Déclarations CNIL et mise en place de dispositifs de surveillance des salariés

Pascaline Kleim, Mélody Pellissier, Gaëtan Lefrançois

06/08/2014 - 11 min. de lecture

Déclarations CNIL et mise en place de dispositifs de surveillance des salariés - Cercle K2

Cercle K2 neither approves or disapproves of the opinions expressed in the articles. Their authors are exclusively responsible for their content.

La création d’une société constitue un pari sur l’avenir. Son développement suppose d’engager des fonds parfois significatifs et de mobiliser des moyens humains et techniques importants. Quoi de plus tentant, alors, pour un dirigeant que de vouloir surveiller l’activité de ses salariés ? Cette surveillance est toutefois susceptible d’entrainer un risque important d’atteinte au respect de leur vie privée.

C’est justement pour protéger la vie privée des administrés que le législateur a été conduit à adopter, en 1978, la loi Informatique et Libertés [1] et mis en place la Commission Nationale de l’Informatique et des Libertés (CNIL) chargée de veiller à son respect. Sous son impulsion, la liste des obligations déclaratives des entreprises, relativement au traitement des données ne cesse de croitre.

L’employeur, qui souhaite mettre en place un système pour obtenir des informations à caractère personnel sur ses collaborateurs, doit suivre des procédures strictement déterminées.

La première exigence requise consiste à présenter une demande d’autorisation des procédés captant des informations à caractère personnel à la CNIL. Ce contrôle permet de vérifier que ces procédés sont justifiés par un intérêt légitime (sécurité des salariés, protection des biens de l’entreprise), et proportionnés au but à atteindre. Afin de simplifier les démarches à effectuer, la CNIL permet aux usagers de réaliser ces formalités via son site internet (http://www.cnil.fr/vos-obligations/declarer-a-la-cnil).

À défaut de procéder à la déclaration préalable, l’employeur, responsable du traitement informatique et de la sécurité des données personnelles, s’expose à des sanctions pénales et civiles. La non-déclaration de traitement à la CNIL est punie de 5 ans d’emprisonnement et de 300.000 € d’amende [2]. Sur le plan civil, la non-déclaration rend le dispositif inopposable à la personne contrôlée et les données collectées ne pourront être utilisées contre elle.

Concrètement, le dispositif de contrôle pourra être mis en place dès la réception du récépissé délivré par la CNIL qui atteste que le dossier est complet.

À ce stade, une seconde exigence s’impose. L’employeur doit fournir une information individuelle au salarié et une information collective auprès des représentants du personnel.

1. Le comité d’entreprise, ou à défaut les représentants du personnel, doit être consulté préalablement à la mise en place du dispositif. Le comité d’entreprise doit recevoir, au moins un mois avant la réunion d’information des salariés, les informations sur le projet de mise en place du dispositif, ainsi que sur les conséquences qui en résultent.

2. Les salariés concernés doivent être informés de la mise en place du procédé et du caractère temporaire de la conservation des données enregistrées. Cette information peut être donnée au cours d'une réunion d’information ou faire l'objet d'une note au tableau d’affichage. À cette occasion, cinq éléments doivent être précisés aux salariés :

l’identité et l’adresse du responsable du traitement,
la ou les finalité(s) du traitement,
les données à caractère personnel traitées, leur origine et les catégories de personnes concernées par le traitement,
les destinataires de ces données,
l’existence d’un droit d’accès et de rectification et d’opposition et leurs modalités d’exercice.

Si un salarié souhaite s’opposer à ce que les informations nominatives la concernant fassent l’objet d’un traitement, il doit avancer des motifs légitimes. Dans ce cas, le responsable du traitement appréciera ces motifs. En cas de désaccord, le litige devra être tranché par le juge.

Cette procédure, commune à tous les procédés de surveillance mis en place, ne suffit pas toujours. Certains dispositifs nécessitent l’accomplissement de formalités complémentaires. Le non respect de celles-ci peut donner lieu à des sanctions. Le contentieux est généralement engagé par les salariés ou les syndicats. Les plaintes portent souvent sur la légitimité des fichiers et dispositifs de contrôle mis en œuvre : vidéosurveillance, géolocalisation, cybersurveillance et difficulté du droit d’accès au dossier professionnel [3].

Les différents dispositifs de surveillance à la disposition des employeurs seront abordés successivement en présentant, de façon synthétique, les objectifs poursuivis par chacun, puis les procédures de mise en oeuvre.

1. Badges électroniques

But du dispositif. Il s'agit de sécuriser l’accès à l’entreprise, retracer les horaires ainsi que la durée du travail de leur titulaire.

Condition de mise en place. La CNIL impose une déclaration préalable, puis une information individuelle et collective des salariés.

