Une société hôtelière, OÜ Laidoneri KV (responsable du traitement), a installé des caméras de vidéosurveillance (CCTV) visibles dans trois coins extérieurs de son Park Hotel Viljandi, dans les espaces publics du rez-de-chaussée ainsi que dans la cuisine et au sous-sol. Les caméras surveillaient les employés de l’hôtel (personnes concernées).

L’autorité estonienne de protection des données (Andmekaitse Inspektsioon ; ADP) a ouvert une enquête dans le but de déterminer sur quelle base juridique et à quelles fins les caméras de vidéosurveillance étaient utilisées. Au cours de la procédure, le responsable du traitement a expliqué qu’il utilisait le consentement comme base juridique par l’installation de panneaux d’information sur les murs du bâtiment, informant les personnes concernées que les caméras de surveillance étaient actives.

Tout d’abord, l’APD a rappelé que, conformément à l’article 5, paragraphe 1, point a) RGPD, le traitement des données à caractère personnel doit avoir une base juridique valable en vertu de l’article 6, paragraphe 1 RGPD. En règle générale, le traitement de données à caractère personnel dans le cadre d’une relation de travail peut être licite s’il est lié à l’exécution d’une obligation contractuelle ou d’un devoir légal envers l’employeur, ou s’il est dans l’intérêt légitime de l’employeur ou d’un tiers. En l’espèce, le DPA a déclaré que l’exécution d’obligations contractuelles ne peut être invoquée que pour les traitements qui sont effectivement nécessaires à l’employeur pour exécuter le contrat de travail, ce que l’utilisation de caméras n’était certainement pas.

La DPA a également rejeté l’argument du responsable du traitement selon lequel le traitement des données à caractère personnel pouvait être fondé sur l’article 6, paragraphe 1, point a) RGPD [consentement]. L’enquête a révélé que les panneaux informant de l’utilisation de caméras de vidéosurveillance n’étaient pas appropriés car ils ne contenaient pas les informations nécessaires sur l’objectif de la vidéosurveillance, aucune base juridique n’était mentionnée et aucune information n’était fournie sur le responsable du traitement.

Par conséquent, la seule base juridique possible aurait été l’intérêt légitime au sens de l’article 6, paragraphe 1, point f), du RGPD. Toutefois, pour pouvoir invoquer cette base juridique, il faut procéder à une évaluation montrant que l’intérêt du responsable du traitement l’emporte sur les intérêts, les droits fondamentaux et les libertés des personnes concernées. Le responsable du traitement doit aussi être en mesure de prouver la licéité du traitement (art. 5 par. 2 RGPD). Ce n’était pas le cas en l’espèce.

L’APD a donc conclu que le responsable du traitement n’avait pas de base juridique valable pour la surveillance de ses employés par le biais de caméras de vidéosurveillance et a ordonné au responsable du traitement de mettre fin à leur utilisation.

(Décision AKI – 2.1.-4/22/2585, traduction anglaise et présentation – https://gdprhub.eu/index.php?title=AKI_(Estonia)_-_2.1.-4/22/2585&mtc=today)

(Concernant la surveillance électronique des employés en Suisse : https://droitdutravailensuisse.com/2021/02/06/la-surveillance-electronique-des-employes/; NB – la portée du consentement des employés, en droit suisse, est aussi très restreinte en raison de l’inégalité du rapport de force entre l’employé et l’employeur ; l’analyse se basera donc plutôt sur l’intérêt de l’employeur vs/ l’intérêt et les droits des employés, la proportionnalité et l’information)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)