Webinaire le 25 juin : Vidéosurveillance et vidéoprotection dans les établissements du secteur médico-social

Le cabinet ACCENS Avocats vous invite à un webinaire :

Vidéosurveillance et vidéoprotection
dans les établissements du secteur médico-social

Jeudi 25 juin 2020
à 11h00 Europe/Paris

Thèmes abordés :

  • Les outils
  • Les finalités
  • Le droit des personnes
  • Les obligations règlementaires notamment RGPD
  • Questions réponses

Nombre de places limité à 25 personnes.

Les Animateurs :

Patrick NAITALI

Responsable de projet
Diplômé de l’Ecole de commerce NEOMA Business School et du certificat DPO du CNAM sur la protection des données personnelles, il a travaillé pendant près de 20 ans dans les domaines de la téléphonie et de l’informatique pour les établissements sociaux et médicaux sociaux. Patrick Naitali intervient pour la mise en œuvre du RGPD dans les ESMS. Il assure la qualité des prestations et l’adaptation du RGPD aux spécificités des ESMS.

Pierre NAITALI

Avocat,
Pierre NAITALI intervient depuis plus de 15 ans auprès d’une clientèle d’associations et fondations gestionnaires d’établissements et services sociaux et médico-sociaux. Après une expérience de 6 ans dans l’informatique, il fonde le cabinet ACCENS Avocats qui intervient dans les domaines du droit des associations, du droit du travail, du droit des affaires et du RGPD. Il anime régulièrement des formations pour des organismes de formation professionnelle à destination des dirigeants d’ESMS .

RGPD : le référentiel de la CNIL guide les employeurs dans la mise en conformité des dispositifs d’alerte professionnelle

La loi n°2016-1691 du 9 décembre 2016 dite loi « Sapin II » a renforcé les obligations des entreprises en matière de lutte contre la corruption et imposé, via son article 17, aux entreprises employant au moins 500 salariés (ou appartenant à un groupe de sociétés dont la mère a son siège social en France et comprend au moins 500 salariés) et dont le chiffre d’affaires dépasse 100 millions d’euros, la mise en place d’un dispositif d’alerte professionnelle (DAP).

L’article 8 de la même loi prévoit, en outre, l’obligation pour les personnes morales d’au moins 50 salariés de mettre en place une procédure de recueil des alertes relatives notamment à des délits comme le harcèlement sexuel.

 

En raison du caractère personnel des données recueillies, ce DAP était, jusqu’à récemment, encadré par une délibération de la Commission Nationale de l’Informatique et des Libertés (CNIL) n° 2017-191 du 22 juin 2017 portant modification de la délibération n° 2005-305 du
8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d’alerte professionnelle (AU-004)
.

À la suite d’une consultation publique, la CNIL a adopté, par délibération n° 2019-139 du
18 juillet 2019, publiée au Journal Officiel le 10 décembre 2019, le référentiel relatif aux dispositifs d’alertes professionnelles (DAP).

Ce référentiel a vocation à s’appliquer tant aux organismes qui sont tenus de mettre en œuvre un dispositif de recueil et de gestion des alertes professionnelles, qu’à ceux qui décideraient, sans obligation légale, de le mettre en œuvre, notamment aux fins de prohiber les comportements jugés incompatibles avec leur charte éthique ou leur règlement intérieur.

Il vient remplacer l’autorisation unique AU-004, qui n’a plus de valeur juridique depuis l’entrée en vigueur du RGPD.

Il actualise et consolide la doctrine de la CNIL sur les alertes professionnelles, en intégrant les évolutions liées à l’entrée en application du RGPD et à la modification de la loi « Informatique et Libertés ».

Il anticipe, par ailleurs, certaines évolutions introduites par la directive européenne relative à la protection des lanceurs d’alerte dont le texte a été adopté début octobre par le Conseil de l’Union européenne, pour une application effective prévue à partir de 2021.

Il doit être respecté par tout employeur qui a à traiter des données à caractère personnel, notamment relatives à ses salariés, dans le cadre de tels dispositifs d’alertes, de façon à respecter tant les dispositions du RGPD que celles de la loi Informatique et Liberté.

 

Pour rappel, un dispositif d’alertes professionnelles (ou DAP) est un outil permettant à une personne (salarié, cocontractant, tiers…) de porter à la connaissance d’un organisme une situation, un comportement ou un risque susceptible de caractériser une infraction ou une violation de règles éthiques adoptées par l’organisme en question, tel qu’un manquement à une charte ou à un code de conduite.

Ce dispositif peut prendre les formes suivantes :

  • un portail intranet ou internet ;
  • une adresse électronique dédiée ;
  • une ligne téléphonique ;
  • etc.

Il s’ajoute aux autres possibilités de remontée d’alertes, telle que la voie hiérarchique.

La mise en place d’un DAP, qui s’accompagne souvent de la création de référents éthiques, poursuit le double objectif de créer un circuit de réaction rapide et simplifié aux manquements attribuables à l’organisme ou à ses préposés et d’améliorer la transparence interne et externe de l’organisme.

 

L’employeur doit respecter les règles relatives à la protection des données personnelles pour tous les traitements qu’il met en œuvre et qui l’amènent à gérer des données personnelles notamment des salariés.

