Tiré de : CNIL, Délibération de la formation restreinte n°SAN-2024-021 du 19 décembre 2024 concernant la société […] (https://www.legifrance.gouv.fr/cnil/id/CNILTEXT0000511203319)

La société […] (ci-après  » la société « ), société par actions simplifiée dont le siège social est situé […], a un établissement secondaire situé […]. La société, qui exerce une activité d’agence immobilière, propose notamment à sa clientèle, majoritairement des acheteurs professionnels, d’identifier les biens immobiliers présentant la plus forte rentabilité.

La société a mis en place au sein de son établissement secondaire, en juillet 2022, un dispositif vidéo composé de deux caméras, afin de prévenir les atteintes aux biens (vols). (…)

Extraits des considérants :

« B. Sur les manquements relatifs au dispositif de vidéosurveillance et au logiciel de mesure de l’activité des salariés

1. Sur le cadre applicable

24. En premier lieu, l’article 5, paragraphe 1, c) du RGPD prévoit que  » [l]es données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) « . Le considérant 39 du RGPD précise que  » les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens « .

25. En second lieu, aux termes de l’article 6, paragraphe 1, f) du RGPD,  » le traitement n’est licite que si, et dans la mesure où, au moins l’une des conditions suivantes est remplie : […] le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel […] « .

26. Le considérant 47 du RGPD précise que  » [l]es intérêts légitimes d’un responsable du traitement […] peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement. […] En tout état de cause, l’existence d’un intérêt légitime devrait faire l’objet d’une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée […] « .

27. Ainsi, la base légale de l’intérêt légitime repose sur trois conditions : que l’intérêt poursuivi soit légitime, qu’il soit nécessaire de traiter les données à caractère personnel pour la réalisation de cet intérêt légitime et que le traitement ne heurte pas les droits et libertés fondamentaux des personnes dont les données sont traitées, compte tenu de leurs attentes raisonnables. L’atteinte portée aux droits et libertés des salariés constitue l’élément essentiel à prendre en compte dans la mise en balance des intérêts, quand bien même il est également tenu compte d’autres éléments tels que la nature des données à caractère personnel en cause, la nature et les modalités du traitement, ainsi que les attentes raisonnables de la personne concernée (CJUE, 11 décembre 2019, Asociatja de Proprietari bloc M5A-ScaraA, aff. C-708/18 du 11 décembre 2019, § 40, § 56 et 58).

28. Enfin, le considérant 75 du RGPD apporte des précisions sur les risques pour les droits et libertés des personnes physiques pouvant être induits par certains traitements, dont le degré de gravité et de probabilité varie, et qui peuvent entraîner des dommages physiques, matériels ou un préjudice moral. Parmi ces risques, le considérant évoque en particulier ceux résultant de traitements qui visent des personnes physiques vulnérables et/ou portent sur un volume important de données.

29. La formation restreinte relève que, compte tenu de la nature des traitements en cause et leurs conditions de mise en œuvre, les fondements juridiques prévus par les dispositions de l’article 6.1 sous a), b), c), d) et e) du RGPD – liés à l’exécution du contrat, au consentement des personnes, au respect d’une obligation légale, à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique et à l’exécution d’une mission d’intérêt public – ne trouvent pas à s’appliquer en l’espèce, de sorte que seule la base légale liée aux intérêts légitimes poursuivis par le responsable de traitement, prévue par les dispositions de l’article 6.1 sous f), peut trouver à s’appliquer.

30. Elle relève que l’intérêt de la société, en tant qu’employeur, à prévenir les atteintes aux biens dans ses locaux, ainsi qu’à mesurer le temps de travail et à évaluer le travail de ses salariés, constitue un intérêt légitime au sens de l’article 6, paragraphe 1, f) du RGPD. Elle considère que cet intérêt est licite, qu’il est déterminé de façon suffisamment claire et précise et qu’il est, enfin, réel et présent pour la société. Néanmoins, la formation restreinte rappelle que, pour être admis comme base légale du traitement, celui-ci ne doit pas porter une atteinte disproportionnée aux droits et libertés des personnes, eu égard aux finalités poursuivies (CNIL, Sanction SAN-2023-021 du 27 décembre 2023).

31. Par ailleurs, aux termes de l’article L. 1121-1 du code du travail :  » Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché « . Les droits et libertés protégés sont, en particulier, le droit à la vie privée et personnelle, la protection des données à caractère personnel, le droit à la protection de son intégrité physique et mentale. Il résulte d’une jurisprudence constante de la Cour de cassation que si l’employeur a le droit de surveiller ses salariés, il doit le faire par des moyens proportionnés aux objectifs poursuivis (Cass. Soc., 23 juin 2021, n° 19-13.856), l’utilisation d’un tel dispositif de surveillance n’étant licite que lorsque ce contrôle ne peut pas être fait par un autre moyen, fût-il moins efficace (Cass. Soc., 19 décembre 2018, n°17-14.631). Cette position est également confirmée par le Conseil d’Etat (CE, 15 décembre 2017, n°403776).

32. Ainsi, c’est à l’aune de ces principes qu’il convient d’apprécier la proportionnalité des dispositifs de vidéosurveillance et du logiciel TIME DOCTOR mis en œuvre pour les finalités recherchées, qui peuvent aboutir à une surveillance permanente disproportionnée des salariés et de leur activité.

