BLOG AIDE
    S'inscrire ou Se connecter

    Comment déclarer un système de surveillance à la CNIL ?

    Gestion d'entreprise
    Captain Contrat
    LE
    4min

    Depuis un certain nombre d’années, de nouveaux systèmes de surveillance des salariés ont vu le jour, qu’il s’agisse de la vidéosurveillance en passant par les badges ou la géolocalisation des véhicules, voire même, de la cybersurveillance.

    Ces systèmes se comprennent au regard des impératifs de sécurité des personnes et des biens, mais également de protection des données (et notamment pour se protéger de toute concurrence déloyale), ainsi que de l’obligation pour l’employeur de contrôler le temps de travail de ses salariés. Par ailleurs, ces systèmes permettent souvent d’analyser la productivité des salariés.

    De tels systèmes ne sont pas sans conséquences à l’égard des salariés. Ils donnent à l’employeur un pouvoir qui n’est en principe reconnu qu’à la puissance publique, à savoir, celui de la surveillance d’autrui. Ils permettent de récolter des données personnelles au profit de l’entreprise. Dans ce cadre, de nombreux logiciels « RH » ont été développés, et ils se couplent bien souvent avec d’autres fonctionnalités visant à faciliter le travail de retraitement des informations ainsi collectées.

    L’objectif n’est pas ici de retracer l’ensemble des obligations de l’employeur en matière de surveillance des salariés via un système informatisé de collecte des données, mais plutôt d’insister sur un point en particulier, à savoir le contenu de la déclaration à la CNIL et plus précisément, la problématique de la finalité déclarée.

    Petite précision : la CNIL ou « Commission Nationale Informatique et Libertés » c’est le gendarme du net en France, c’est à elle que les systèmes de contrôle doivent être déclarés. Nous écartons la problématique des chauffeurs routiers, à savoir, le chronotachygraphe, qui fait l’objet d’un traitement particulier.

    Les éléments fondamentaux :

    • Le but de la surveillance mise en place doit être très clairement indiqué au sein de la déclaration CNIL ;
    • Ce but doit être porté à l’attention de l’ensemble des salariés de l’entreprise et il doit être rappelé que des sanctions pourront être prises sur la base des données collectées.

    A défaut, les données collectées ne pourront être utilisées à l’encontre des salariés pour justifier une sanction.

    Déclarer les finalités

    Les données doivent être collectées pour des finalités déterminées, explicitées et légitimes, de sortes qu’elles ne peuvent être traitées ultérieurement de manière incompatible avec ces finalités.

    Le Conseil Constitutionnel considère à ce titre qu’il s’agit d’une garantie légale du principe constitutionnel du droit au respect de la vie privée découlant de l’article 2 de la Déclaration des droits de l’homme et du citoyen de 1789 (DC, 21 décembre 2008, n°2008-562). Ainsi, si l’outil de gestion du personnel mis en place permet de contrôler le temps de travail des salariés, l’employeur a en premier lieu l’obligation de déclarer cette finalité spécifique à la CNIL.

    Informer les salariés de la ou des finalités et de la possibilité d’être sanctionné

    En deuxième lieu, l’employeur a l’obligation d’informer le salarié sur le système de contrôle et notamment que des sanctions peuvent éventuellement être prises à leur encontre sur la base des données ainsi collectées. A défaut, les données collectées ne pourront être utilisées contre les salariés. Cette exigence résulte à la fois du code du travail, mais également de la loi informatique et libertés.

    La Cour de cassation considère logiquement que l’employeur ne peut pas utiliser les données collectées pour une finalité autre que celle qui a été déclarée à la CNIL et portée à la connaissance des salariés (Cass. soc, 3 novembre 2011, n°10-18.036). La Cour de cassation écarte systématiquement les preuves collectées de manière déloyale, à l’insu du salarié (Cass, soc, 16 mars 2011, n°09-43.204, Cass, soc, 15 mai 2011, n° 99-42.219).

