas aboutir à une surveillance permanente et généralisée des salariés.

Avant l’installation du dispositif, l’employeur doit informer les salariés et les représentants du personnel. En effet, aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n'a pas été préalablement porté à sa connaissance.

Notez-le
Cette communication n’est pas nécessaire si les caméras de vidéosurveillance sont placées dans des lieux inaccessibles aux salariés.

De plus, l’entreprise doit respecter les règles relatives à la protection des données personnelles, notamment le principe de minimisation des données collectées. Les données collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

De plus, leur durée de conservation est limitée. Elle dépendra également des finalités pour lesquelles les données sont traitées, des objectifs poursuivis.

Vidéosurveillance et protection des données : illustration

Il est important de respecter ces différentes règles. En cas de manquement, la CNIL peut condamner l’entreprise à une amende administrative. C’est ce qu’il vient d’arriver à une entreprise qui filmait des salariés en permanence, sans les avoir informés. En outre, les données récoltées étaient conservées trop longtemps par rapport à leur finalité.

Cette entreprise était équipée de caméras qui filmaient en permanence des salariés dans un bureau.

Le dispositif n’avait fait l’objet d’aucune information formelle à destination de ces salariés.

Une des caméras permettait de visualiser en continu les postes de travail. De plus, la durée de conservation des images excédait celle nécessaire à la finalité indiquée par la société. L’entreprise avait dit à la CNIL que ce dispositif se justifiait dans un souci de sécurité des biens et des personnes.

En juillet 2018, la CNIL a mis en demeure l’entreprise de modifier son dispositif de vidéosurveillance afin qu’il soit en conformité avec les dispositions du règlement RGPD (proportionné au regard de la finalité poursuivie). Ainsi, l’entreprise devait cesser de placer les salariés sous surveillance constante, par exemple, en réorientant ou en déplaçant les caméras.

La CNIL lui demandait également de mettre en œuvre une politique de durée de conservation des données à caractère personnel qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées. Pour la CNIL, les enregistrements des images ne devaient pas être conservés au-delà d’une période de 15 jours.

De plus, l’entreprise devait informer les personnes dont les données étaient traitées s’agissant du dispositif de vidéosurveillance : apposition de panneaux, mise en œuvre d’un système de vidéosurveillance en précisant la finalité du traitement, la durée de conservation et les personnes destinataires des données, etc.

Six mois plus tard, l’entreprise n’avait pas mis fin à ses manquements. En mars 2019, plusieurs mois après l’expiration du délai de mise en demeure, la société a procédé au retrait définitif de la caméra litigieuse…une fois que la procédure de sanction ait été engagée. La sanction est donc tombée. L’entreprise a réagi très très tard aux mises en demeure de la CNIL. Résultat : 20 000 euros d’amende.

Bon à savoir
Dans cette affaire, l’entreprise doit également sécuriser l’accès aux postes informatiques des salariés afin d’assurer la traçabilité des accès individuels à une boite de messagerie professionnelle générique. Cette injonction est assortie d’une astreinte de 200 euros par jour de retard à l’issue d’un délai de 2 mois.

Délibération n°SAN-2019-006 du 13 juin 2019
Délibération de la formation restreinte n° SAN-2019-006 du 13 juin 2019 prononçant une sanction à l’encontre de la société UNIONTRAD COMPANY