Ravis de vous revoir ! Votre démarche a été enregistrée 🚀 Reprendre ma démarche
  1. Ressources
  2. Gestion
  3. Politique de confidentialité - RGPD
  4. Déclarer un système de surveillance des salariés à la CNIL : attention aux finalités !

Déclarer un système de surveillance des salariés à la CNIL : attention aux finalités !

Maxime Wagner
Maxime Wagner Co-fondateur de Captain Contrat. Diplômé de Centrale Lille et l'ESSEC. Relu par Pierre-Florian Dumez, Diplômé en droit

Depuis un certain nombre d’années, de nouveaux systèmes de surveillance des salariés ont vu le jour, qu’il s’agisse de la vidéosurveillance en passant par les badges ou la géolocalisation des véhicules, voire même, de la cybersurveillance.

Ces systèmes se comprennent au regard des impératifs de sécurité des personnes et des biens, mais également de protection des données (et notamment pour se protéger de toute concurrence déloyale), ainsi que de l’obligation pour l’employeur de contrôler le temps de travail de ses salariés. Par ailleurs, ces systèmes permettent souvent d’analyser la productivité des salariés.

De tels systèmes ne sont pas sans conséquences à l’égard des salariés. Ils donnent à l’employeur un pouvoir qui n’est en principe reconnu qu’à la puissance publique, à savoir, celui de la surveillance d’autrui. Ils permettent de récolter des données personnelles au profit de l’entreprise. Dans ce cadre, de nombreux logiciels « RH » ont été développés, et ils se couplent bien souvent avec d’autres fonctionnalités visant à faciliter le travail de retraitement des informations ainsi collectées.

L’objectif n’est pas ici de retracer l’ensemble des obligations de l’employeur en matière de surveillance des salariés via un système informatisé de collecte des données, mais plutôt d’insister sur un point en particulier, à savoir le contenu de la déclaration à la CNIL et plus précisément, la problématique de la finalité déclarée.

Petite précision : la CNIL ou « Commission Nationale Informatique et Libertés » c’est le gendarme du net en France, c’est à elle que les systèmes de contrôle doivent être déclarés. Nous écartons la problématique des chauffeurs routiers, à savoir, le chronotachygraphe, qui fait l’objet d’un traitement particulier.

Les éléments fondamentaux :

  • Le but de la surveillance mise en place doit être très clairement indiqué au sein de la déclaration CNIL ;
  • Ce but doit être porté à l’attention de l’ensemble des salariés de l’entreprise et il doit être rappelé que des sanctions pourront être prises sur la base des données collectées.

 

A défaut, les données collectées ne pourront être utilisées à l’encontre des salariés pour justifier une sanction.

 

 

Déclarer les finalités

 

Les données doivent être collectées pour des finalités déterminées, explicitées et légitimes, de sortes qu’elles ne peuvent être traitées ultérieurement de manière incompatible avec ces finalités.

Le Conseil Constitutionnel considère à ce titre qu’il s’agit d’une garantie légale du principe constitutionnel du droit au respect de la vie privée découlant de l’article 2 de la Déclaration des droits de l’homme et du citoyen de 1789 (DC, 21 décembre 2008, n°2008-562). Ainsi, si l’outil de gestion du personnel mis en place permet de contrôler le temps de travail des salariés, l’employeur a en premier lieu l’obligation de déclarer cette finalité spécifique à la CNIL.

 

Informer les salariés de la ou des finalités et de la possibilité d’être sanctionné

 

En deuxième lieu, l’employeur a l’obligation d’informer le salarié sur le système de contrôle et notamment que des sanctions peuvent éventuellement être prises à leur encontre sur la base des données ainsi collectées. A défaut, les données collectées ne pourront être utilisées contre les salariés. Cette exigence résulte à la fois du code du travail, mais également de la loi informatique et libertés.

La Cour de cassation considère logiquement que l’employeur ne peut pas utiliser les données collectées pour une finalité autre que celle qui a été déclarée à la CNIL et portée à la connaissance des salariés (Cass. soc, 3 novembre 2011, n°10-18.036). La Cour de cassation écarte systématiquement les preuves collectées de manière déloyale, à l’insu du salarié (Cass, soc, 16 mars 2011, n°09-43.204, Cass, soc, 15 mai 2011, n° 99-42.219).

En d’autres termes, les preuves collectées à l’appui du système informatique litigieux ne peuvent être utilisées à l’encontre des salariés. Si par exemple, le litige repose sur les heures travaillées, l’employeur ne pourra pas produire en justice les éléments collectés via le système de surveillance, et perdra ainsi nécessairement son procès.

