Ravis de vous revoir ! Votre démarche a été enregistrée  🚀 Reprendre ma démarche
Reprendre ma démarche
illustration recherche
Comment pouvons-nous vous aider aujourd’hui ?

Recherchez parmi nos prestations, articles, guides...

01 83 81 67 25
  1. Ressources
  2. Gestion
  3. Politique de confidentialité - RGPD
  4. Déclarer un système de surveillance des salariés à la CNIL : attention aux finalités !

Déclarer un système de surveillance des salariés à la CNIL : attention aux finalités !

  • 3 min
Télécharger l'article
Maxime Wagner
Écrit par Maxime Wagner. Co-fondateur de Captain Contrat. Diplômé de Centrale Lille et l'ESSEC.
Relu par Pierre-Florian Dumez.

Depuis un certain nombre d’années, de nouveaux systèmes de surveillance des salariés ont vu le jour, qu’il s’agisse de la vidéosurveillance en passant par les badges ou la géolocalisation des véhicules, voire même, de la cybersurveillance.

Ces systèmes se comprennent au regard des impératifs de sécurité des personnes et des biens, mais également de protection des données (et notamment pour se protéger de toute concurrence déloyale), ainsi que de l’obligation pour l’employeur de contrôler le temps de travail de ses salariés. Par ailleurs, ces systèmes permettent souvent d’analyser la productivité des salariés.

De tels systèmes ne sont pas sans conséquences à l’égard des salariés. Ils donnent à l’employeur un pouvoir qui n’est en principe reconnu qu’à la puissance publique, à savoir, celui de la surveillance d’autrui. Ils permettent de récolter des données personnelles au profit de l’entreprise. Dans ce cadre, de nombreux logiciels « RH » ont été développés, et ils se couplent bien souvent avec d’autres fonctionnalités visant à faciliter le travail de retraitement des informations ainsi collectées.

L’objectif n’est pas ici de retracer l’ensemble des obligations de l’employeur en matière de surveillance des salariés via un système informatisé de collecte des données, mais plutôt d’insister sur un point en particulier, à savoir le contenu de la déclaration à la CNIL et plus précisément, la problématique de la finalité déclarée.

Petite précision : la CNIL ou « Commission Nationale Informatique et Libertés » c’est le gendarme du net en France, c’est à elle que les systèmes de contrôle doivent être déclarés. Nous écartons la problématique des chauffeurs routiers, à savoir, le chronotachygraphe, qui fait l’objet d’un traitement particulier.

Les éléments fondamentaux :

  • Le but de la surveillance mise en place doit être très clairement indiqué au sein de la déclaration CNIL ;
  • Ce but doit être porté à l’attention de l’ensemble des salariés de l’entreprise et il doit être rappelé que des sanctions pourront être prises sur la base des données collectées.

 

À défaut, les données collectées ne pourront être utilisées à l’encontre des salariés pour justifier une sanction.

 

 

Déclarer les finalités

 

Les données doivent être collectées pour des finalités déterminées, explicitées et légitimes, de sortes qu’elles ne peuvent être traitées ultérieurement de manière incompatible avec ces finalités.

Le Conseil Constitutionnel considère à ce titre qu’il s’agit d’une garantie légale du principe constitutionnel du droit au respect de la vie privée découlant de l’article 2 de la Déclaration des droits de l’homme et du citoyen de 1789 (DC, 21 décembre 2008, n°2008-562). Ainsi, si l’outil de gestion du personnel mis en place permet de contrôler le temps de travail des salariés, l’employeur a en premier lieu l’obligation de déclarer cette finalité spécifique à la CNIL.

 

Informer les salariés de la ou des finalités et de la possibilité d’être sanctionné

 

En deuxième lieu, l’employeur a l’obligation d’informer le salarié sur le système de contrôle et notamment que des sanctions peuvent éventuellement être prises à leur encontre sur la base des données ainsi collectées. A défaut, les données collectées ne pourront être utilisées contre les salariés. Cette exigence résulte à la fois du code du travail, mais également de la loi informatique et libertés.

