La fin de l’incognito…

dans , ,
Lire la suite

Le RGPD, C’est pas la mer à boire !

dans ,

Ayez le vent en poupe ! Pensez votre conformité comme un atout plus qu’un fardeau.

Alors que la législation française encadrait déjà les activités de traitement de données personnelles depuis plus de quarante ans[1], l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018 a été vécue par de nombreux organismes comme un véritable raz-de-marée.

Beaucoup d’entre eux y ont vu une vague d’obligations légales s’ajoutant à celles déjà existantes, et une entrave de plus à la poursuite de leurs activités.

Face à ces nouvelles exigences, il vous est possible d’adopter deux comportements :

  • Soit vous décidez de nager à contre-courant, vous épuisant à instaurer les règles minimales imposées par les textes, sans convictions.
  • Soit vous choisissez de vous laisser happer par cette nouvelle dynamique insufflée par le RGPD, en essayant de comprendre le sens de la marée pour ne pas vous laisser balloter par les flots.

Nous vous conseillons évidemment d’opter pour cette seconde philosophie. Après tout, « c’est pas l’homme qui prend la mer, c’est la mer qui prend l’homme » Tintintin. (Renaud)

Car, au-delà de leur caractère impératif, ces dispositions, constituent, une véritable opportunité pour votre organisme si elles sont correctement appréhendées.

Votre conformité ? Un gage d’efficacité et de compétitivité incontestable !

L’application quotidienne des grands principes édictés par le RGPD s’inscrit dans les démarches d’amélioration continue mises en œuvre par votre structure.

Le règlement européen érige ainsi en règle fondamentale la « minimisation des données ». Autrement dit, seules doivent être collectées les données pertinentes au regard de l’utilisation qui en est faite.

Et, même si cela coule de source : qui dit moins de données recueillies, dit moins de risques de violation de la législation.

 

Afin de concrétiser ce principe, il appartient à votre organisme de dresser une cartographie de ses flux de données, entité par entité, service par service : quelles informations sont recueillies ? Dans quel but ? A qui sont-elles transmises et conservées ? Comment ?

Cette revue est l’occasion de vous interroger sur la pertinence de certaines de vos activités ou process.

Or, réduire au strict nécessaire le nombre d’informations à traiter, d’intermédiaires les manipulant ou encore le nombre d’étapes d’exploitation de ces renseignements, participe à optimiser le fonctionnement de votre structure.

 

Exemple : Inutile de demander à des prospects de remplir sur une fiche papier, retranscrite manuellement ensuite dans un fichier informatique, leurs coordonnées et leur état civil complets, si l’objectif n’est que d’être en mesure de les joindre par la suite. Un simple formulaire de contact en ligne comportant un pseudonyme et une adresse e-mail suffit !

Le RGPD réaffirme également le principe d’exactitude des données. Or, détenir des informations mises à jour est évidemment dans l’intérêt de votre entité.

[1]  Notamment sur le fondement de la loi n°78-17 du 6 janvier 1978 dite « Informatique et Libertés », encore applicable de nos jours dans sa version modifiée.

Finis les rappels malencontreux d’anciens clients, qui plus est avec qui vous seriez en mauvais termes, au prétexte que leur numéro figurerait toujours sur vos annuaires, alors que le règlement interdit tout rappel de clients restés sans contact positif depuis plus de 3 ans. La CNIL vous a lancé une bouée dans un référentiel dédié.

Le RGPD oblige à une gestion efficace de vos traitements de données, et par là même de vos outils de travail – tant informatiques que les supports papier.

Votre conformité ? Un atout commercial indéniable !

Face à l’essor des appels indésirables, formulaires d’inscription ou newsletters non sollicitées, le respect de l’intimité des clients est devenu pour ces derniers un véritable critère de sélection.

Par définition, les obligations prescrites par le RGPD tendent à préserver le droit à la vie privée des individus concernés par le traitement de leurs données personnelles.

 

Informer clairement vos interlocuteurs (clients, prospects, fournisseurs) de ce que vous faites des informations qu’ils vous confient, et répondre rapidement et sans ambiguïté à leurs demandes d’exercice de droits – comme le prévoit les textes – répond à ces nouvelles attentes de transparence.

Prévoyez des outils permettant à vos clients de reprendre la main sur leurs données par le biais de leur compte client : s’abonner ou se désabonner à vos newsletters et offres promotionnelles, paramétrer les outils de communication (mail, sms, courriers) ou encore permettre la mise à jour de leurs données.

En favorisant la confiance du public dans votre capacité à assurer la sécurité de leurs données, vous renforcez d’autant votre image de marque… Et vous vous démarquez de vos concurrents qui auraient échoué sur ce point !

 

Votre conformité ? Un outil de navigation précieux !

Le responsable de traitement est tenu de prendre toutes les mesures de sécurité juridiques, physiques et logiques nécessaires pour assurer la protection des données qu’il exploite.

Cette obligation de prévenir les failles de sécurité et les cyberattaques n’est pas futile. Bien au contraire !

Ces événements malheureux inhibent l’exercice régulier de vos missions. Ils mobilisent d’importants moyens pour les résoudre. Une perte de temps, d’énergie et d’argent que votre organisme peut s’épargner si vous anticipez correctement ces éventuelles perturbations.

Organiser la maintenance de vos réseaux informatiques pour empêcher tout dysfonctionnement, mettre en place des dispositifs de détection des incidents de sécurité, adopter une procédure sur les démarches à suivre pour assurer la continuité et la reprise de vos activité en cas de crise… sont des formalités, directement déduites des dispositions du RGPD, qui contribuent à éviter ces récifs.

La législation en vigueur en matière de protection des données constitue ainsi une opportunité de sécuriser votre patrimoine informationnel, qui compose votre capital immatériel.

Exemple : Le RGPD vous impose de ne conclure de partenariats qu’avec des sous-traitants présentant des garanties suffisantes en termes de conformité. Cette précaution permet de s’assurer que vos prestataires ne révéleront pas, volontairement ou involontairement, diverses informations vous distinguant de vos concurrents sur le marché.

Il peut s’agir de protéger des renseignements d’ordre technique (secrets de fabrication, savoir-faire…), juridique, financier (bilan comptable), commercial (stratégie de développement, fichiers clients, résultat d’études de marché, négociations en cours, carnet de commandes…) ou encore humain (contexte social de l’entreprise).

Votre conformité donne donc à votre entreprise les moyens de se développer en toute sérénité.

Votre conformité ? Une méthode de gestion des risques inévitable !

 

L’autorité de contrôle en matière de protection des données[2] est habilitée à prononcer de nombreuses sanctions en cas de violation de vos obligations. Ces condamnations peuvent aller jusqu’à une limitation temporaire ou définitive du traitement de données constituant le cœur de votre activité ! Sans compter les risques de poursuites pénales, si ces faits sont constitutifs d’une infraction.

Ces décisions seraient synonymes d’un véritable naufrage pour vos projets, que l’on ne vous souhaite pas…

 

Ces décisions seraient synonymes d’un véritable naufrage pour vos projets, que l’on ne vous souhaite pas…

Si des manquements au RGPD vous étaient imputés, ceux-ci pourraient également impacter l’équilibre économique de votre organisme.

A cet égard, les amendes administratives susceptibles de vous être infligées ne sont pas les seules menaces pesant sur vos finances.

Au même titre que les déclarations fiscales, sociales ou environnementales, votre conformité entre dans le cadre des garanties dont vous seriez redevables dans l’hypothèse d’une cession ou d’une fusion-acquisition de votre société.

Elle constitue donc, à l’inverse, un élément de valorisation de votre entreprise dans le cadre de ces négociations, et évite un auto-sabordage.

Enfin, les échos de votre éventuelle non-conformité seraient de nature à porter considérablement atteinte à votre réputation. Ils amenuiseraient votre attractivité aux yeux de vos partenaires commerciaux.

Mais non ! Respecter le RGPD, ce n’est pas la mer à boire !

L’esprit du texte européen vise à inciter les responsables de traitement à adopter des mesures adaptées au risque.

Il est davantage question d’insuffler des réflexes et des processus conformes aux principes essentiels du RGPD, plutôt que d’appliquer sans réfléchir des doctrines incomprises. Autrement dit : du bon sens et de l’intérêt pour le sujet, plutôt que l’instauration de formalités purement protocolaires et de dispositifs techniques inappropriés.

Face à cette marge de manœuvre qui vous est octroyée, à vous de décider des meilleurs moyens pour ancrez profondément dans votre organisme une « logique » RGPD, tout en gardant le cap sur vos stratégies de développement !

Larguez les amarres ! Formez-vous et faîtes vous accompagner par des professionnels pour comprendre véritablement l’essence de la législation en vigueur en matière de protection des données, ainsi que sa concrétisation dans votre propre structure.

[2] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

L.H

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

 

RGPD et Polémique…

dans ,

« Affaire Benalla », volet RGPD : profilage politique et énième polémique

 

Le 18 juillet 2018, le journal « Le Monde » révélait l’identité de l’homme casqué filmé en train de frapper avec violence un manifestant lors des traditionnels cortèges du 1er mai : Alexandre Benalla, adjoint au chef du cabinet du Président de la République.

La réaction des citoyens et internautes face à la sanction clémente prononcée à son encontre (15 petits jours de mise à pied) fut sans précédents. Le début d’un quasi scandale d’État.

L’affaire connaît un nouveau rebondissement avec la condamnation d’une association belge ayant enquêté sur les retentissements médiatiques de ces événements.

QUI ? L’autorité de contrôle belge (l’APD[1]), en collaboration avec son homologue française (la CNIL[2]), a sanctionné le 27 janvier 2022 le collectif EU DisinfoLab et l’un de ses chercheurs.

Selon ses statuts, l’association a notamment pour objet de lutter contre le phénomène des ‘fake news’ dans les médias. Or, en voulant combattre la désinformation, EU DisinfoLab et son bénévole ont eux-mêmes traité illégalement de nombreuses informations…

QUOI ? – EU DisinfoLab tentait de comprendre les raisons de l’hyperactivité générée par l’affaire Benalla sur les réseaux sociaux, en particulier sur l’application Twitter.  Elle s’interrogeait entre autre sur l’orientation politique des auteurs de ces « tweets ».

Or, avant même que ses résultats ne soient publiés, l’intégrité scientifique de l’étude était contestée. Il lui était reproché de chercher à démontrer à tout prix l’existence d’un complot russe dans cette surexposition médiatique.

Afin de démontrer la fiabilité de sa méthodologie, l’adhérent-chercheur d’EU DisinfoLab décidait de sa propre initiative… de publier purement et simplement ses bases de données !

l’adhérent-chercheur d’EU DisinfoLab décidait de sa propre initiative… de publier purement et simplement ses bases de données !  Les renseignements personnels de plus de 55.000 utilisateurs de Twitter et de près de 3.300 comptes ont ainsi été diffusés, catégorisés selon leurs préférences politiques. Le contenu de leurs sections « biographie » était également exposé au grand jour, faisant apparaître d’autres renseignements intimes les concernant : convictions religieuses, orientation sexuelle…

Cet incident est l’occasion de rappeler une évidence : les données personnelles disponibles sur les réseaux sociaux ne perdent la protection conférée par le RGPD sous prétexte qu’elles sont accessibles au public.

COMMENT ?  La liste des manquements imputés à l’association et/ou son chercheur est longue [3] :

[1] « L’Autorité de Protection des Données » est l’autorité indépendante belge compétente en matière de protection des données personnelles.

[2] La « Commission Nationale de l’Informatique et des Libertés » (CNIL) est l’équivalent français de l’APD.

[3] La décision de l’APD du 27 janvier 2022 est disponible dans son intégralité à l’adresse suivante : https://www.autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n-13-2022.pdf

 

Illicéité des traitements de données (article 6.4 RGPD)

Pour rappel, lorsqu’un traitement de données à des fins journalistiques n’est pas réalisé à partir de données collectées directement auprès des individus concernés, il constitue un “traitement ultérieur”.

Ces opérations de traitement secondaires doivent alors être compatibles avec la finalité pour laquelle les données personnelles ont été recueillies initialement. A défaut, l’organisme est tenu de justifier la base légale sur laquelle il fonde l’exploitation ultérieure de ces renseignements.

En l’occurrence, l’APD estime que cette exigence de compatibilité de finalités n’est pas satisfaite. Elle souligne notamment l’absence d’attentes légitimes des internautes à une telle réutilisation de leurs données à des fins de profilage politique et de republication sur Internet.

Si les auteurs des “tweets” pouvaient raisonnablement s’attendre à ce que leurs propos soient commentés dans le cadre d’un débat politique, ils ne pouvaient que difficilement imaginer que leurs comptes seraient classés et médiatisés en raison de cette appartenance politique.

Cela est d’autant plus vraie s’agissant de la révélation d’informations sensibles les concernant, sorties du contexte de l’affaire Benalla (convictions religieuses, orientation sexuelle, prétendue proximité avec des médias russes…).

EU DisinfoLab et son bénévole auraient ainsi dû recueillir le consentement des internautes avant de traiter leurs données pour ces nouveaux objectifs d’enquête, et non le faire à leur insu.

Manquement aux obligations de sécurité (article 32 RGPD)  

L’APD estime qu’EU DisinfoLab n’a pas assuré une sécurité et une confidentialité suffisante des informations personnelles reprises sur Twitter en ne les pseudonymisant pas[4]. Cette mesure aurait pourtant permis d’empêcher toute identification des abonnés concernés lors de la diffusion de leurs données personnelles.

Absence de notifications d’une violation de données (article 33 RGPD)

La publication des données « brutes » sur lesquelles le chercheur d’EU DisinfoLab fondait son étude constitue une violation de données susceptible d’engendrer un risque élevé pour les droits et libertés des personnes visées. Compte tenu de la sensibilité des informations portées à la connaissance de tous, elle expose ces dernières à un risque de discrimination ou de discrédit dans leur vie privée ou professionnelle.

L’association reconnaît n’avoir notifié cette violation de données ni à l’autorité de contrôle, ni aux internautes touchés, comme elle y était pourtant tenue…

Incapacité à fournir la documentation de sa conformité aux autorités de contrôle 

Absence de registre de ses activités de traitement (article 30.5 du RGPD)

Malgré sa faible envergure, l’association ne peut pas invoquer la dérogation reconnue aux entités de moins de 250 personnes sur l’obligation de tenir un tel registre.

Les traitements de EU DisinfoLab portant sur des données sensibles, l’association aurait bel et bien dû – exception à l’exception – disposer d’un registre de ses activités de traitement, ce qui n’est pas le cas.

→ Absence des contrats de sous-traitance avec ses prestataires (article 28 RGPD) 

[4] Le RGPD définit la pseudonymisation comme « le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne soient pas attribuées à une personne physique identifiée ou identifiable ».

EU DisinfoLab n’a conclu aucun accord de partenariat avec ses sous-traitants : ni avec les prestataires lui ayant fourni les logiciels pour extraire de Twitter les informations dont elle avait besoin, ni avec le bénévole à qui elle a confié la réalisation de son étude.

Or, le RGPD impose de formaliser ces relations de sous-traitance par tout écrit ayant une force contraignante.

Absence de réalisation d’une analyse d’impact relative à la vie privée (ou « AIPD » – article 35 RGPD) 

Ce alors que la conduite d’une AIPD s’imposait à l’association, cette formalité étant requise en cas de traitement à grande échelle de données sensibles.

MAIS ENCORE ? – Les apports de la décision

Reconnaissance de la responsabilité d’un particulier

En condamnant à titre personnel le chercheur chargé de la réalisation de l’étude, cette décision rappelle que s’il est rare qu’un particulier soit condamné par une autorité de contrôle, cela n’est toutefois pas impossible.

L’autorité régulatrice souligne que la base de données exploitée par l’association a été diffusée par le scientifique de son « initiative personnelle […] en dehors de toute instruction de l’association EU DisinfoLab et en parfaite violation des procédures internes ».

En s’émancipant ainsi des consignes qui lui avaient été transmises, le chercheur ne peut donc plus invoquer agir en qualité de sous-traitant, mais engage sa responsabilité comme responsable conjoint de traitement.

Précisions sur « l’exception journalistique »

La loi exige l’information préalable des personnes concernées que leurs données personnelles font l’objet d’un traitement, ce même lorsque la collecte de ces renseignements intervient indirectement (article 14 RGPD).

L’APD précise ici que « l’exception journalistique » permettait toutefois à EU DisinfoLab de ne pas procéder à cet avis préalable des internautes, dès lors que cette information aurait pu compromettre la réalisation de son étude.

Même sans mener une activité de journalisme à titre professionnel, l’APD considère que l’enquête de l’association s’inscrit dans un débat d’intérêt général. Elle ne pouvait ainsi pas être forcée de dévoiler l’entièreté de ses sources, ni de prévenir individuellement les abonnés de Twitter de son projet d’étude.

* * *

L’association et le chercheur ont finalement été condamnés à un rappel à l’ordre et à une amende respective de 2.700 et 1.200 euros.

Ne vous y trompez pas : la faiblesse des sanctions prononcées est tout à fait exceptionnelle. Cette tolérance se justifie non seulement par le fait que les responsables de traitement sont une association à but non lucratif peu connue ainsi qu’une personne physique, mais aussi et surtout par la proximité de la date des faits avec l’entrée en vigueur du RGPD.

Les autorités de contrôle se sont depuis pleinement emparées de leurs pouvoirs répressifs, et n’hésitent pas à multiplier au centuple les montants de leurs amendes.

L.H

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

VIDÉOSURVEILLANCE À TITRE DE PREUVE

dans , ,

UTILISATION DES EXTRAITS DE VIDÉOSURVEILLANCE À TITRE DE PREUVE

Comment bien utiliser ces prises de vue pour ne pas être pris au dépourvu

 

Plus de 120 ans après la création du cinéma par les frères Lumière, un tout autre film se joue derrière les écrans de nombreux organismes français. Le recours aux caméras de surveillance s’est massivement répandu, voire banalisé au sein des entreprises. Commerces, lieux de stockage, zones industrielles : aucun angle mort n’est oublié.

Plusieurs employeurs ont tenté d’utiliser les enregistrements obtenus par le biais de ces dispositifs dans le cadre de poursuites judiciaires contre leurs salariés. Or, la production de ces extraits vidéo comme moyens de preuve n’est admise qu’à de strictes conditions.

Vous avez raté les jurisprudences récentes sur cette question ? Prenez votre pop-corn et installez-vous confortablement, la séance de rattrapage commence !

ZOOM sur les règles à respecter lors de l’installation de systèmes de vidéosurveillance

Afin d’éviter tout mauvais cadrage de notre sujet, il convient d’abord de rappeler la distinction fondamentale entre « vidéoprotection » et « vidéosurveillance ».

L’expression « vidéoprotection » fait référence aux dispositifs d’observation mis en place par tout organisme public ou privé qui filme des espaces ouverts au public[1] pour lutter contre l’insécurité. Ils visent tant à dissuader les individus de commettre des infractions qu’à permettre de retrouver l’identité de ceux qui seraient, malgré ces précautions, passés à l’acte.

L’implantation de ces appareils suppose l’accomplissement de formalités préalables spécifiques. Elle requiert notamment d’obtenir l’autorisation du préfet compétent, qui sera à renouveler tous les 5 ans.

La notion de « vidéosurveillance  » recouvre quant à elle toutes les caméras installées dans des lieux privés ou fermés, c’est-à-dire dont l’accès est restreint à certaines catégories de personnes.

Contrairement aux systèmes de vidéoprotection, aucune autorisation préfectorale n’est requise pour l’installation de ces mesures de contrôle.

Compte tenu de ces définitions, un seul et même réseau de caméras peut donc relever des deux régimes juridiques distincts selon leur localisation et leur orientation.

Exemple 1 : une agence bancaire filmant son distributeur à extérieur et son accueil ouvert à tous d’une part (vidéoprotection), et ses bureaux accessibles seulement aux salariés d’autre part (vidéosurveillance).

