Saut au contenu
back close
 
 

Actualités

Actualités fiscales et sociales

Actualités du cabinet 

  • Loi de Finances 2017 01/2017

    Loi de Finances 2017 Découvrez la vidéo Loi de Finances. 3 grands thèmes : Fiscalité personnelle, fiscalité des Entreprises, Contrôle fiscal


Actualités générales 


Retour

Retour à la liste

24/07/2017

Vidéosurveillance : l'employeur peut être sanctionné pour non-réponse aux observations de la Cnil

Les employeurs peuvent l'apprendre à leurs dépens : La formation restreinte de la Commission nationale de l'informatique et des libertés (Cnil) dispose d'un pouvoir de sanction dont elle peut faire usage, sous certaines conditions, lorsque leurs systèmes de contrôle des salariés donnant lieu à un traitement de données personnelles méconnaissent les dispositions de la loi « Informatique et libertés ». La délibération de la Cnil 2017-009 du 15 juin 2017 illustre, à propos de la mise en place d'une vidéosurveillance sur le lieu de travail , le contexte dans lequel une telle sanction peut être prononcée. Elle permet en particulier de mettre en avant la nécessité pour l'employeur de ne pas faire obstacle à la mission de la Cnil , garante du respect des dispositions de la loi précitée, en ignorant ou en éludant les demandes formées par celle-ci à la suite d'une plainte et de son instruction ou après la mise en demeure faisant suite à la constatation de certains manquements.

L'instruction de la plainte de la salariée

La Cnil avait dans cette affaire été saisie d'une plainte de la part de la salariée d'une petite entreprise, employant 3 personnes, du fait de l'installation à son insu d'un système de vidéosurveillance au-dessus de son poste de travail. La plainte était a priori légitime. On rappelle, en effet que, tant au regard du Code du travail (C. trav. art. L 1222-4) que de la loi « Informatique et libertés » (Loi 78-17 du 6-1-1978 modifiée art. 32), des données personnelles à un salarié ne peuvent pas être collectées par un dispositif n'ayant pas été porté au préalable à sa connaissance. La Cnil avait donc écrit à l'entreprise concernée pour lui rappeler ses obligations en matière de vidéosurveillance, lui demander de faire ses observations sur la plainte reçue et d'apporter, dans le délai d'un mois, toutes précisions et justificatifs sur le dispositif mis en œuvre par elle.

Les manquements de l'employeur et son silence persistant

L'entreprise n'ayant pas répondu dans le délai imparti, la Cnil avait réitéré ses demandes , à deux reprises, par lettres recommandées. Elle lui avait en outre rappelé son obligation de ne pas faire obstacle à l'action de la Cnil et de prendre, au contraire, toutes mesures pour faciliter cette action. Mais ces courriers étant eux aussi restés sans réponse, la Commission avait organisé un contrôle sur place à l'issue duquel avait été dressé et notifié un procès-verbal des manquements constatés. Puis fut adressé à la société une mise en demeure de se mettre en conformité, dans un délai d'un mois, en procédant notamment à une déclaration normale du dispositif auprès de la Commission et en respectant diverses obligations liées à la collecte, la conservation et la sécurité des données ainsi qu'à l'interdiction de mise sous surveillance permanente et constante des salariés. Sur ce dernier point, il était préconisé à l'entreprise de, par exemple, cantonner la surveillance vidéo aux horaires de fermeture du local afin de sécuriser les lieux sans attenter à la vie privée des intéressés.

Quelques jours avant l'expiration du délai d'un mois imparti, l'entreprise avait procédé à la déclaration du dispositif de vidéosurveillance. N'ayant en revanche apporté aucune réponse à la mise en demeure ni aucune preuve des mesures correctives sollicitées, la Cnil l'avait à nouveau relancée, mais toujours sans succès. La Commission avait donc décidé d'enclencher la procédure de sanction prévue par les articles 45 et suivants de la loi « Informatique et libertés » au cours de laquelle le responsable du traitement au sein de l'entreprise pouvait encore faire valoir ses observations – ce qui fut le cas en l'espèce – et se faire assister.