 

 

 

Quelques conseils 

 

Vous l’aurez compris, déclarer un fichier à la CNIL n’est pas toujours évident et ce d’autant que les logiciels développés peuvent apparaître très intrusifs.

Prenons par exemple la société TOM-TOM qui a développé un système de géolocalisation permettant de contrôler d’une part les déplacements des salariés, et d’autre part, les heures travaillées par ces derniers. Si l’objectif pratique de ce système est compréhensible, il a pour conséquence d’organiser un double contrôle des salariés : déplacements et temps de travail. Or, il n’est pas certain que ce double contrôle soit proportionné au but recherché.

Si tel était le cas, les données collectées à l’appui du système ne seraient pas utilisables contre les salariés.

 

Quelles questions préalables à la mise en place du système de surveillance ?

 

  • Le but du système de surveillance mis en place (contrôle du temps de travail ? contrôle des déplacements ?
  • La proportionnalité entre le contrôle que vous mettez en place et le but poursuivi : est-il trop intrusif, n’existe-t-il pas un autre moyen de contrôler l’activité de mes salariés etc. ?
  • La transparence vis-à-vis de vos salariés : je dois les informer par note de service.

 

Comment procéder ?

 

Vous pouvez choisir entre la déclaration normale et la déclaration simplifiée. La déclaration simplifiée permet de déclarer des finalités prédéterminées par la CNIL. Par exemple, si vous optez pour un système de badge, vous choisirez la déclaration « Norme simplifiée n°42 », dont les finalités sont :

  • Le contrôle des accès à l'entrée et dans les locaux limitativement identifiés de l'entreprise ou de l'administration faisant l'objet d'une restriction de circulation.
  • La gestion des horaires et des temps de présence.
  • Le contrôle de l'accès au restaurant d'entreprise ou administratif et la gestion de la restauration ainsi que la mise en place d'un système de paiement associé.
  • Le contrôle d'accès des visiteurs.

 

C’est le système de déclaration le plus simple. Toutefois, les systèmes de surveillance sont parfois plus complexes, et dépassent les seules finalités prévues au sein des déclarations simplifiées. Dans ce cas, il faut avoir recours à la Déclaration normale.

Vous disposerez alors de toute latitude pour définir avec précision la finalité ou l’objectif de votre traitement. Ainsi, selon le type de système que vous souhaitez mettre en place, sa complexité et l’intrusion qu’il constitue à l’égard de vos salariés, il conviendra de choisir la bonne déclaration, et de déclarer la bonne finalité.

N’hésitez pas à faire appel à un avocat en cas de questionnements sur la rédaction de votre charte de protection de données personnelles !

Une question ? Laissez votre commentaire

Vos coordonnées sont obligatoires afin que l’on puisse vous répondre

Besoin d'être accompagné ?
Je rédige ma charte de confidentialité
Maxime Wagner
Ecrit par Maxime Wagner
Maxime Wagner est diplômé de Centrale Lille et d'un MBA à l'ESSEC. Il démarre sa carrière dans la distribution, où il s'intéresse aux méthodes de management et d'organisation ainsi qu'aux problématiques d'innovation. Fin 2012, il quitte Carrefour et lance, avec Philippe, Captain Contrat. Son objectif : lancer une start-up à impact positif sur la société et dans laquelle chacun est heureux de travailler.

Ces articles pourraient également vous intéresser

Les limites de la protection des données personnelles du salarié
4 min
Les limites de la protection des données personnelles du salarié
Guide de la gestion d'entreprise : pilotez votre succès de A à Z
5 min
Guide de la gestion d'entreprise : pilotez votre succès de A à Z
Comment se mettre en conformité avec le Règlement général sur la protection des données (RGPD) ?
7 min
Comment se mettre en conformité avec le Règlement général sur la protection des données (RGPD) ?
Quelles sont les thématiques prioritaires de contrôle de la CNIL en 2022 sur les sites internets ?
5 min
Quelles sont les thématiques prioritaires de contrôle de la CNIL en 2022 sur les sites internets ?
Déclarations CNIL : quel est l'impact du nouveau règlement ?
2 min
Déclarations CNIL : quel est l'impact du nouveau règlement ?
RGPD : quelle est la procédure de sanction ?
5 min
RGPD : quelle est la procédure de sanction ?
Startup et RGPD : les 5 questions les plus posées
8 min
Startup et RGPD : les 5 questions les plus posées
Les risques de gestion de fait en private equity
4 min
Les risques de gestion de fait en private equity
Qu’est-ce que la charte des données personnelles d’un site internet ?
2 min
Qu’est-ce que la charte des données personnelles d’un site internet ?
La sensibilisation de l'entreprise au RGPD : une étape obligatoire
6 min
La sensibilisation de l'entreprise au RGPD : une étape obligatoire