Exemple 2 : un commerce filmant les rayons de son magasin (vidéoprotection) mais un dispositif installé dans ses réserves (vidéosurveillance).

Attention à l’orientation des caméras et la profondeur du champ !

En effet, une caméra installée dans un lieu privé (vidéosurveillance) mais dont la profondeur de champ donnerait sur le trottoir, pourrait être (re)qualifiée de vidéoprotection.

Cet éclairage fait, il convient de placer sous les feux des projecteurs la méthodologie à suivre pour une installation régulière de ces systèmes de vidéosurveillance.

[1] Les textes ne précisent toutefois pas les endroits couverts par cette appellation de « voie publique ». La « Commission Nationale Informatique et Libertés » (CNIL) a pu évoquer qu’il s’agirait des « lieux accessibles à tous sans autorisation spéciale de quiconque, que l’accès soit permanent et inconditionnel, ou subordonné à certaines conditions, heures ou causes déterminées ».

  • Motifs et caractère proportionné de l’usage de caméras

L’employeur ne peut s’équiper de ces technologies que dans le but d’assurer la sécurité des biens et des personnes placés sous sa responsabilité. Il est strictement illégal d’installer ces outils simplement pour inspecter l’activité de ses salariés.

Cela suppose donc que le positionnement des caméras soit pensé en conséquence.

Si celles-ci peuvent filmer les entrées et sorties des bâtiments, les issues de secours, voies de circulation ou entrepôts de stockage, elles ne doivent en aucun cas permettre de « fliquer » le personnel.

Même au travail, les employés bénéficient du droit au respect de leur vie privée. Il est ainsi interdit de scruter via ces systèmes les zones de repos, les toilettes ou encore les locaux syndicaux[2].

Dans tous les cas, l’employeur devra être en mesure d’établir le caractère proportionné de cette mesure au but sécuritaire poursuivi. Il lui revient de démontrer qu’il n’existait pas de moyen de contrôle moins intrusif pour atteindre pleinement cet objectif.

Article L.1121-1 du Code du travail : « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché. ».

  • Information et consultation préalable des représentants du personnel

Le Comité social et économique doit obligatoirement être informé et consulté, avant toute prise de décision, sur la question de la mise en œuvre d’un tel réseau de vidéosurveillance (art. L2312-38 du Code du travail).

  • Information valable des salariés / visiteurs filmés

Les personnes concernées par ces enregistrements doivent nécessairement en être informées. 

ATTENTION aux mauvaises pratiques ! Contrairement à la croyance populaire, cette information ne consiste pas seulement à signaler l’existence de ces caméras, mais doit aussi renseigner les individus visés des principales caractéristiques de ce traitement de données.

Dans les entreprises, le recours à la vidéosurveillance peut être communiqué par la diffusion d’une note de service ou la signature d’un avenant au contrat de travail des salariés.

Article L1222-4 du Code du travail : « Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance. »

Un affichage permanent et visible doit aussi, outre le symbole d’une caméra, indiquer au minimum :

  • Les finalités de cette vidéosurveillance, l’objectif poursuivi par l’organisme ;
  • La durée de conservation des enregistrements ;
  • L’identité et les coordonnées du Délégué à la protection des données (DPO) ou d’un point de contact ;
  • L’existence des droits « Informatique & Libertés » et de déposer une réclamation auprès de la CNIL.

[2] Il n’est pas non plus permis de filmer les accès à ces locaux syndicaux s’ils constituent les seuls passages permettant de s’y rendre.

Par souci de clarté et de transparence, nous vous recommandons de fournir par d’autres moyens les autres informations prévues à l’article 13 du RGPD (base légale du traitement, destinataires des données, etc.) [3], par exemple en renvoyant les personnes concernées vers une page Internet dédiée.

Autant dire que l’organisme ne peut se contenter d’être un simple spectateur lors de l’installation de son réseau de vidéosurveillance !

[3] Nous ne vous ferons pas l’offense de vous rappeler que ces informations ne sont pas spécifiques à ces dispositifs de surveillance, mais doivent être communiquées aux personnes concernées avant tout traitement de leurs données à caractère personnel.

FOCUS sur la valeur probante des enregistrements obtenus en violation de ces règles

La Cour de Cassation a plusieurs fois rappelé l’importance pour les tribunaux de vérifier, avant même d’examiner les extraits de vidéosurveillance qui leur sont soumis à titre de preuve, si les formalités obligatoires avaient bien été respectées par l’employeur lors de l’installation de ces dispositifs.

Dans un arrêt en date du 23 juin 2021[4], la Haute Juridiction a ainsi considéré que ces bandes vidéo sont inopposables au salarié licencié lorsque que le recours à ces appareils est manifestement disproportionné.

En l’occurrence, un cuisinier avait été placé sous la surveillance constante d’une caméra, alors même qu’il exerçait seul son activité en cuisine. Les prétendus besoins d’assurer la sécurité des biens et des personnes invoqués par le dirigeant n’appelaient pas à instituer une mesure si attentatoire à la vie privée de son pizzaïolo…

Le 10 novembre 2021[5], la Chambre sociale a jugé que ces formalités ne sont pas pleinement respectées si toutes les finalités de ces mesures n’ont pas été communiquées aux instances représentatives du personnel et aux salariés. Elle en déduit l’illicéité de la preuve obtenue via ces technologies.

En l’espèce, le dirigeant d’une pharmacie avait utilisé ces enregistrements pour établir les fraudes en caisse d’une de ses salariées, et fonder, sur ces éléments, son licenciement pour faute.

La Cour de Cassation a estimé que le CSE et les employés avaient reçu une information incomplète. En effet, l’installation de ces moyens de contrôle leur avait été présentée comme uniquement destinée à assurer la sécurité des personnes et des biens dans l’officine, sans que leur attention ne soit attirée sur le fait que ce réseau de caméras permettait également, en pratique, de surveiller l’activité du personnel.

[4] Soc., 23 juin 2021, n° 19-13.856

[5] Soc. 10 nov. 2021, n° 20-12.263

GROS PLAN sur les limites à cette prétendue irrecevabilité

La Cour de Cassation a cependant considérablement atténué la portée de sa décision du 10 novembre 2021, en précisant que l’illicéité de ce moyen de preuve n’entraîne pas systématiquement son rejet des débats.

Les juges sont tenus de concilier le droit au respect de la vie privée du salarié avec le droit à la preuve de l’employeur. Pour ce faire, il leur revient d’apprécier si « l’utilisation de cette preuve a porté atteinte au caractère équitable de la procédure dans son ensemble ».

Si tel n’est pas le cas, selon l’appréciation faite par les magistrats, alors l’extrait vidéo pourra être examiné et débattu durant l’instance au même titre que les autres preuves.

CLAP DE FIN

Pour éviter tout mauvais scénario, l’idéal est donc simplement de respecter scrupuleusement la procédure à suivre pour instaurer ces systèmes de vidéosurveillance.

Pour rappel, en dehors de ces règles spécifiques, l’employeur est tenu de satisfaire d’autres exigences. En tant que traitement de données à caractère personnel au sens large, ces captations d’images doivent évidemment respecter la législation applicable en la matière.

Cela implique en particulier que :

  • Ces dispositifs soient inscrits dans le registre des activités de traitement de l’organisme ;
  • Des mesures soient prises pour assurer la sécurité de ces données, et notamment la définition d’une stricte politique d’habilitation identifiant clairement les personnes autorisées à visualiser ces images en cas d’incident. Il est hors de question que ces vidéos soient accessibles librement par tous ;
  • Des précautions soient adoptées pour que les enregistrements ne soient pas conservés pendant des durées excessives, ne pouvant généralement pas être supérieures à un mois.

Ne vous alarmez pas ! Pas de quoi faire tout un cinéma de ces formalités si vous choisissez de vous faire accompagner par des professionnels compétents et à l’écoute de vos besoins.

L.H

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.
[/av_textblock]

La CNIL sanctionne la RATP

dans , ,
Lire la suite