La Cour de cassation considère logiquement que l’employeur ne peut pas utiliser les données collectées pour une finalité autre que celle qui a été déclarée à la CNIL et portée à la connaissance des salariés (Cass. soc, 3 novembre 2011, n°10-18.036). La Cour de cassation écarte systématiquement les preuves collectées de manière déloyale, à l’insu du salarié (Cass, soc, 16 mars 2011, n°09-43.204, Cass, soc, 15 mai 2011, n° 99-42.219).

En d’autres termes, les preuves collectées à l’appui du système informatique litigieux ne peuvent être utilisées à l’encontre des salariés. Si par exemple, le litige repose sur les heures travaillées, l’employeur ne pourra pas produire en justice les éléments collectés via le système de surveillance, et perdra ainsi nécessairement son procès.

 

 

Quelques conseils

 

Vous l’aurez compris, déclarer un fichier à la CNIL n’est pas toujours évident et ce d’autant que les logiciels développés peuvent apparaître très intrusifs.

Prenons par exemple la société TOM-TOM qui a développé un système de géolocalisation permettant de contrôler d’une part les déplacements des salariés, et d’autre part, les heures travaillées par ces derniers. Si l’objectif pratique de ce système est compréhensible, il a pour conséquence d’organiser un double contrôle des salariés : déplacements et temps de travail. Or, il n’est pas certain que ce double contrôle soit proportionné au but recherché.

Si tel était le cas, les données collectées à l’appui du système ne seraient pas utilisables contre les salariés.

 

Quelles questions préalables à la mise en place du système de surveillance ?

 

  • Le but du système de surveillance mis en place (contrôle du temps de travail ? contrôle des déplacements ?
  • La proportionnalité entre le contrôle que vous mettez en place et le but poursuivi : est-il trop intrusif, n’existe-t-il pas un autre moyen de contrôler l’activité de mes salariés etc. ?
  • La transparence vis-à-vis de vos salariés : je dois les informer par note de service.

 

Comment procéder ?

 

Vous pouvez choisir entre la déclaration normale et la déclaration simplifiée. La déclaration simplifiée permet de déclarer des finalités prédéterminées par la CNIL. Par exemple, si vous optez pour un système de badge, vous choisirez la déclaration « Norme simplifiée n°42 », dont les finalités sont :

  • Le contrôle des accès à l'entrée et dans les locaux limitativement identifiés de l'entreprise ou de l'administration faisant l'objet d'une restriction de circulation.
  • La gestion des horaires et des temps de présence.
  • Le contrôle de l'accès au restaurant d'entreprise ou administratif et la gestion de la restauration ainsi que la mise en place d'un système de paiement associé.
  • Le contrôle d'accès des visiteurs.

 

C’est le système de déclaration le plus simple. Toutefois, les systèmes de surveillance sont parfois plus complexes, et dépassent les seules finalités prévues au sein des déclarations simplifiées. Dans ce cas, il faut avoir recours à la Déclaration normale.

Vous disposerez alors de toute latitude pour définir avec précision la finalité ou l’objectif de votre traitement. Ainsi, selon le type de système que vous souhaitez mettre en place, sa complexité et l’intrusion qu’il constitue à l’égard de vos salariés, il conviendra de choisir la bonne déclaration, et de déclarer la bonne finalité.

N’hésitez pas à faire appel à un avocat en cas de questionnements sur la rédaction de votre charte de protection de données personnelles !

