Respecter le code du travail et le RGPD
Un dispositif de surveillance des salariés, quel qu'il soit, doit être justifié, proportionné et respectueux de la vie privée.
Quand le système choisi répond à la définition d'un traitement de données personnelles, comme c'est le cas pour la vidéosurveillance, il doit aussi être conforme au RGPD et à la loi « Informatique et libertés ».
La mise en place de la vidéosurveillance doit répondre à un objectif légal et légitime.
Pour la CNIL, des caméras peuvent être disposées dans certaines parties d'un lieu de travail à des fins de sécurité des biens et des personnes, à titre dissuasif ou pour identifier les auteurs de vols, de dégradations ou d’agressions. Ainsi, des caméras peuvent être installées au niveau des entrées et sorties des bâtiments, des issues de secours et des voies de circulation. Elles peuvent aussi filmer les zones où de la marchandise ou des biens de valeur sont entreposés.
En revanche, pour la CNIL, la vidéosurveillance ne peut pas avoir pour finalité (ou pour conséquence de fait) la surveillance des salariés, sans raisons valables.
En conséquence, les caméras ne peuvent pas filmer les salariés sur leur poste de travail, sauf circonstances particulières, les zones de pause ou de repos des salariés, les toilettes, les locaux syndicaux ou des représentants du personnel et leur accès lorsqu’il mène à ces seuls locaux.
Le système de vidéosurveillance doit être inscrit au registre des activités de traitement quel que soit l'effectif de l'entreprise.
Si les caméras filment un lieu ouvert au public (ex. : comptoirs, caisses), le dispositif doit être autorisé par le préfet du département (le préfet de police à Paris).
Une analyse d'impact des données (AIPD) doit être faite avant de mettre en œuvre certains traitements de données personnelles, au nombre desquels ceux qui surveillent constamment l'activité des salariés. Pour la CNIL, une AIPD doit être faite pour la vidéosurveillance portant sur des salariés manipulant de l'argent ou pour la vidéosurveillance d'un entrepôt stockant des biens de valeur au sein duquel des manutentionnaires travaillent.
Protéger les données personnelles
L'employeur doit respecter l'ensemble des règles protectrices des données personnelles des salariés. En particulier, il doit veiller à ce que seules des personnes autorisées y aient accès.
La CNIL en déduit que seules des personnes habilitées au titre de leurs missions ou de leurs fonctions doivent pouvoir accéder aux données personnelles des salariés et ce, dans la stricte limite de leurs attributions respectives et de l'accomplissement de ces missions et fonctions.
En matière de vidéosurveillance, la CNIL cite comme exemple le responsable de la sécurité de l'entreprise.
Les personnes habilitées doivent être formées et sensibilisées aux règles de mise en œuvre d’un système de vidéosurveillance.
Enfin, l'accès aux images doit être sécurisé pour éviter que tout le monde puisse les visionner.
Les données personnelles doivent être conservées « sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».
La CNIL indique pour les données personnelles des salariés qu'une durée de conservation précise doit être fixée en fonction de chaque finalité : ces données ne peuvent pas être conservées indéfiniment.
En matière de vidéosurveillance, la CNIL préconise de ne conserver les images que quelques jours (sauf circonstances exceptionnelles).
Informer les salariés
Avant de mettre en place la vidéosurveillance, l'employeur doit en informer les salariés.
Une fois les caméras installées, il doit aussi leur fournir certaines informations en application du RGPD : l'identité du responsable du traitement, les coordonnées du délégué à la protection des données, la finalité du traitement, les destinataires des données, la durée de conservation, l'existence du droit d'accès, etc.
La CNIL préconise deux niveaux d'information :
Un premier niveau sous forme de panneau d'affichage dans les locaux sous vidéosurveillance pour informer les salariés et les visiteurs notamment :
- De l’existence du dispositif ;
- Du nom de son responsable ;
- De la base légale du dispositif (ex. : l’intérêt légitime de l’employeur de sécuriser les locaux) ;
- De la durée de conservation des images ;
- De la possibilité d’adresser une réclamation à la CNIL ;
- De la procédure à suivre pour demander l’accès aux enregistrements visuels les concernant.
La CNIL recommande de compléter ce panneau d'affichage par un second niveau d'information en rédigeant une note de service, une clause du règlement intérieur (ou de la charte informatique) ou en utilisant l'intranet de l'entreprise.
Enfin, même s'il ne s'agit pas d'une formalité prescrite par le RGPD, le CSE doit être informé et consulté avant l'installation des caméras.
Découvrir aussi : Protection des données personnelles : le RGPD Dossier synthèse
Assurez-vous d'être en conformité vis-à-vis du RGPD et évitez les sanctions Découvrez et respectez les droits et les devoirs de votre entreprise et de vos salariés en la matière Bénéficiez de nombreux documents inclus : modèles de lettres et de documents, notes d'informations ... Retrouvez notre livret à distribuer, au format PDF, afin de sensibiliser vos salariés au RGPD
Découvrir aussi : Livret RGPD à distribuer à vos salariés Livret et dépliant
Apportez de manière précise et concise l’essentiel des informations sur le RGPD à vos salariés Responsabilisez les salariés en mettant en avant leurs droits et devoirs vis-à-vis de ce nouveau règlement Assistez la transition de toute l’entreprise vers une bonne application du RGPD
Découvrir aussi : Contrôler l'activité des salariés Procédure RH
Découvrez ce que vous pouvez faire, ou non, pour contrôler l'activité de vos salariés Mettez en place différents dispositifs de surveillance dans le respect des règles Pour toutes vos démarches, aidez-vous des modèles de lettres et de documents inclus