1. Gestion
  2. Politique de confidentialité - RGPD
  3. Déclarer un système de surveillance des salariés à la CNIL : attention aux finalités !

Déclarer un système de surveillance des salariés à la CNIL : attention aux finalités !

Je rédige ma charte de confidentialité
Je rédige ma charte de confidentialité
Maxime Wagner
Écrit par Maxime Wagner

Cofondateur de Captain Contrat, Maxime a débuté en analyse de risque financier et a évolué sur des enjeux d'innovation dans la distribution. Il est diplômé de Centrale Lille et l'ESSEC.


Depuis un certain nombre d’années, de nouveaux systèmes de surveillance des salariés ont vu le jour, qu’il s’agisse de la vidéosurveillance en passant par les badges ou la géolocalisation des véhicules, voire même, de la cybersurveillance.

Ces systèmes se comprennent au regard des impératifs de sécurité des personnes et des biens, mais également de protection des données (et notamment pour se protéger de toute concurrence déloyale), ainsi que de l’obligation pour l’employeur de contrôler le temps de travail de ses salariés. Par ailleurs, ces systèmes permettent souvent d’analyser la productivité des salariés.

De tels systèmes ne sont pas sans conséquences à l’égard des salariés. Ils donnent à l’employeur un pouvoir qui n’est en principe reconnu qu’à la puissance publique, à savoir, celui de la surveillance d’autrui. Ils permettent de récolter des données personnelles au profit de l’entreprise. Dans ce cadre, de nombreux logiciels « RH » ont été développés, et ils se couplent bien souvent avec d’autres fonctionnalités visant à faciliter le travail de retraitement des informations ainsi collectées.

L’objectif n’est pas ici de retracer l’ensemble des obligations de l’employeur en matière de surveillance des salariés via un système informatisé de collecte des données, mais plutôt d’insister sur un point en particulier, à savoir le contenu de la déclaration à la CNIL et plus précisément, la problématique de la finalité déclarée.

Petite précision : la CNIL ou « Commission Nationale Informatique et Libertés » c’est le gendarme du net en France, c’est à elle que les systèmes de contrôle doivent être déclarés. Nous écartons la problématique des chauffeurs routiers, à savoir, le chronotachygraphe, qui fait l’objet d’un traitement particulier.

Les éléments fondamentaux :

  • Le but de la surveillance mise en place doit être très clairement indiqué au sein de la déclaration CNIL ;
  • Ce but doit être porté à l’attention de l’ensemble des salariés de l’entreprise et il doit être rappelé que des sanctions pourront être prises sur la base des données collectées.

 

A défaut, les données collectées ne pourront être utilisées à l’encontre des salariés pour justifier une sanction.

 

 

Déclarer les finalités

 

Les données doivent être collectées pour des finalités déterminées, explicitées et légitimes, de sortes qu’elles ne peuvent être traitées ultérieurement de manière incompatible avec ces finalités.

Le Conseil Constitutionnel considère à ce titre qu’il s’agit d’une garantie légale du principe constitutionnel du droit au respect de la vie privée découlant de l’article 2 de la Déclaration des droits de l’homme et du citoyen de 1789 (DC, 21 décembre 2008, n°2008-562). Ainsi, si l’outil de gestion du personnel mis en place permet de contrôler le temps de travail des salariés, l’employeur a en premier lieu l’obligation de déclarer cette finalité spécifique à la CNIL.

 

Informer les salariés de la ou des finalités et de la possibilité d’être sanctionné

 

En deuxième lieu, l’employeur a l’obligation d’informer le salarié sur le système de contrôle et notamment que des sanctions peuvent éventuellement être prises à leur encontre sur la base des données ainsi collectées. A défaut, les données collectées ne pourront être utilisées contre les salariés. Cette exigence résulte à la fois du code du travail, mais également de la loi informatique et libertés.

La Cour de cassation considère logiquement que l’employeur ne peut pas utiliser les données collectées pour une finalité autre que celle qui a été déclarée à la CNIL et portée à la connaissance des salariés (Cass. soc, 3 novembre 2011, n°10-18.036). La Cour de cassation écarte systématiquement les preuves collectées de manière déloyale, à l’insu du salarié (Cass, soc, 16 mars 2011, n°09-43.204, Cass, soc, 15 mai 2011, n° 99-42.219).

En d’autres termes, les preuves collectées à l’appui du système informatique litigieux ne peuvent être utilisées à l’encontre des salariés. Si par exemple, le litige repose sur les heures travaillées, l’employeur ne pourra pas produire en justice les éléments collectés via le système de surveillance, et perdra ainsi nécessairement son procès.

 

 

 

Quelques conseils 

 

Vous l’aurez compris, déclarer un fichier à la CNIL n’est pas toujours évident et ce d’autant que les logiciels développés peuvent apparaître très intrusifs.