 

 
Maxime Wagner
Écrit par Maxime Wagner
Maxime Wagner est diplômé de Centrale Lille et d'un MBA à l'ESSEC. Il démarre sa carrière dans la distribution, où il s'intéresse aux méthodes de management et d'organisation ainsi qu'aux problématiques d'innovation. Fin 2012, il quitte Carrefour et lance, avec Philippe, Captain Contrat. Son objectif : lancer une start-up à impact positif sur la société et dans laquelle chacun est heureux de travailler.
Relu par Pierre-Florian Dumez. Diplômé en droit

Une question ? Laissez votre commentaire

Vos coordonnées sont obligatoires afin que l’on puisse vous répondre
Besoin d'être accompagné ?
Je rédige ma charte de confidentialité

Ces articles pourraient également vous intéresser

Les limites de la protection des données personnelles du salarié
Les limites de la protection des données personnelles du salarié
Quelles sont les limites à la protection des données personnelles du salarié ? Sous quelle conditions l'employeur peut-il collecter ces informations ?
- 4 min
Comment se mettre en conformité avec le Règlement général sur la protection des données (RGPD) ?
Comment se mettre en conformité avec le Règlement général sur la protection des données (RGPD) ?
Vous collectez et traitez les données personnelles de citoyens européens ? Vous êtes donc soumis à l'obligation de conformer votre entreprise au RGPD. Quelles sont les étapes à mettre en place ? Me Benhammou vous accompagne tout au long de votre procédure.
- 7 min
Guide de la gestion d'entreprise : pilotez votre succès de A à Z
Guide de la gestion d'entreprise : pilotez votre succès de A à Z
La gestion d'entreprise nécessite de nombreuses compétences. Captain Contrat vous donne toutes les clés pour gérer efficacement votre société.
- 5 min
Quelles sont les thématiques prioritaires de contrôle de la CNIL en 2022 sur les sites internets ?
Quelles sont les thématiques prioritaires de contrôle de la CNIL en 2022 sur les sites internets ?
L'utilisation des sites internet et l'échange de données personnelles ne cessent de croitre. Dans ce contexte les dérives se font plus nombreuses. La CNIL a dévoilé les thématiques prioritaires sur lesquelles ses contrôles porteront en 2022 sur les site internet. Me Znaty fait le point pour vous.
- 5 min
Déclarations CNIL : quel est l'impact du nouveau règlement ?
Déclarations CNIL : quel est l'impact du nouveau règlement ?
L'entrée en vigueur du nouveau texte sur la protection des données personnelle n'est pas sans impact sur vos déclarations CNIL déjà réalisées.
- 2 min
RGPD : quelle est la procédure de sanction ?
RGPD : quelle est la procédure de sanction ?
Mais que se passe-t-il en cas de non-respect du RGPD ? Quelles sont les sanctions susceptibles d’être prononcées à l’égard des responsables de traitement qui ne respecteraient pas ses dispositions ?
- 5 min
Startup et RGPD : les 5 questions les plus posées
Startup et RGPD : les 5 questions les plus posées
Dirigeant de startup, votre entreprise est sans doute concernée par le RGPD. Comment vous mettre en conformité ? Quelles sont les questions à vous poser ? Me David Smadja avocat spécialisé fait le point et vous livre ses conseils.
- 8 min
La sensibilisation de l'entreprise au RGPD : une étape obligatoire
La sensibilisation de l'entreprise au RGPD : une étape obligatoire
La majorité des entreprises sont concernées par les obligations du RGPD depuis 2018. Cette mise en conformité ne s'improvise pas : process internes, collaborateurs, équipes techniques... Me Sarah Benhammou vous accompagne pour votre conformité
- 6 min
Qu’est-ce que la charte des données personnelles d’un site internet ?
Qu’est-ce que la charte des données personnelles d’un site internet ?
Lorsqu’un site internet requiert des informations personnelles de ses utilisateurs, la rédaction d'une charte des données personnelles est conseillée.
- 2 min
Les risques de gestion de fait en private equity
Les risques de gestion de fait en private equity
L'associé qui dépasse ses prérogatives peut être requalifié en dirigeant de fait. Les conséquences de cette requalification peuvent être lourdes.
- 4 min