Par Louison CHARTIER, étudiante du Master 2 Droit des médias électroniques
Le 7 novembre 2023, la CNIL a prononcé 10 nouvelles sanctions pour un montant total de 97 000€ d’amende dans le cadre de sa nouvelle procédure de sanction simplifiée. Parmi les 10 condamnations, les manquements sont divers : atteinte à l’obligation de minimisation, absence d’information délivrée aux personnes de l’existence des traitements mis en œuvre ou encore manquement au droit d’opposition aux traitements de données personnelles.
Au titre de ces différentes condamnations, la CNIL a une nouvelle fois illustré l’efficacité de sa nouvelle procédure simplifiée et a rappelé l’importance du principe de minimisation des données en droit du travail notamment.
L’instauration par la CNIL de la procédure de sanction simplifiée
En janvier, puis avril 2022, la Commission nationale de l’informatique et des libertés (CNIL) a introduit une nouvelle procédure en cas de manquement au Règlement Général de Protection des Données de 2016 ou à la Loi Informatique et libertés de 1978 : la procédure de sanction simplifiée. En effet, pour désengorger la procédure ordinaire en formation restreinte qui peut recevoir des dizaines de milliers de plaintes par an, la CNIL a décidé de séparer en deux catégories la gravité des dossiers :
- les dossiers complexes resteront sous le régime de la procédure ordinaire ;
- tandis que les dossiers traitant de sujets ayant déjà été résolus par le passé ou ayant des questions de fait et de droit simples seront désormais soumis au régime de la procédure de sanction simplifiée.
Cette dernière est prévue par l’article L 22-1 de la Loi Informatique et libertés qui dispose que “Le président de la Commission nationale de l’informatique et des libertés peut, lorsqu’il estime que les conditions mentionnées aux deuxième et troisième alinéas sont réunies, engager les poursuites selon une procédure simplifiée. Le président de la formation restreinte ou l’un de ses membres désigné à cet effet statue seul sur l’affaire”.
Parmi les sanctions possibles, l’article précité en prévoit 3 types :
- Le rappel à l’ordre
- L’injonction de mise en conformité
- Une amende administrative ne pouvant pas excéder 20.000€
Parmi les 10 organismes condamnés, deux organismes l’ont été pour atteinte au principe de minimisation des données collectées au travail.
Le principe de minimisation des données en droit du travail
Le principe de minimisation de données a été introduit par le RGPD. Son article 5-1 c) dispose que ” Les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées”.
Or, dans le milieu du travail, l’employeur peut recourir à des dispositifs de traitement de données et notamment pour assurer la surveillance de ses salariés. Or, ces dispositifs peuvent parfois se révéler excessifs.
Par exemple, l’employeur peut utiliser des dispositifs de géolocalisation de ses salariés. Ce système avait d’ailleurs été un indice pour établir le lien de subordination entre le travailleur et l’employeur dans l’importante affaire Take It Easy de 2018. Pour rappel, la société Take It Easy était une plate-forme de livraison de repas et les livreurs à vélo étaient soumis au statut d’indépendant. Or, la géolocalisation utilisée par la plateforme pour surveiller le travail des livreurs avait été un indice suffisant pour requalifier le lien entre la plateforme et les travailleurs en contrat de travail et ainsi faire bénéficier les salariés de la protection du droit du travail.
Les techniques de géolocalisation des véhicules de salariés et de vidéosurveillance des salariés peuvent être utilisées par l’employeur. L’atteinte de ces mesures aux différents droits fondamentaux doit être proportionnelle.
D’abord, ces mesures portent atteinte au droit au respect de la vie privée prévu notamment aux articles 9 du Code civil au niveau national mais aussi par l’article 8 de la Convention de sauvegarde des Droits de l’Homme et des libertés.
Ensuite, l’article L 1121-1 du code du travail dispose que “Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché”.
Les données récoltées par les systèmes de géolocalisation et de surveillance doivent aussi respecter les principes de traitement de données au sens du RGPD.
Focus sur les limites de l’usage de la géolocalisation et la vidéosurveillance au travail
La géolocalisation est définie par la CNIL comme la “Technologie permettant de déterminer la localisation d’un objet ou d’une personne avec une certaine précision. La technologie s’appuie généralement sur le système GPS ou sur les interfaces de communication d’un téléphone mobile”
Toujours au sens de la CNIL, les dispositifs de vidéosurveillance “concernent des lieux non ouverts au public (locaux professionnels non ouverts au public comme les bureaux ou les réserves des magasins) et sont soumis aux dispositions de la loi « Informatique et Libertés »”.
Dans sa décision, la CNIL rappelle les différentes finalités qui peuvent justifier le système de géolocalisation au travail. Par exemple, cette mesure est justifiée pour assurer la sécurité de l’employé, pour suivre le temps de travail ou encore pour respecter une obligation légale et réglementaire. Par contre, elle précise qu’il n’est pas possible d’user ce dispositif “sans possibilité pour les salariés d’arrêter ou de suspendre le dispositif sur les temps de pause”.
Concernant la vidéosurveillance, le principe est que l’employeur ne peut pas filmer les postes de travail de ses employés, leur lieu de pause, de repos ou aux toilettes. Il existe des exceptions à l’interdiction de filmer leur poste de travail. Par exemple, une caméra peut filmer la caisse afin de contrôler la manipulation d’argent du caissier.
La CNIL précise dans cette décision que ” la prévention des accidents du travail et la constitution d’une preuve ne justifie pas la mise en œuvre de la vidéosurveillance en continu des postes de travail”.
Ces dispositifs doivent faire l’objet d’une consultation du Délégué à la protection des données de l’entreprise qui pourra réaliser à ce titre une analyse d’impact s’il l’estime nécessaire.
Dans tous les cas, ces deux mesures doivent respecter le RGPD ; notamment, les salariés doivent être informés de la mesure, ils doivent pouvoir demander l’accès aux données collectées et pouvoir désactiver les mesures. Ces mesures doivent avoir une finalité précise, légale et légitime et les données collectées étant sensibles, la durée de conservation sera limitée. En principe,
- les données collectées par un système de géolocalisation doivent être conservées 2 mois ;
- et celles collectées par le biais de système de vidéosurveillance doivent être conservées 1 mois.
Pour conclure, la CNIL a rappelé par cette décision que l’employeur doit limiter les différents dispositifs au sein de son entreprise au strict nécessaire. Les données personnelles collectées doivent être adéquates et pertinentes au regard des finalités poursuivies.