2. Sur le manquement en lien avec le dispositif de vidéosurveillance

(…)

35. La formation restreinte rappelle que si l’employeur a un pouvoir de direction à l’égard des salariés qui l’autorise à les contrôler pendant leur temps et sur leur lieu de travail, les dispositifs de contrôle des salariés doivent respecter le RGPD. A cet égard, comme la formation restreinte a déjà eu l’occasion de le souligner, la surveillance des salariés à travers la mise en place d’un système de vidéosurveillance doit être adéquate, pertinente et limitée à ce qui est nécessaire et ne doit pas porter une atteinte excessive au respect de la vie privée des personnes filmées, eu égard aux conditions de mise en œuvre du dispositif concerné au regard de la finalité poursuivie, du nombre de caméras installées, de leur emplacement, de leur orientation, de leurs fonctionnalités, de leur période de fonctionnement et des caractéristiques propres à l’établissement concerné (CNIL, FR, sanction n° SAN-2019-006 du 13 juin 2019, point 33, publiée). Ainsi, une surveillance permanente des salariés ne peut intervenir que dans des circonstances exceptionnelles, lorsque le dispositif est justifié par une situation ou un risque particulier auquel sont exposées les personnes filmées tenant, par exemple, à la nature de la tâche à accomplir (CNIL, FR, 17 juillet 2014, Sanction, n° 2014-307, publiée ; et CNIL, FR, 14 octobre 2014, Sanction, n° 2014-051, publiée).

36. La formation restreinte rappelle qu’il ressort également de la jurisprudence de la Cour de cassation comme de celle du Conseil d’Etat qu’est  » attentatoire à la vie personnelle du salarié, et disproportionné[e] au but allégué par l’employeur de sécurité des personnes et des biens « , la surveillance constante d’un salarié (Cass, soc., 23 juin 2021, n°19-13.856), telle que résultant d’un dispositif de vidéosurveillance les filmant de manière permanente (CE, 18 novembre 2015, Société PS Consulting, n° 371196, Rec.). La Cour de cassation considère également de manière constante que  » le salarié a droit, même au temps et au lieu de travail, au respect de l’intimité de sa vie privée  » (Cass. soc., 2 oct. 2001, Société Nikon France, no 99-42.942 ; Cass. soc., 9 sept. 2020, no 18-20.489) « .

37. La formation restreinte relève en outre que, pour être proportionné, un dispositif de vidéosurveillance ne doit pas, en principe, capter le son. La captation du son n’est admissible que dans des circonstances exceptionnelles dont l’employeur doit pouvoir justifier, et doit alors généralement ne pas être mise en œuvre en continu mais seulement lorsqu’un événement particulier se produit, telle une agression.

38. En l’espèce, la formation restreinte relève qu’il ressort des constatations de la délégation de contrôle que le dispositif de vidéosurveillance captait en continu les images en haute définition ainsi que le son d’espaces de travail des salariés, certains de ces espaces constituant également des espaces de repos. Deux caméras filmaient ainsi un ou plusieurs salariés en continu, pendant leur temps de travail comme pendant leur temps de pause. A cet égard, la formation restreinte note que la résolution des images issues de l’application, tel que cela ressort des constatations, était suffisante pour permettre, à tout le moins, d’observer les salariés en train de travailler.

39. En outre, la formation restreinte relève que, quand bien même le dispositif aurait été initialement paramétré par la société pour déclencher des caches sur les objectifs des caméras durant les heures de travail des employés, et qu’il aurait été désactivé par erreur, cette circonstance ne remet pas en cause l’existence du manquement, caractérisé sur la base des faits constatés lors des contrôles. Par ailleurs, si la société justifie avoir retiré son dispositif de vidéosurveillance en juillet 2024, il n’en reste pas moins que la présence de caméras filmant les salariés dans les conditions précitées, sans cache, a été constatée lors des contrôles réalisés en octobre 2022, ainsi que la possibilité de consulter en continu les images et le son à travers une application, ce qui n’est pas contesté par la société. Elle note que l’existence d’un  » mode vie privée  » n’a pas été constatée par la délégation de la CNIL et que la société n’en a pas fait mention lors des opérations de contrôle, mais uniquement en cours d’instruction, en réponse au rapport de sanction, sans préciser d’ailleurs la date à laquelle le  » mode vie privée  » aurait été désactivé par erreur.

40. La formation restreinte relève enfin que la société ne justifie pas d’une situation particulière ou d’un événement justifiant le recours à la captation permanente des images et du son dans le cadre d’un dispositif de vidéosurveillance à des fins de prévention des atteintes aux biens (vols).

41. Par conséquent, la formation restreinte considère que la captation d’images en continu des employés sur leur poste de travail, et pendant leurs temps de pause, ainsi que la captation en permanence du son, en l’absence de circonstances particulières justifiant la mise en œuvre d’un tel dispositif, ne sont ni adéquates, ni pertinentes, ni limitées à ce qui est nécessaire au regard des finalités poursuivies, et apparaissent dès lors excessives au regard de la finalité précitée. »

Me Philippe Ehrenström, avocat, LLM