Menu

Parce que les besoins de conformité diffèrent d’une structure à l’autre,
DATACY propose des solutions adaptées à votre organisation et à votre secteur d’activité.  

Votre devis en un clic

Menu
Vous êtes ici : Accueil > Actualités > Sécurité et Protection de la vie privée en entreprise : vers une évolution du rapport de force ?

Sécurité et Protection de la vie privée en entreprise : vers une évolution du rapport de force ?

Le 05 novembre 2019
Sécurité et Protection de la vie privée en entreprise :  vers une évolution du rapport de force ?

Assurer la sécurité au sein d’une entreprise pour un employeur n’est pas seulement une obligation légale (articles L.4121-1 à L.4121-5 du code du travail), elle est parfois nécessaire à la poursuite même de son activité.

L’article L. 4121-1 du code du travail dispose à cet égard que « l'employeur prend les mesures nécessaires pour assurer la sécurité et protéger la santé physique et mentale des travailleurs ».

La sécurité comprend, bien évidemment, la protection physique des biens et des personnes, (badges, vidéo surveillance, enregistrement des visiteurs, dispositifs de géolocalisation, etc.) mais, également, la vérification des aptitudes (les salariés doivent disposer des compétences et/ou qualifications pour exercer leur travail), la protection du secret des affaires (surveillance des correspondances et/ou des messageries), la sécurité contre les virus et autres attaques informatiques (identification des connexions), etc.

La question de la proportionnalité entre ces différents dispositifs et la protection de la vie privée est traditionnellement examinée à la lumière de la « balance des intérêts » entre ces deux droits fondamentaux. Si l’application de ce principe a longtemps pesé en faveur de la sécurité, cela est de moins en moins le cas à mesure que  le droit à la protection de ses données personnelles s’affirme comme un « droit de l’Homme » au soutient du respect de la protection de sa vie privée. 

D’anciennes questions ranimées par le RGPD

La question de la protection de la vie privée dans le cadre de la relation salariale n’est, en effet, pas nouvelle. En France, les premiers contentieux ont vu le jour avec le déploiement des outils numériques au sein des entreprises (messageries électroniques, utilisations de badges et moyens d’identification, vidéo-surveillance, géolocalisation, etc.).

Les premières décisions remontent aux débuts des années 2000 avec la jurisprudence Nikon. La protection de la vie privée reposait alors sur le fondement de l’article 9 du code civil et, au niveau européen, sur celui de l’article 8 de la Convention européenne des droits de l’Homme.

Aujourd’hui, la frontière entre la vie personnelle et la vie professionnelle se réduit encore davantage en raison, notamment, de la pratique répandue du BYOD (Bring your own device). Les entreprises ont également de plus en plus recours à des technologies particulièrement invasives (identification biométrique) et de nombreux croisements de données sont aussi réalisés (récupération de données d’autres bases de données à des fins de contrôles, de vérification…). La CNIL, particulièrement vigilante sur ces questions, sensibilise les employeurs à l’aide de de nombreuses recommandations diffusées sur son site internet.

En revanche, les conséquences de la réglementation sur la protection de la vie privée sur la relation salariale ont, quant à elles, évoluées. En effet, le RGPD est devenue une arme de plus en plus utilisée par les salariés (et les candidats) dans le cadre des conflits et contentieux salariaux contre les employeurs laxistes avec la réglementation…

Un travail d’analyse des risques, de la proportionnalité des données collectées et d’information s’impose

Deux jurisprudences récentes permettent d’éclaircir la méthode d’analyse et la mise en œuvre pratique de la balance des intérêts entre la protection de la vie privée et de la sécurité. 

Pour ces deux cas d’espèce, la collecte des données personnelles des salariés par l’employeur a été reconnue comme légitime et proportionnée.

 La mise en place d’une surveillance secrète

Cette décision a été rendue par la Cour européenne des droits de l’Homme le 17 octobre 2019. Cette affaire prenait place en Espagne où 5 salariés dénonçaient le recours par leur employeur, à des fins de licenciement de l’utilisation de dispositifs de vidéo-surveillance secrets, selon eux en violation des articles 8 de la CESDH (le droit au respect de la vie privée) ainsi que l’article 6 de la CESDH (sur l’admission de preuves au cours de la procédure des enregistrements obtenus grâce à des moyens de vidéo-surveillance).