2. Gestion de la téléphonie mise à la disposition des salariés par l’entreprise

But du dispositif. Afin de connaitre l’utilisation qui est faite de la ligne, deux principales sources d’information sont disponibles : le relevé d’appels et les standards téléphoniques. Le responsable du traitement peut vérifier le relevé des communications téléphoniques, fourni par l’opérateur, même si l’utilisateur de la ligne n’en a pas été averti [4]. De même, les standards téléphoniques peuvent enregistrer tous les numéros de téléphone émis comme reçus sur une ligne ainsi que leur durée. « Ils peuvent donc révéler les communications non professionnelles effectuées depuis un poste individuel », explique la CNIL.

Condition de mise en place. Si ce dispositif a été régulièrement déclaré, il est possible de vérifier le relevé des appels passés à partir de chaque poste, même en l’absence d’information de l’utilisateur [5]. Ces règles s’appliquent uniquement lorsque le responsable de traitement procède à un contrôle ponctuel. Dès lors que le contrôle des relevés et du standard est systématique, l’utilisateur de la ligne doit être informé.

En revanche, pour les autres procédés de contrôle, tels que la vérification manuelle du téléphone, l’utilisateur doit toujours être informé préalablement ; néanmoins, son consentement n’est pas nécessaire. Il n’est possible d’accéder à ces informations qu’à titre exceptionnel, notamment lorsque l’utilisation du téléphone s’avère manifestement anormale. La CNIL refuse que l’accès aux données téléphoniques soit régulier.

Un traitement particulier est réservé aux représentants du personnel et aux représentants syndicaux, il n’est pas possible de contrôler leurs appels émis et reçus dans le cadre de leur mandat.

Concernant l’enregistrement des conversations téléphoniques, il est interdit d’écouter en permanence l’utilisateur de la ligne, sauf si une réglementation particulière l’impose (par exemple, pour le passage d’ordres dans les salles de marchés). Exceptionnellement, l’enregistrement du contenu de certains appels est autorisé en cas de nécessité et après consultation des instances représentatives du personnel. « Par exemple, les conversations peuvent être enregistrées, de manière ponctuelle, à des fins de contrôle qualité ou de formation », rappelle la CNIL.

Enfin, l’écoute d’une communication téléphonique réalisée par une partie à l’insu de son auteur des propos tenus constitue un procédé déloyal, rendant irrecevable sa production à titre de preuve. L’interlocuteur du salarié doit également être informé de cet enregistrement, par exemple par un message diffusé en début d’appel.

La CNIL recommande une conservation maximale de 6 mois pour les enregistrements effectués à des fins de formation. En revanche, les comptes rendus écrits relatifs à ces enregistrements téléphoniques peuvent être conservés un an.

3. Vidéosurveillance

But du dispositif. La vidéosurveillance concerne tout dispositif d’enregistrement vidéo numérique.

Condition de mise en place du dispositif. La procédure de mise en place d’un tel dispositif varie selon que la caméra filmera ou non un lieu ouvert au public. Si le lieu est ouvert au public (zones marchandes, espace d’entrée et de sortie, caisses, comptoirs etc.), le dispositif devra être autorisé par le préfet du département (préfet de police à Paris) [6]. Toutefois, si le lieu n’est pas ouvert au public (couloirs, zones de stockage, réserves etc.), une déclaration (dite « normale », par opposition à « simplifiée ») auprès de la CNIL sera nécessaire si l’image est enregistrée. Un tel dispositif ne doit en aucun cas est dirigé vers un poste de travail (caisses de supermarché, etc.).

Un autocollant, non équivoque (logo d’une caméra + mention de la loi n° 95-73), doit être présent dans les lieux surveillés. Les images récoltées ne pourront être conservées que pour une durée maximale d’un mois, après quoi elles devront être définitivement supprimées.

4. Géolocalisation

But du dispositif. Cette technologie permet de déterminer la localisation d’un objet ou d’une personne avec une certaine précision. Ce procédé est susceptible de situer la position du véhicule de fonction d’une personne dans le cadre de son activité itinérante afin de contrôler son trajet et la durée du travail.

Procédure. Une simple déclaration [7] suffit. Ce dispositif présente toutefois des limites :

Aucun autre moyen de contrôle du salarié ne doit exister [8].
Il ne doit concerner que des salariés ne disposant pas de liberté dans l’organisation de leur travail [9].
Il ne doit pas servir à contrôler la vitesse maximale du salarié.

En principe, la durée de conservation des informations et de deux mois.

5. Cybersurveillance

But du dispositif. La cybersurveillance permet de contrôler l’utilisation de la messagerie électronique ou de l’utilisation du navigateur internet. La CNIL considère qu’un dispositif qui permet d’analyser les données de connexion d’un salarié, la nature de ces connexions ou le temps global passé sur internet, est légitime et proportionnée. Elle précise que les marque-pages, « favoris » ou « bookmark » du navigateur ne constituent pas un espace personnel ou privé.

Procédure. Si le dispositif ne se limite pas à une surveillance globale mais permet une identification précise et individuelle de la personne ayant réalisé la connexion, le système de surveillance doit faire l’objet d’une déclaration préalable à la CNIL.

En revanche, les keyloggers, dispositifs particulièrement intrusifs sont interdits par la CNIL. Ces logiciels permettent d’enregistrer toutes les actions effectuées par les salariés sur leur poste de travail à leur insu. Or, s’il est reconnu que l’employeur peut fixer des conditions et contrôler l’utilisation des outils informatiques, la surveillance exercée sur les salariés ne doit pas être disproportionnée. Tel est le cas d’un système de traçage continu et permanent de l’activité. Un logiciel organisant une surveillance constante de l’activité informatique des salariés ne pourrait être justifié que par des circonstances exceptionnelles et un « fort impératif de sécurité », telle que la lutte contre la divulgation de secrets industriels.

6. Biométrie

But du dispositif. La biométrie regroupe l’ensemble des techniques informatiques permettant d’identifier un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales [10]. La mise en place d’un système biométrique assure la sécurité des personnes physiques, des biens et des installations et la confidentialité de certaines informations [11] au sein des institutions.

Procédure. Tout système biométrique doit en principe faire l’objet d’une autorisation préalable. La CNIL dispose alors d’un délai de deux mois (renouvelable une fois) à compter de la réception de la demande pour rendre sa décision.

Afin d’alléger les procédures, la CNIL a mis en place une simple autorisation unique dans certains cas limitativement énumérés :

les reconnaissances du contour de la main pour assurer le contrôle d’accès aux restaurants scolaires [12], aux locaux et à la restauration sur les lieux de travail [13] ;
la reconnaissance de l’empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée pour contrôler l’accès aux locaux professionnels [14];
la reconnaissance du réseau veineux des doigts de la main mis en œuvre aux fins de contrôle l’accès aux locaux sur les lieux de travail [15].

Les données recueillies relatives aux accès (membres de l’institution ou visiteurs) doivent être supprimées trois mois après leur enregistrement tandis que celles qui ont trait au suivi du temps de travail y compris aux motifs d’absence peuvent être conservées pendant cinq ans après le départ de la personne concernée.

7. Les alertes professionnelles (« whistleblowing »)

But du dispositif. Ce dispositif permet aux salariés d’une entreprise de signaler des problèmes d’ordre comptable ou financier, de corruption ou de droit de la concurrence, de discrimination, de harcèlement, de santé, sécurité et hygiène et de protection de l’environnement [16].

Procédure. En principe, une autorisation préalable est nécessaire. Aujourd’hui, la CNIL a mis en place un système d’autorisation unique (AU-004) permettant à l’établissement de réaliser une déclaration simplifiée à condition de respecter le cadre juridique posé par l’autorisation. Cette autorisation (AU-004) pose deux conditions :

les alertes sont limitées à certains domaines [17]; et
les alertes doivent répondre à une obligation légale ou à un intérêt légitime.

Restreint, l’accès aux données ne peut s’effectuer que par un identifiant, un mot de passe ou tout autre moyen d’identification. L’anonymat de l’émetteur doit être garanti. La conservation des données est limitée à deux mois.

8. La dispense de déclaration : le correspondant informatique et libertés (CIL)

But du dispositif. La désignation d’un CIL présente plusieurs intérêts :

L’entreprise désignataire, voulant mettre en place un dispositif faisant normalement l’objet d’une déclaration, en informera le CIL afin qu’il fasse les démarches nécessaires.
Le CIL est un interlocuteur privilégié puisque ses demandes sont traitées en priorité par la CNIL.

Cependant, sa désignation n’entraine aucun transfert de responsabilité lorsque le CIL agit dans le cadre de ses missions.

Procédure. D’une part, la fonction de CIL ne requiert aucun diplôme particulier (aujourd’hui, un certificat est proposé par le CNAM de Paris [18]). Une garantie d’indépendance est nécessaire. Ainsi, le responsable de traitement ou toute autre personne bénéficiant d’une délégation de pouvoir qui porterait au moins partiellement sur la gestion des fichiers ne peut pas être CIL. De même, le fait d’être investi d’un mandat de représentant du personnel ou de délégué syndical peut constituer un conflit d’intérêts avec les missions du CIL. La désignation du CIL peut se faire directement en ligne (http://www.cnil.fr/vos-obligations/declarer-a-la-cnil/mode-demploi/faut-il-declarer/designer-un-correspondant-vous-dispense-de-declaration/).

---

[1] www.cnil.fr/documentation/textes-fondateurs/loi78-17/

[2] C. Pén., Art 226-16.

[3] Rapport annuel CNIL, 2013.

[4] Cass. soc., 15 mai 2011

[5] Cass. soc., 29 janv. 2008

[6] Formulaire en ligne, https://www.televideoprotection.interieur.gouv.fr/gup/PhpVideo/TeleDeclaration/cnxAccueil.php

[7] Norme simplifiée n° 51.

[8] Cass. soc., 3 nov. 2011, n° 10-18036.

[9] Cass. soc, 3 nov. 2011

[10] « Biométrie : des dispositifs sensibles soumis à autorisation de la CNIL », site Internet www.cnil.fr.

[11] « Biométrie sur les lieux de travail », site Internet www.cnil.fr.