La sanction et les avertissements de la Cnil

La procédure s'est soldée par une décision de la formation restreinte de la Cnil d'infliger à l'entreprise une amende pécuniaire de 1 000 €. Dans sa délibération prononçant cette sanction, la Commission relève plusieurs manquements de la société. Tout d'abord une méconnaissance des dispositions de l'article 6-3° de la loi « Informatique et libertés » posant l'obligation de veiller à l'adéquation, à la pertinence et au caractère non excessif des données à caractère personnel collectées. Elle relève, en particulier, que le dispositif de vidéosurveillance en question, bien que paramétré pour enregistrer les images uniquement en dehors des horaires de travail, était cependant activé durant la journée en mode visualisation , de sorte que l'assistante administrative ayant déposé plainte était sous surveillance permanente et constante , en contradiction avec ladite obligation. Et ce d'autant que le gérant de la société pouvait accéder en temps réel aux images de la caméra depuis son téléphone portable et exercer ainsi un contrôle à distance.

Autre manquement relevé : le non-respect des dispositions de l'article 34 de loi précitée imposant au responsable du traitement de prendre toutes précautions utiles pour préserver la sécurité et la confidentialité des données personnelles. Il était à cet égard reproché à la société de ne pas avoir mis en place des mots de passe suffisamment sécurisés et régulièrement modifiés pour l'accès au logiciel de visualisation des images de la vidéosurveillance.

Enfin, la délibération-sanction souligne le manquement aux dispositions de l'article 21 de la loi « Informatique et libertés » dont il résulte qu'une entreprise ne peut s'opposer à l'action de la Cnil ou de ses membres et doit au contraire faciliter cette tâche. L'absence de réponse, tant aux différents courriers transmis par la Commission dans le cadre de l'instruction de la plainte qu'à ceux faisant suite au contrôle sur place, ou encore la non-réponse à la mise en demeure et à la relance postérieure, dénotaient il est vrai d'une particulière réticence de la société en cause qui n'avait d'ailleurs pu délivrer aucune justification à son silence. C'est pourquoi la Cnil « épingle » ce comportement en soulignant qu'il démontrait un défaut manifeste de prise en compte par cette entreprise des questions liées au traitement des données à caractère personnel.

Outre la sanction pécuniaire de 1 000 €, la formation restreinte de la Cnil décide en l'espèce de rendre publique sa décision en précisant que cela lui apparaissait nécessaire pour sensibiliser les responsables de traitement aux droits et obligations issus de la loi « Informatique et libertés » et, en particulier, à l'importance de répondre aux demandes de la présidente de la Commission et de mettre en œuvre les mesures requises.

A noter : Même si en l'espèce la sanction paraît justifiée au regard des manquements constatés et de la particulière mauvaise volonté de la société à tenir compte des observations et recommandations de la Cnil, il convient de rappeler que le Conseil d'Etat reconnaît à la formation restreinte de la Commission, dans l'exercice de son pouvoir de sanction, la qualité de tribunal au sens de l'article 6 de la Convention européenne des droits de l'Homme (notamment CE 19-2-2008 n° 311974). Les délibérations de cette formation prononçant une sanction peuvent faire l'objet d'un recours devant le Conseil d'Etat dans les 2 mois de leur notification (pour une décision récente de la Haute Juridiction administrative ayant annulé une délibération-sanction prévoyant sa publication sur le site Internet de la Cnil et celui de Légifrance, sans préciser la durée du maintien en ligne de manière non anonyme, voir CE 28-9-2016 n° 389448 : RJS 12/16 n° 843). La délibération ici commentée n'encourt pas ce dernier grief. Elle précise en effet qu'elle sera anonymisée à l'expiration d'un délai de 2 ans à compter de sa publication.

© Copyright Editions Francis Lefebvre


Nous contacter 

En remplissant le formulaire de contact ci-dessous, nous nous engageons à vous contacter sous 48 heures.

Ce champ est obligatoire
Ce champ doit contenir uniquement des lettres
Ce champ est obligatoire
Ce champ doit contenir uniquement des lettres
Ce champ est obligatoire
Ce champ est obligatoire
Ce champ est obligatoire
Ce champ doit contenir uniquement des lettres
Ce champ est obligatoire
Ce champ doit contenir uniquement des chiffres
Ce champ est obligatoire
Ce champ doit contenir uniquement des chiffres
Ce champ est obligatoire
Ce champ est obligatoire
Ce champ est obligatoire

Vous disposez d'un droit d'accès, de modification, de rectification et de suppression de données qui vous concernent (arti. 34 de la loi "informatique et libertés").
Pour l'exercer, adressez vous à : 15, avenue Paul CLAUDEL - - 80480 DURY Tél. : 03.22.53.45.00