Les salariés en question occupaient les postes de caissières ou de vendeurs. Le directeur du magasin constata des pertes de plusieurs dizaines de milliers d’euros. Dans le cadre d’une enquête destiné à connaître les responsables de ces pertes, le directeur disposa des caméras de surveillance visibles et d’autres dissimulées. Les salariés avaient reçu une information pour la mise en place des caméras visibles mais par pour celles cachées.

La Cour rappelle les critères pour analyser la proportionnalité de ces mesures de vidéo-surveillance sur le lieu de travail et les différents facteurs devant être mis en balance : 

1) L’information : "l’employé a-t-il été informé de la possibilité que l’employeur prenne des mesures de vidéosurveillance ainsi que de la mise en place de telles mesures ? Si, en pratique, cette information peut être concrètement communiquée au personnel de diverses manières, en fonction des spécificités factuelles de chaque cas, l’avertissement doit en principe être clair quant à la nature de la surveillance et préalable à sa mise en place"

2) L’étendue : "quels ont été l’ampleur de la surveillance opérée par l’employeur et le degré d’intrusion dans la vie privée de l’employé ? À cet égard, il convient de prendre en compte notamment le caractère plus ou moins privé du lieu dans lequel intervient la surveillance, les limites spatiales et temporelles de celle-ci, ainsi que le nombre de personnes ayant accès à ses résultats".

3) Les justifications : "l’employeur a-t-il justifié par des motifs légitimes le recours à la surveillance et l’ampleur de celle-ci ? Sur ce point, plus la surveillance est intrusive, plus les justifications requises doivent être sérieuses."

4) La minimisation : "était-il possible de mettre en place un système de surveillance reposant sur des moyens et des mesures moins intrusifs ? À cet égard, il convient d’apprécier en fonction des circonstances particulières de chaque espèce si le but légitime poursuivi par l’employeur pouvait être atteint en portant une atteinte moindre à la vie privée du salarié."

5) Les conséquences : "quelles ont été les conséquences de la surveillance pour l’employé qui en a fait l’objet ? Il convient notamment de vérifier de quelle manière l’employeur a utilisé les résultats de la mesure de surveillance et s’ils ont servi à atteindre le but déclaré de la mesure."

6) Les garanties mises en œuvre : "l’employé s’est-il vu offrir des garanties adéquates, notamment lorsque les mesures de surveillance de l’employeur avaient un caractère intrusif ? Ces garanties peuvent être mises en œuvre, parmi d’autres moyens, par l’information fournie aux employés concernés ou aux représentants du personnel sur la mise en place et sur l’ampleur de la vidéosurveillance, par la déclaration de l’adoption d’une telle mesure à un organisme indépendant ou par la possibilité d’introduire une réclamation."

(Point 116).

La Cour vérifie donc la manière dont les juridictions internes ont mis en équilibre les différents intérêts.

- La mise en place de la vidéosurveillance se justifiait par des raisons légitimes, à savoir les soupçons, nourris par le directeur du magasin en raison des pertes importantes constatées sur plusieurs mois, que des vols avaient été commis (point 123) ;

- Elles ont également tenu compte de l’intérêt légitime pour l’employeur d’adopter des mesures afin de découvrir les responsables des pertes constatées et de les sanctionner, dans le but d’assurer la protection de ses biens et le bon fonctionnement de l’entreprise (point 123) ;

- La mesure était limitée en ce qui concernait les espaces et le personnel surveillés – puisque les caméras ne couvraient que les caisses, susceptibles d’être à l’origine des pertes constatées (point 124) ;

- Sa durée dans le temps n’avait pas dépassé ce qui était nécessaire pour confirmer les soupçons de vol (point 124) ; la Cour relève que si, comme l’avancent les requérantes, l’employeur n’avait pas au préalable fixé la durée de la vidéosurveillance, dans les faits celle-ci a duré dix jours et a cessé dès que les employés responsables ont été identifiés (point 126).

- Pour ce qui est des conséquences de la surveillance litigieuse pour les requérantes, la Cour constate que celles-ci ont été importantes puisque les intéressées ont été licenciées sur la base des enregistrements obtenus par ce moyen. Elle observe néanmoins, comme l’ont également relevé les juridictions internes, que la vidéosurveillance et les enregistrements n’ont pas été utilisés par l’employeur à d’autres fins que celle de trouver les responsables des pertes de produits constatées et de les sanctionner (point 127).