Prenons par exemple la société TOM-TOM qui a développé un système de géolocalisation permettant de contrôler d’une part les déplacements des salariés, et d’autre part, les heures travaillées par ces derniers. Si l’objectif pratique de ce système est compréhensible, il a pour conséquence d’organiser un double contrôle des salariés : déplacements et temps de travail. Or, il n’est pas certain que ce double contrôle soit proportionné au but recherché.

Si tel était le cas, les données collectées à l’appui du système ne seraient pas utilisables contre les salariés.

 

Quelles questions préalables à la mise en place du système de surveillance ?

 

  • Le but du système de surveillance mis en place (contrôle du temps de travail ? contrôle des déplacements ?
  • La proportionnalité entre le contrôle que vous mettez en place et le but poursuivi : est-il trop intrusif, n’existe-t-il pas un autre moyen de contrôler l’activité de mes salariés etc. ?
  • La transparence vis-à-vis de vos salariés : je dois les informer par note de service.

 

Comment procéder ?

 

Vous pouvez choisir entre la déclaration normale et la déclaration simplifiée. La déclaration simplifiée permet de déclarer des finalités prédéterminées par la CNIL. Par exemple, si vous optez pour un système de badge, vous choisirez la déclaration « Norme simplifiée n°42 », dont les finalités sont :

  • Le contrôle des accès à l'entrée et dans les locaux limitativement identifiés de l'entreprise ou de l'administration faisant l'objet d'une restriction de circulation.
  • La gestion des horaires et des temps de présence.
  • Le contrôle de l'accès au restaurant d'entreprise ou administratif et la gestion de la restauration ainsi que la mise en place d'un système de paiement associé.
  • Le contrôle d'accès des visiteurs.

 

C’est le système de déclaration le plus simple. Toutefois, les systèmes de surveillance sont parfois plus complexes, et dépassent les seules finalités prévues au sein des déclarations simplifiées. Dans ce cas, il faut avoir recours à la Déclaration normale.

Vous disposerez alors de toute latitude pour définir avec précision la finalité ou l’objectif de votre traitement. Ainsi, selon le type de système que vous souhaitez mettre en place, sa complexité et l’intrusion qu’il constitue à l’égard de vos salariés, il conviendra de choisir la bonne déclaration, et de déclarer la bonne finalité.

N’hésitez pas à faire appel à un avocat en cas de questionnements sur la rédaction de votre charte de protection de données personnelles !

Besoin d’aide ?

Tatiana - photo rappel sales (blog)
Nos coachs entrepreneuriaux sont à votre écoute
Besoin de conseils sur votre projet ? De poser toutes vos questions de vive-voix ? Contactez-nous 🙂
Prendre un rendez-vous

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

5 min
RGPD : quelle est la procédure de sanction ?

Mais que se passe-t-il en cas de non-respect du RGPD ? Quelles sont les sanctions susceptibles d’être prononcées à l’égard des responsables de traitement qui ne respecteraient pas ses dispositions ?

5 min
L'éditeur de logiciel Saas face au RGPD, par Me Znaty

Quel est l'impact du RGPD sur l'éditeur Saas ? Quel est le statut de l'éditeur Saas face au RGPD : responsable de traitement ou sous-traitant ? Me Znaty répond à toutes ces questions.

5 min
Règlement général sur la protection des données (RGPD) : quel impact sur les conditions générales de vente (CGV) ?

La mise en conformité au RGPD implique de nombreuses mesures, notamment sur la rédaction des CGV. Mais les CGV e-commerce ne sont pas les seules visées : mentions légales, cookies, politique de confidentialité sont également indispensables pour votre site. Me Lefroy vous guide

5 min
La clause de confidentialité dans le contrat de travail

La clause de confidentialité permet de garantir qu'un salarié ne divulguera pas d'informations qui peuvent être vitales pour l’organisation d'une entreprise

5 min
Accord de confidentialité : pourquoi et comment le rédiger ?

L'’accord de confidentialité est un des outils phares de la protection d’information et du secret professionnel. Dans quel cas doit-on le signer ?

4 min
Les limites de la protection des données personnelles du salarié

Quelles sont les limites à la protection des données personnelles du salarié ? Sous quelle conditions l'employeur peut-il collecter ces informations ?

5 min
Qu’est-ce qu’une charte/politique de confidentialité ?

Une politique de confidentialité est un document ou un contrat qui expose les engagements de l’entreprise en matière de traitement des données personnelles des utilisateurs. Obligatoire dans le cadre de la conformité RGPD, Me Julien Smadja décrypte pour vous le contenu et l'importance de ce document.

2 min
Qu’est-ce que la charte des données personnelles d’un site internet ?

Lorsqu’un site internet requiert des informations personnelles de ses utilisateurs, la rédaction d'une charte des données personnelles est vivement conseillée.

3 min
RGPD : qui est concerné ?

Entrepreneur, dirigeant ou juriste d’entreprise, vous vous demandez si votre entreprise est concernée ? Devez-vous effectuer une mise en conformité avec le RGPD par rapport aux données à caractère personnel des citoyens ? Captain Contrat fait le point sur le RGPD.

Commentaires

Laisser un commentaire

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier