Le CEPD publie ses lignes directrices sur la vidéosurveillance

lignes directrices sur la vidéosurveillance Le Comité européen de la protection des données a adopté des lignes directrices sur la vidéosurveillance. Le CEPD (le comité, EDPB,à ne pas confondre avec le commissaire, EDPS) anciennement « Groupe de travail article 29 » ou « G29 », a été institué par le Règlement européen sur la protection des données 2016/679 du 27 avril 2019.

Le CEPD-EDPB a pour mission de garantir l’application cohérente du RGPD. A ce titre, il peut adopter des documents d’orientation générale afin de clarifier les dispositions des actes législatifs européens en matière de protection des données et ainsi fournir aux acteurs concernés une interprétation cohérente de leurs droits et obligations.

C’est ainsi qu’après une consultation publique. lancée le 10 juillet 2019, le CEPD-EDPB a adopté des lignes directrices sur la vidéosurveillance le 29 janvier 2020, publiée sur son site internet le 31 janvier 2020 (1).

Vidéosurveillance ou vidéoprotection ?

La vidéosurveillance s’entend d’un dispositif de caméras installées dans un lieu non ouvert au public. Par exemple, dans l’enceinte d’une entreprise ou à l’intérieur du domicile d’une personne privée.

La vidéoprotection désigne un dispositif de caméras installées dans un lieu ouvert au public, comme l’accueil ou le parking d’une entreprise, espaces d’entrée et de sortie du public, comptoir, etc.

En droit français, il existe une distinction entre le régime juridique applicable à la vidéoprotection et celui applicable à la vidéosurveillance qui résulte des dispositions de l’article L.251-1 du Code de la sécurité intérieure (CSI).

Le CSI détermine un critère permettant d’identifier le régime applicable.

Ainsi, lorsque les enregistrements visuels de vidéoprotection sont utilisés dans des traitements automatisés ou contenus dans des fichiers structurés selon des critères permettant d’identifier, directement ou indirectement, des personnes physiques, les dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés s’appliquent.

Pour autant, dans une publication du 13 décembre 2019, la Cnil considère que les systèmes de vidéoprotection et de vidéosurveillance constituent des traitements de données à caractère personnel devant satisfaire aux exigences de protection des données issues des textes européens.

Des lignes directrices sur la vidéosurveillance

La Cnil indique qu’en tout état de cause, il convient d’appliquer des mesures communes, certaines relevant uniquement du CSI, d’autres relevant à la fois du CSI et de la réglementation relative à la protection des données.

Ainsi, le responsable du traitement sera tenu de :

C’est dans ce contexte que les lignes directrices du CEPD ont été publiées.

Ces lignes directrices sur la vidéosurveillance visent à fournir des indications sur la manière d’appliquer les règles issues du RGPD aux traitements de données à caractère personnel mis en œuvre au moyen d’un dispositif de caméra.

Elles apportent notamment des précisions sur

  • la base légale du traitement,
  • la communication de données à un tiers,
  • les droits des personnes concernées,
  • l’obligation d’information,
  • la durée de conservation des données,
  • les mesures techniques et organisationnelles
  • ainsi que la conduite d’une analyse d’impact.

Emmanuel Walle
Oriane Maurice
Lexing Droit social numérique

(1) Guidelines 3/2019 on processing of personal data through video devices




Le refus du salarié de remettre sa clé USB n’est pas une faute

refus du salarié de remettre sa clé USBSelon un arrêt du 5 juillet 2017 de la Cour de cassation, le refus du salarié de remettre sa clé USB n’est pas fautif (1).

Dans cet arrêt, la chambre sociale de la Cour de cassation confirme la décision de la Cour d’appel de Nouméa (12 novembre 2015) qui avait décidé d’écarter “l’existence de toute faute commise par le salarié concernant la copie, invoquée par l’employeur, de fichiers du serveur de l’entreprise au moyen de sa clé USB personnelle” et considéré que « le seul fait que le salarié n’obtempère pas, sur le champ, à l’injonction que lui a fait l’employeur de lui remettre sa clé USB personnelle afin de vérifier son contenu, ne constitue pas en soi un comportement fautif ».

L’employeur face au refus du salarié de remettre sa clé USB

Le lendemain de sa reprise de travail, le salarié avait d’abord été convoqué par son employeur à premier un entretien préalable au licenciement, puis à un second, afin qu’il s’explique sur le fait d’avoir été « surpris à copier les fichiers contenus dans le serveur de la société sur [sa] clé USB », fait qu’il avait refusé d’expliquer lors du premier entretien.

L’employeur avait enjoint le salarié au cours du second entretien de lui remettre sa clé USB personnelle afin de vérifier son contenu. Le salarié avait refusé d’obtempérer et avait finalement décidé de remettre sa clé USB un quart d’heure plus tard au délégué du personnel pour qu’il le remette au directeur général de l’entreprise. Ce dernier avait cependant refusé d’en prendre connaissance au motif que les fichiers copiés avaient pu être effacés entre temps.

La Cour de cassation face au refus du salarié de remettre sa clé USB

La Cour de cassation a rejeté le pourvoi de l’employeur, au motif que la Cour d’appel avait souverainement estimé que le grief imputé par l’employeur au salarié d’appropriation sur sa clé USB personnelle d’informations à caractère confidentiel n’était pas établi.

Cet arrêt vient diminuer la présomption établit par la jurisprudence de la chambre sociale en 2013 (2) selon laquelle une clé USB, dès lors qu’elle est connectée à un outil informatique mis à la disposition du salarié par l’employeur pour l’exécution du contrat de travail, étant présumée utilisée à des fins professionnelles, l’employeur peut avoir accès aux fichiers non identifiés comme personnels qu’elle contient, hors la présence du salarié.

Or, il semble que c’est désormais à l’employeur d’établir que le salarié s’est effectivement approprié des fichiers confidentiels sur sa clé USB personnelle s’il souhaite pouvoir contourner le refus du salarié de remettre sa clé USB.

Emmanuel Walle
Lexing Département Social Numérique

(1) Cass. soc. 5-7-2017, n° 16-12.386.
(2) Cass. soc. 12-2-2013, n° 11-28.649.




Le recours à la géo localisation doit être déclaré à la Cnil

localisationL’utilisation d’un système de géo localisation des salariés, pour le contrôle de leur horaire de travail, n’est licite que lorsque le contrôle de leur horaire de travail ne peut être assuré par un autre moyen et que les salariés ont été dûment informés de sa finalité.

Un système de géo localisation qui n’a pas fait l’objet d’une déclaration à la Cnil ne peut être opposé aux employés

Face au développement des contentieux relatifs à l’utilisation d’un matériel de géo localisation, la jurisprudence a défini le régime applicable sur le fondement de l’article L.1121-1 du code du travail : « nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ».

Ainsi, dans un arrêt du 3 novembre 2011 publié au bulletin, la Cour de cassation a affirmé que « l’utilisation d’un système de géo localisation pour assurer le contrôle de la durée du travail, (..) n’est licite que lorsque ce contrôle ne peut pas être fait par un autre moyen » (1).

En outre, elle a précisé « qu’un système de géo localisation ne peut être utilisé par l’employeur pour d’autres finalités que celles qui ont été déclarées auprès de la Commission nationale de l’informatique et des libertés, et portées à la connaissance des salariés ».

Elle en déduit que l’utilisation d’un tel dispositif pour assurer le contrôle de la durée du travail est illicite lorsque le salarié est libre d’organiser son activité selon un horaire de 35 heures, à charge pour lui de respecter le programme d’activité fixé et de rédiger un compte-rendu journalier faisant preuve de l’activité du salarié.

L’arrêt du 7 mai 2014 de la Cour d’appel de Reims s’inscrit dans le prolongement de la jurisprudence de la Cour de cassation (2).

Dans cette affaire, un employeur avait licencié un salarié au motif que le matériel de géo localisation faisait apparaître qu’il ne réalisait pas ses horaires de travail.

La Cour d’appel conclut au recours illicite au matériel de géo localisation au motif que :

  • le contrôle des horaires du salarié était d’ores et déjà assuré par le biais de « fiches de chantier » ;
  • l’employeur n’apportait pas la preuve d’une déclaration régulière réalisée auprès de la CNIL ;
  • la finalité indiquée aux salariés était « d’organiser au mieux et de faciliter l’ensemble de leur déplacement professionnel », de sorte qu’ils ne pouvaient avoir connaissance du fait que ce matériel servirait à contrôler leurs horaires de travail.

Il en résulte que le licenciement du salarié, fondé sur un usage illicite de la géo localisation, est dépourvu de cause réelle et sérieuse.

Emmanuel Walle
Priscilla Guettrot
Lexing Droit Travail numérique

(1) Cass. soc. arrêt n°10-18036, 3-11-2011.
(2) CA Reims, ch. soc., n° 13-00776, 7-5-2014.




Déclaration Cnil d’un matériel de contrôle d’activité obligatoire

Déclaration Cnil d’un matériel de contrôle d'activité obligatoireTout système de surveillance de l’activité des salariés comportant l’enregistrement de données personnelles doit faire l’objet d’une déclaration Cnil.

Cependant, la chambre sociale de la Cour de cassation apporte une nuance à cette règle s’agissant de l’utilisation d’un matériel de contrôle dont la mise en place est rendue obligatoire par une réglementation spécifique.

Dans un arrêt rendu par la chambre sociale le 14 janvier 2014 (1), la Cour de cassation a précisé qu’en vertu des dispositions du règlement européen n° 3821/85 du 20 décembre 1985 (en vigueur à l’époque des faits) (2), d’application directe, l’employeur est tenu, sous peine de sanctions pénales, d’assurer la mise en place et l’utilisation d’un chronotachygraphe (« mouchard »), instrument de mesure et d’enregistrement servant à contrôler la vitesse, l’horaire et la distance parcourue.

Les tachygraphes peuvent en outre, être équipés d’une interface avec les systèmes de transport intelligents enregistrant des données relatives à la géolocalisation.

Lorsque l’employeur est tenu, en vertu d’une réglementation obligatoire, d’assurer la mise en place et l’utilisation d’un matériel de contrôle, une absence de déclaration Cnil de l’emploi de ce matériel ne peut le priver de la possibilité de se prévaloir, à l’égard du salarié, des informations fournies par ce matériel.

Dans cette affaire, un chauffeur routier avait été licencié pour faute grave pour avoir falsifié les données du chronotachygraphe installé dans son véhicule afin de falsifier son temps de travail et donc sa rémunération. Il contestait son licenciement et affirmait que les données enregistrées par l’appareil lui étant propres et permettant de l’identifier, pouvaient être considérées comme des données personnelles, entrant dans le champ de la loi informatique et libertés du 6 janvier 1978.

La cour d’appel avait considéré le licenciement sans cause réelle et sérieuse, en retenant que les enregistrements effectués par suivi satellitaire et chronotachygraphe des déplacements du salarié ne pouvaient être opposés à celui-ci, faute de déclaration de ces dispositifs à la Commission nationale de l’informatique et des libertés. La Cour de cassation n’a pas suivi la cour d’appel.

Elle a considéré que la cour d’appel avait violé le règlement européen, d’application directe, l’employeur étant tenu, sous peine de sanctions pénales, d’assurer la mise en place et l’utilisation d’un chronotachygraphe. De sorte qu’une absence de déclaration Cnil de l’emploi de cet appareil ne saurait le priver de la possibilité de se prévaloir, à l’égard du salarié, des informations fournies par ce matériel de contrôle, dont le salarié ne pouvait ignorer l’existence.

Emmanuel Walle
Lexing Droit Travail numérique

Isabelle Pottier
Lexing Droit Informatique

(1) Cass. soc 14-1-2014 n° 12-16218.
(2) Règlement CE 165-2014 du 04 02 2014 remplaçant le règlement 165/2014 du 20-12-1985.




Système de surveillance : le devoir d’information de l’employeur

Système de surveillanceL’employeur est tenu d’informer de la mise en place de tout système de surveillance. Certaines affaires rendues publiques révèlent des pratiques de technosurveillance opaques. Du contrôle à l’espionnage, les dérives sont fréquentes.

Des recours aux technologies et aux pratiques de collectes d’informations doivent faire l’objet de procédures précises et résulter d’une analyse des plus fine de la jurisprudence.

La trace du log, l’accès de l’empreinte biométrique, la géolocalisation, le filtrage du réseau, le contrôle de clic, la vidéoprotection, la cybersurveillance sont légitimes et autorisés dans un cadre strictement défini.

Le juge n’admet pas, dans le cadre d’enquêtes internes, des preuves de bureaux d’intelligence économique ou autres détectives.

L’obligation de loyauté du salarié ne se mesure pas sous couvert de pratiques mal identifiées. Un doute sur un salarié ne peut laisser de place à l’approximation. Un principe de stricte confidentialité est de mise, ainsi qu’un pilotage très serré de la situation, selon une nomenclature juridique spécifique et éprouvée.

Emmanuel Walle




La vidéosurveillance et le contrôle des salariés

contrôle des salariésPar délibération n° 2102-12 du 17 janvier 2012, la Cnil a décidé de rendre publique la mise en demeure n° 2011-36 du 16 décembre 2011 adoptée à l’encontre d’une société afin de modifier son dispositif de vidéosurveillance.

