La vidéosurveillance envahit nos rues, nos transports en commun, nos entreprises et nos vies. Il existe évidemment des règles pour ne pas dépasser le trait. La Commission nationale informatique et liberté (Cnil) veille au grain. Gare aux amendes si on ne les respecte pas. Mais, au-delà, de graves problèmes peuvent survenir, notamment avec le personnel, et particulièrement en cas de sortie litigieuse. Car l’impact de la règlementation en matière de données personnelles sur le droit social peut produire des effets négatifs insoupçonnés.
Par Eric Schahl (Inlex Ip Expertise)
La chambre sociale de la Cour de cassation dans son arrêt du 23 juin 2021 a rendu une décision qui montre l’impact que peut avoir un non-respect des règles du Rgpd sur un litige prud’hommal. L’affaire portait ici sur le licenciement d’un salarié, en l’occurrence le cuisinier d’un restaurant, qui avait fait l’objet d’un avertissement par son employeur lui reprochant plusieurs absences injustifiées ainsi que des manquements aux règles d’hygiène et de sécurité en cuisine.
L’employeur l’informe à cette occasion de son souhait de mettre notamment en place rapidement un système de vidéosurveillance avec pour finalité d’éviter la reproduction des manquements commis par le salarié en cuisine. A la suite de son licenciement pour faute grave, le salarié a saisi la juridiction prud’hommale afin que son licenciement soit prononcé sans cause réelle et sérieuse, demandant que les images prises via la vidéosurveillance des cuisines du restaurant ne soient pas prises en compte en tant que preuves contre lui.
Et le salarié a obtenu gain de cause. En effet, la Cour de cassation a considéré que la cour d’appel avait justement retenu que le salarié, qui exerçait seul son activité en cuisine, était soumis à la surveillance constante de la caméra qui était installée dans cette cuisine et que les enregistrements issus de ce dispositif de surveillance ne pouvaient lui être opposés car ils étaient attentatoires à la vie personnelle du salarié et disproportionnés par rapport au but allégué par l’employeur (sécurité des personnes et des biens).
Cela signifie que, si l’employeur n’a pas communiqué d’information à ses salariés sur la vidéosurveillance en place, il ne pourra utiliser ces images comme preuves, par exemple dans le cadre d’un licenciement. Dans tous les cas, la surveillance permanente et constante du salarié est souvent considérée comme disproportionnée par rapport à la finalité recherchée. Il faut donc veiller à trouver un système équilibré de surveillance qui ne soit pas inutilement attentatoire à la vie privée des collaborateurs.
De nombreuses entreprises en France n’ont pas encore pris soin de travailler sur la conformité de leur traitement de données personnelles au Rgpd et à la loi Informatique et Libertés, malgré le fait que cette réglementation soit connue depuis 2016 et entrée en vigueur en 2018 soit depuis plus de 3 ans. Parmi les traitements les plus courants dans les entreprises se trouvent ceux liés à la vie des collaborateurs, qui sont le plus souvent rendus nécessaires par des obligations légales ou par les obligations contractuelles qui lient l’employeur à ses employés. On retrouve également de manière très fréquente la mise en place de systèmes de vidéosurveillance par les entreprises qui, dans l’objectif d’assurer la sécurité des biens et des personnes, viennent filmer (voir écouter) les salariés, de façon plus ou moins large et plus ou moins constante.
Strictement sur le plan du respect de la réglementation vie privée, la Cnil et les autres autorités européennes ont déjà eu souvent à se pencher sur la légalité des systèmes de vidéosurveillance mis en place par les entreprises et sont souvent venues reprocher la non-conformité des systèmes aux employeurs concernés.
A ce sujet, les griefs portent le plus souvent sur :
– les lieux filmés par les caméras/leur orientation : une décision de l’autorité suédoise du 10 juin 2021 condamnait ainsi le service des pompiers d’Östra Skaraborg qui filmait le vestiaire où les pompiers changeaient de vêtements,
– la permanence de la prise d’image : un restaurant a ainsi été condamné le 13 mai 2021 par l’Autorité norvégienne pour avoir filmé la salle de restaurant (donc les clients et employés) en continu, 24h/24,
– la durée de conservation des données : la Cnil avait par exemple mis en demeure l’Institut des techniques informatiques et commerciales (Itic) de réduire à 30 jours la durée de conservation des images,
– l’absence de contrat conforme avec le sous-traitant ayant accès aux données : la société Boutique. Aéro a été mise en demeure par la Cnil en novembre 2019 notamment pour cette non-conformité,
– l’accès aux images par des personnes non autorisées : les étudiants d’une école sanctionnée en 2018 accédaient instantanément aux images des caméras des locaux via l’intranet.
– l’information absente ou insuffisante des personnes concernées : en Finlande une société de taxi a été sanctionnée en mai 2020 avec une amende de 72 000 euros car l’information communiquée n’était pas suffi sante, notamment sur le fait que les conversations étaient enregistrées ou sur la façon d’obtenir des informations complémentaires sur les données ainsi collectées. En juin 2019, la Cnil condamnait également une société de traduction constatant qu’elle n’avait fourni aucune information formelle aux salariés concernant le dispositif de vidéosurveillance mis en place.
Ceci étant, dans les affaires concernant la vidéosurveillance des salariés, on constate que les sanctions de la Cnil sont souvent assez faibles financièrement, ou même le plus souvent limitées à des mises en demeure de se mettre en conformité.
Pourtant dans ce type d’affaire, le risque pris par les entreprises peut dépasser la réglementation vie privée et impacter d’autres secteurs du droit, tel que le droit social.
Ce que l’on peut en retenir :
Evidemment, les entreprises ont tout intérêt à mettre leurs activités de traitement de données personnelles en conformité avec la réglementation et il est prudent de ne pas laisser traîner ce sujet qui peut engendrer des procédures de contrôles longues et stressantes engagées par la Cnil, voir des mises en demeure, des amendes et une mauvaise image pour l’entreprise sanctionnée publiquement. Mais en dehors même des risques vis-à-vis de la réglementation vie privée, le risque pris par les entreprises ne se limite pas à une potentielle amende de la Cnil.
En effet, le respect de la règlementation en matière de données personnelles peut également avoir un impact en droit social et des effets négatifs insoupçonnés par exemple dans la gestion de la sortie litigieuse d’un collaborateur.