Concernant le fait que les salariées n’aient pas été informées de l’ensemble des mesures de surveillance « Elle rappelle cependant que l’information donnée à la personne faisant l’objet d’une surveillance et son ampleur ne sont que l’un des critères à prendre en compte pour apprécier la proportionnalité d’une telle mesure dans un cas donné. Toutefois, si une telle information fait défaut, les garanties découlant des autres critères revêtiront d’autant plus d’importance. ». (Point 131).

Cette décision peut surprenante à plusieurs égards, notamment quant à la nécessité d’informer les personnes avant la mise en œuvre d’un traitement de données personnelles.

 

Cependant, la Cour rappelle que l’appréciation se fait toujours in concreto, et relève qu’au regard des « circonstances particulières de l’espèce, eu égard notamment au degré d’intrusion dans la vie privée des requérantes et aux raisons légitimes ayant motivé la mise en place de la vidéosurveillance, la Cour estime que les juridictions du travail ont pu, sans dépasser la marge d’appréciation dont disposent les autorités nationales, considérer que l’atteinte à la vie privée des requérantes était proportionnée » (point 134). (…)  Cela est d’autant plus vrai dans une situation où le bon fonctionnement d’une entreprise est mis à mal par des soupçons d’irrégularités commises non par un seul employé mais par l’action concertée de plusieurs employés, dans la mesure où cette situation a pu créer un climat général de méfiance dans l’entreprise. (Point 134).

Il n’y a donc pas de violation de la CESDH et l’employeur pouvait, ains, mettre en place une surveillance secrète de ses salariés dans sa situation particulière.

 

L’accès aux fichiers du permis de conduire par l’employeur

Cette seconde décision nous vient du droit national, cette fois par le Conseil d’Etat le 24 octobre 2019. Cette décision est rendue dans le contexte de l’élargissement des conditions d’accès aux fichiers du permis de conduire par un décret du 24 mai 2018, permettant ainsi aux responsables d’entreprises de transports de consulter les données personnelles relatives aux permis de conduire de leurs conducteurs.

L’article L.225-4 et L.225-5 du code de la route ainsi que l’article L.222-1 du code de la sécurité fixent la liste des catégories de personnes autorisées à accéder au système national de permis de conduire ainsi que les modalités de cet accès.

La fédération des transports et de la logistique FO-UNCP demande l’annulation pour excès de pouvoir du décret du 24 mai 2018 précisant les conditions d’accès aux informations des traitements de données à caractère personnel relatifs au permis de conduire et à la circulation des véhicules.

Cependant, le Conseil d’Etat relève que (au point 9)

-Les entreprises de transports ainsi que leur personnel habilité doivent pouvoir s’assurer de la validité du permis de conduire des personnes qu’elles emploient comme chauffeur, ce qui constitue un objectif de sécurité routière (encadré par Décret) ;

- De plus, ces personnes habilitées bénéficient d’un accès direct aux données personnelles afférentes aux permis de conduire, la teneur des données concernées reste limitée aux informations relatives à l’existence, la catégorie et la validité du permis de conduire, à l’exclusion du nombre de points affectés au conducteur et des éventuelles infractions pénales que celui-ci aurait pu commettre ;

- Ensuite, la finalité de sécurité routière poursuivie par le législateur ne pourrait pas être atteinte par le biais d’un accès intermédié des personnels habilités de ces entreprises, compte tenu du volume potentiel des demandes qui seraient susceptibles d’être adressées à l’autorité administrative ;

- Enfin, l’accès, dûment sécurisé en application de la loi du 6 janvier 1978 dans sa rédaction alors applicable, aux données concernées est limité aux seules personnes habilitées et individuellement désignées des entreprises de transport routier de voyageurs ou de marchandises et est assorti de sanctions pénales.

Le Conseil d’Etat a rejeté la requête de la Fédération des transports et le décret respecte la proportionnalité entre la protection des données personnelles des salariés et la nécessité pour les employeurs d’assurer la sécurité de son activité.

Ces deux arrêts pris en faveur des intérêts des employeurs sont pourtant salutaires en ce qu’ils réaffirment que la protection des données doit être pris dans son ensemble, au cas par cas, en prenant également en compte les intérêts de l’employeur à poursuivre une activité économique normale, sous réserve de la mise en œuvre de garde-fous suffisants.