    En d’autres termes, les preuves collectées à l’appui du système informatique litigieux ne peuvent être utilisées à l’encontre des salariés. Si par exemple, le litige repose sur les heures travaillées, l’employeur ne pourra pas produire en justice les éléments collectés via le système de surveillance, et perdra ainsi nécessairement son procès.

    Quelques conseils 

    Vous l’aurez compris, déclarer un fichier à la CNIL n’est pas toujours évident et ce d’autant que les logiciels développés peuvent apparaître très intrusifs.

    Prenons par exemple la société TOM-TOM qui a développé un système de géolocalisation permettant de contrôler d’une part les déplacements des salariés, et d’autre part, les heures travaillées par ces derniers. Si l’objectif pratique de ce système est compréhensible, il a pour conséquence d’organiser un double contrôle des salariés : déplacements et temps de travail. Or, il n’est pas certain que ce double contrôle soit proportionné au but recherché.

    Si tel était le cas, les données collectées à l’appui du système ne seraient pas utilisables contre les salariés.

    Quelles questions préalables à la mise en place du système de surveillance ?

    • le but du système de surveillance mis en place (contrôle du temps de travail ? contrôle des déplacements ?
    • la proportionnalité entre le contrôle que vous mettez en place et le but poursuivi : est-il trop intrusif, n’existe-t-il pas un autre moyen de contrôler l’activité de mes salariés etc. ?
    • la transparence vis-à-vis de vos salariés : je dois les informer par note de service.

    Comment procéder ?

    Vous pouvez choisir entre la déclaration normale et la déclaration simplifiée. La déclaration simplifiée permet de déclarer des finalités prédéterminées par la CNIL. Par exemple, si vous optez pour un système de badge, vous choisirez la déclaration « Norme simplifiée n°42 », dont les finalités sont :

    • Le contrôle des accès à l'entrée et dans les locaux limitativement identifiés de l'entreprise ou de l'administration faisant l'objet d'une restriction de circulation.
    • La gestion des horaires et des temps de présence.
    • Le contrôle de l'accès au restaurant d'entreprise ou administratif et la gestion de la restauration ainsi que la mise en place d'un système de paiement associé.
    • Le contrôle d'accès des visiteurs.

    C’est le système de déclaration le plus simple. Toutefois, les systèmes de surveillance sont parfois plus complexes, et dépassent les seules finalités prévues au sein des déclarations simplifiées. Dans ce cas, il faut avoir recours à la Déclaration normale.

    Vous disposerez alors de toute latitude pour définir avec précision la finalité ou l’objectif de votre traitement. Ainsi, selon le type de système que vous souhaitez mettre en place, sa complexité et l’intrusion qu’il constitue à l’égard de vos salariés, il conviendra de choisir la bonne déclaration, et de déclarer la bonne finalité.

    N’hésitez pas à faire appel à un avocat en cas de questionnements sur la rédaction de votre charte de protection de données personnelles !

    Rédigez votre charte de protection des données personnelles en quelques clics  Je rédige ma charte

    Donnez votre avis
      ARTICLES SIMILAIRES
      arbitrage-min

      résolution litiges

      Arbitrage : quels sont les avantages de cette procédure ?

      résolution litiges

      Reconnaissance de dette : une bonne façon de se protéger ?

      Meeting-min

      résolution litiges

      L'arbitrage dans le droit : vos questions les plus fréquentes

      résolution litiges

      Modèle de reconnaissance de dette : quels risques pour le créancier ?

      résolution litiges

      Comment réagir face à une diffamation publique ?

      Camille
      A propos de Camille

      Camille est diplômée d’un Master 2 de droit processuel à Paris II, et élève-avocate. Elle s’intéresse aux mutations du monde du droit grâce aux nouvelles technologies, et a rejoint Captain Contrat pour s’occuper du contenu juridique

      COMMENTAIRES