Dans cette mise en demeure, la Cnil relève un manquement aux obligations suivantes :

  • de définir une finalité déterminée, explicite et légitime du traitement ;
  • de veiller à l’adéquation, à la pertinence et au caractère non excessif des données ;
  • de définir une durée de conservation des données proportionnée à la finalité du traitement ;
  • d’informer les personnes conformément à la loi Informatique et libertés ;
  • d’obtenir une autorisation préfectorale préalablement à la mise en œuvre d’un dispositif de vidéoprotection

La Cnil a donné à la société un délai de six semaines pour se conformer à la mise en demeure et lui en justifier.

Cnil, rubrique Actualité, article du 2 février 2012




Vidéosurveillance : l’employeur doit informer les salariés

Vidéosurveillance Par un arrêt du 10 janvier 2012, la Chambre sociale de la Cour de cassation est venue réaffirmer que si l’employeur dispose du droit de contrôler et de surveiller l’activité de ses salariés grâce à la vidéosurveillance, celui-ci ne peut s’exercer qu’à la condition que les salariés en aient été préalablement informés.

Dans cette affaire, un employeur avait obtenu une ordonnance sur requête désignant un huissier aux fins de visionner les enregistrements des caméras de vidéo-surveillance placées à l’entrée de la société cliente, dans laquelle travaillaient ses employés, afin de contrôler leurs horaires d’arrivée et de départ.

Or, les salariés n’ayant pas été informés de ce que la vidéosurveillance avait pour finalité le contrôle de leurs horaires de travail, mais uniquement le renforcement de la sécurité des locaux de la société cliente, ils ont sollicité, en référé, la rétractation de l’ordonnance sur requête et la nullité des actes subséquents.

La Chambre sociale de la Cour de cassation, au visa des articles L.1222-4 du Code de travail et 1134 du Code civil, casse et annule l’arrêt rendu le 8 juin 2010 par la Cour d’appel d’Angers, ayant considéré que les enregistrements litigieux constituaient un moyen de preuve licite, confirmant ainsi sa jurisprudence antérieure.

Cass. soc. 10-1-2012 n° 10-23482




Précisions relatives au contrôle de la messagerie de l’employé

Depuis le célèbre arrêt Nikon du 2 octobre 2001, le contrôle de la messagerie professionnelle du salarié a fait l’objet de nombreux arrêts visant à établir les contours du pouvoir de surveillance de l’employeur. L’arrêt de cassation du 2 février 2011 apporte de nouvelles précisions sur le caractère personnel ou professionnel des courriers envoyés depuis la messagerie de l’entreprise. La Cour de cassation considère que la liberté de ton et le caractère éventuellement outrageant des propos tenus dans un mél échangé entre deux salariés ne suffisent pas à qualifier cette correspondance de privée, dès lors que ces propos ont un rapport avec l’activité professionnelle du salarié. Par conséquent, la Cour estime que l’employeur peut valablement évoquer le mél litigieux au soutien d’une procédure disciplinaire.

A la lumière de cet arrêt, seront seuls susceptibles d’échapper au pouvoir de surveillance de l’employeur, les méls des salariés clairement identifiés dans leur objet comme personnel et n’ayant aucun rapport avec l’activité professionnelle du salarié.

Cass. soc. 2 février 2011 n°09-72449 Société Securitas France c/ Jorge X.




L’enregistrement d’une caméra de vidéosurveillance vaut preuve !

caméra de vidéosurveillanceL’enregistrement d’une caméra de vidéosurveillance vaut preuve. C’est ce qu’a considéré la Cour de cassation. Ainsi, doit être considéré comme un moyen de preuve licite, l’usage par l’employeur d’enregistrements effectués par des caméras de vidéosurveillance en vue de justifier le licenciement pour faute grave d’un salarié, dans la mesure où l’implantation d’un dispositif de vidéosurveillance fonctionnant sans discontinuité a été porté préalablement à la connaissance des salariés, conformément aux prescriptions réglementaires applicables en la matière (respect de la vie privée).

Ce faisant, il n’appartient pas au juge de rechercher si les salariés ont été informés de ce que le dispositif de vidéosurveillance, destiné à répondre à un impératif de sécurité des personnes et des biens, a également pour finalité de contrôler l’activité des salariés.

Ainsi en a jugé la Cour de cassation, par arrêt du 2 février 2011, estimant au surplus que les enregistrement produits à titre de preuve ne portent pas atteinte à la vie privée du salarié.

Cass. soc. 2-2-2011 n° 10-14263




La liste des favoris d’un ordinateur est-elle personnelle ?

L’inscription d’un site sur la liste des « favoris » de l’ordinateur ne lui confère aucun caractère personnel. L’arrêt du 9 février 2010 concerne le chef des services éducatifs au sein d’une association, licencié pour faute grave, pour avoir, notamment, utilisé son poste informatique pour accéder à des sites pornographiques répertoriés dans ses favoris. Le salarié conteste son licenciement, considérant que la liste des favoris du navigateur internet à un fichier informatique pouvait être assimilée à un fichier informatique identifié comme étant « personnel ». Il en déduisait que l’employeur ne pouvait pas ouvrir cette liste en dehors de sa présence, sauf risque ou évènement particulier. Le salarié soutient que son employeur avait fait demander à un technicien informatique d’examiner son disque dur, pour y rechercher les connexions, alors qu’il était absent et n’avait pas été dûment appelé, sans caractériser l’existence d’un risque ou d’un événement particulier.

La Cour de cassation estime, au contraire, le licenciement fondé, motif pris que : « Les connexions établies par un salarié sur des sites internet pendant son temps de travail grâce à l’outil informatique mis à sa disposition par son employeur pour l’exécution de son travail sont présumées avoir un caractère professionnel, de sorte que l’employeur peut les rechercher aux fins de les identifier, hors de sa présence. L’inscription d’un site sur la liste des « favoris » de l’ordinateur ne lui conférant aucun caractère personnel ».

Cet arrêt s’inscrit dans le prolongement de l’arrêt rendu le 9 juillet 2008, aux termes duquel la chambre sociale de la Cour de cassation considérait que les connexions du salarié sur un site internet, pendant son temps de travail, avec son poste informatique, sont présumées avoir un caractère professionnel, de sorte que la présence du salarié n’est pas requise lorsque l’employeur inspecte l’ordinateur.

Cass. soc. 09.02.2010 pourvoi n°08-45253.




La surveillance de locaux non occupés par les salariés

Droit social
Cybersurveillance

Mise en place d’un dispositif de surveillance dans un local dans lequel les salariés ne travaillent pas

Un employeur peut mettre en place un dispositif de surveillance, en l’espèce un système de gardiennage, pour surveiller une partie des locaux dans laquelle les salariés ne travaillent pas et dont l’accès est interdit pour des raisons de sécurité. Dès lors, le témoignage du gardien qui surprend un salarié dans ce local, constitue, selon la Cour de cassation, un mode de preuve licite et peut être invoqué au soutien d’une sanction.

Cass. soc. 19-1-2010 n°08-45092

Paru dans la JTIT n°98/2010 p.11

(Mise en ligne Avril 2010)

Autres brèves

  • Contrôle de l’activité des salariés : l’employeur n’a pas à informer les salariés de la vérification des relevés téléphoniques
  • (Mise en ligne Février 2008)




Les conditions d’ouverture des fichiers personnels du salarié

Informatique et libertés

Cybersurveillance

L’arrêt de la chambre sociale de la Cour de cassation rendu le 17 mai 2005 ne passera pas inaperçu

A l’origine du litige, des photos érotiques avaient été découvertes dans un tiroir du bureau d’un salarié. Une recherche sur le disque dur de son ordinateur avait permis à l’employeur de trouver un ensemble de dossiers totalement étranger à ses fonctions notamment sous un fichier intitulé « perso ». Le salarié avait alors été licencié pour faute grave.

La chambre sociale casse un arrêt de la Cour d’appel de Paris au motif que l’ouverture des fichiers identifiés comme personnels, effectuée hors de la présence de l’employé ou celui-ci dûment appelé, n’était justifié par aucun risque ou événement particulier.

Rappelons que l’arrêt « Nikon » en date du 2 octobre 2001 et ses prolongements ont précisé que le salarié a droit, même au temps et au lieu de travail, au respect de l’intimité de sa vie privée. Dès lors, même si l’employeur interdit une utilisation non professionnelle de l’ordinateur, ceci ne l’autorise pas à ouvrir un fichier intitulé « personnel ».

Dans ce contexte, l’enjeu pour l’employeur consiste à qualifier chaque situation rencontrée et à constituer la preuve que les faits constituent un risque ou un évènement particulier. Dans tous les cas, outre les contraintes liées à la constitution de la preuve, il est nécessaire de s’assurer de la présence du salarié ou de l’avoir dûment appelé.

Cassation sociale 17 mai 2005

(Mise en ligne Mai 2005)