Vérifiez la conformité de la vidéosurveillance au RGPD

Actualité
Droit du travail RGPD

La période de tolérance de la CNIL envers les employeurs à l’égard de l’application du RGPD étant terminée, l’employeur doit appliquer complètement le RGPD et vérifier la conformité de son système de vidéosurveillance notamment.

Vérifiez la conformité de la vidéosurveillance au RGPD
Publié le
Télécharger en PDF

Respecter le code du travail et le RGPD

Un dispositif de surveillance des salariés, quel qu'il soit, doit être justifié, proportionné et respectueux de la vie privée.

Quand le système choisi répond à la définition d'un traitement de données personnelles, comme c'est le cas pour la vidéosurveillance, il doit aussi être conforme au RGPD et à la loi « Informatique et libertés ».

La mise en place de la vidéosurveillance doit répondre à un objectif légal et légitime.

Pour la CNIL, des caméras peuvent être disposées dans certaines parties d'un lieu de travail à des fins de sécurité des biens et des personnes, à titre dissuasif ou pour identifier les auteurs de vols, de dégradations ou d’agressions. Ainsi, des caméras peuvent être installées au niveau des entrées et sorties des bâtiments, des issues de secours et des voies de circulation. Elles peuvent aussi filmer les zones où de la marchandise ou des biens de valeur sont entreposés.

En revanche, pour la CNIL, la vidéosurveillance ne peut pas avoir pour finalité (ou pour conséquence de fait) la surveillance des salariés, sans raisons valables.

En conséquence, les caméras ne peuvent pas filmer les salariés sur leur poste de travail, sauf circonstances particulières, les zones de pause ou de repos des salariés, les toilettes, les locaux syndicaux ou des représentants du personnel et leur accès lorsqu’il mène à ces seuls locaux.

Le système de vidéosurveillance doit être inscrit au registre des activités de traitement quel que soit l'effectif de l'entreprise.

Si les caméras filment un lieu ouvert au public (ex. : comptoirs, caisses), le dispositif doit être autorisé par le préfet du département (le préfet de police à Paris).

Une analyse d'impact des données (AIPD) doit être faite avant de mettre en œuvre certains traitements de données personnelles, au nombre desquels ceux qui surveillent constamment l'activité des salariés. Pour la CNIL, une AIPD doit être faite pour la vidéosurveillance portant sur des salariés manipulant de l'argent ou pour la vidéosurveillance d'un entrepôt stockant des biens de valeur au sein duquel des manutentionnaires travaillent.

Protéger les données personnelles

L'employeur doit respecter l'ensemble des règles protectrices des données personnelles des salariés. En particulier, il doit veiller à ce que seules des personnes autorisées y aient accès.

 La CNIL en déduit que seules des personnes habilitées au titre de leurs missions ou de leurs fonctions doivent pouvoir accéder aux données personnelles des salariés et ce, dans la stricte limite de leurs attributions respectives et de l'accomplissement de ces missions et fonctions.

En matière de vidéosurveillance, la CNIL cite comme exemple le responsable de la sécurité de l'entreprise.

Les personnes habilitées doivent être formées et sensibilisées aux règles de mise en œuvre d’un système de vidéosurveillance.

Enfin, l'accès aux images doit être sécurisé pour éviter que tout le monde puisse les visionner.

Les données personnelles doivent être conservées « sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».

La CNIL indique pour les données personnelles des salariés qu'une durée de conservation précise doit être fixée en fonction de chaque finalité : ces données ne peuvent pas être conservées indéfiniment.

En matière de vidéosurveillance, la CNIL préconise de ne conserver les images que quelques jours (sauf circonstances exceptionnelles).

Informer les salariés

Avant de mettre en place la vidéosurveillance, l'employeur doit en informer les salariés.

Une fois les caméras installées, il doit aussi leur fournir certaines informations en application du RGPD : l'identité du responsable du traitement, les coordonnées du délégué à la protection des données, la finalité du traitement, les destinataires des données, la durée de conservation, l'existence du droit d'accès, etc. 

La CNIL préconise deux niveaux d'information :

Un premier niveau sous forme de panneau d'affichage dans les locaux sous vidéosurveillance pour informer les salariés et les visiteurs notamment :

  • De l’existence du dispositif ;
  • Du nom de son responsable ;
  • De la base légale du dispositif (ex. : l’intérêt légitime de l’employeur de sécuriser les locaux) ;
  • De la durée de conservation des images ;
  • De la possibilité d’adresser une réclamation à la CNIL ;
  • De la procédure à suivre pour demander l’accès aux enregistrements visuels les concernant.

La CNIL recommande de compléter ce panneau d'affichage par un second niveau d'information en rédigeant une note de service, une clause du règlement intérieur (ou de la charte informatique) ou en utilisant l'intranet de l'entreprise.

Enfin, même s'il ne s'agit pas d'une formalité prescrite par le RGPD, le CSE doit être informé et consulté avant l'installation des caméras.