Ces règles sont issues du règlement européen relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (RGPD), de la loi « informatique et libertés » et de ses textes d’application (règlement UE 2016/679 du 27 avril 2016, JOUE 4 mai 2018 ; loi 78-17 du 6 janvier 1978, modifiée). Pour être synthétique, on les appellera ci-après « les règles RGPD ».

En particulier, l’employeur doit se conformer aux règles RGPD quand il met en place un dispositif d’alerte professionnelle dans la mesure où, dans le cas général, ce type de dispositif nécessite un traitement de données personnelles (celles de l’auteur et de la ou des personnes visées par l’alerte).

L’employeur s’assure aussi de la conformité du dispositif à l’ensemble des autres règles de droit applicables (code du travail, code pénal, etc.).

Par ailleurs, la CNIL souligne que la mise en place d’un tel dispositif vient en complément des autres possibilités de remontées d’alerte (ex. : par la voie hiérarchique) et ne doit avoir ni pour objet ni pour effet d’exonérer l’employeur de ses obligations (telles que celle de prévenir les risques psychosociaux) et du respect de la réglementation qui lui est applicable (communiqué CNIL en date du 10 décembre 2019).

 

Le respect du référentiel permet à l’employeur de s’assurer de la conformité aux règles RGPD des traitements de données mis en œuvre dans le cadre d’un dispositif d’alerte.

L’employeur qui ne suivra pas le référentiel devra être en mesure de justifier pourquoi il s’en est écarté compte tenu des spécificités de son entreprise.

En outre, le référentiel rappelle que la mise en place d’un dispositif d’alerte professionnelle doit systématiquement donner lieu à la réalisation préalable d’une analyse d’impact relative à la protection des données (AIPD) (délibération CNIL n°2018-327 du 11 octobre 2018).

Le référentiel est, d’ailleurs, une aide à la réalisation de l’AIPD.

Le référentiel de la CNIL applique le RGPD aux dispositifs d’alertes professionnelles en définissant :

  • Les finalités des traitements mis en œuvre ;
  • Les bases légales des traitements mis en œuvre ;
  • Les données personnelles qui peuvent être collectées et traitées ;
  • Les destinataires des données collectées ;
  • Les durées de conservation des données personnelles ;
  • Les modalités d’information des personnes dont les données personnelles sont traitées, du lanceur d’alerte et de la personne visée par l’alerte ;
  • Les droits des personnes (droit d’accès, de rectification, etc.) ;
  • Les mesures à adopter pour assurer la sécurité des données personnelles.

L’employeur qui suivra ce référentiel aura la garantie d’être conforme au RGPD. Un autre référentiel, relatif aux traitements de données personnelles mis en œuvre par les entreprises pour la gestion du personnel, devrait être publié très prochainement.

La CNIL précise dans son référentiel que l’organisme doit prendre toutes les précautions utiles au regard des risques présentés par son traitement pour préserver la sécurité des données à caractère personnel et, notamment au moment de leur collecte, durant leur transmission et leur conservation, empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès.

En particulier, dans le contexte spécifique du présent référentiel, soit l’organisme adopte les mesures suivantes, soit il justifie de leur équivalence ou du fait de ne pas avoir besoin ou pouvoir y recourir :

 

Catégories Mesures
Sensibiliser les utilisateurs Informer et sensibiliser les personnes manipulant les données
Rédiger une charte informatique et lui donner une force contraignante
Authentifier les utilisateurs Définir un identifiant (login) unique à chaque utilisateur
Adopter une politique de mot de passe utilisateur conforme aux recommandations de la CNIL
Obliger l’utilisateur à changer son mot de passe après réinitialisation
Limiter le nombre de tentatives d’accès à un compte
Gérer les habilitations Définir des profils d’habilitation
Supprimer les permissions d’accès obsolètes
Réaliser une revue annuelle des habilitations
Tracer les accès et gérer les incidents Prévoir un système de journalisation
Informer les utilisateurs de la mise en place du système de journalisation
Protéger les équipements de journalisation et les informations journalisées
Prévoir les procédures pour les notifications de violation de données à caractère personnel
Sécuriser les postes de travail Prévoir une procédure de verrouillage automatique de session
Utiliser des antivirus régulièrement mis à jour
Installer un pare-feu (firewall) logiciel
Recueillir l’accord de l’utilisateur avant toute intervention sur son poste
Sécuriser l’informatique mobile Prévoir des moyens de chiffrement des équipements mobiles
Faire des sauvegardes ou des synchronisations régulières des données
Exiger un secret pour le déverrouillage des smartphones
Protéger le réseau informatique interne Limiter les flux réseau au strict nécessaire
Sécuriser les accès distants des appareils informatiques nomades par VPN
Mettre en œuvre le protocole WPA2 ou WPA2-PSK pour les réseaux Wi-Fi
Sécuriser les serveurs Limiter l’accès aux outils et interfaces d’administration aux seules personnes habilitées
Installer sans délai les mises à jour critiques
Assurer une disponibilité des données
Sécuriser les sites web Utiliser le protocole TLS et vérifier sa mise en œuvre
Vérifier qu’aucun mot de passe ou identifiant n’est transmis dans les URL
Contrôler que les entrées des utilisateurs correspondent à ce qui est attendu
Mettre un bandeau de consentement pour les cookies non nécessaires au service
Sauvegarder et prévoir la continuité d’activité Effectuer des sauvegardes régulières
Stocker les supports de sauvegarde dans un endroit sûr
Prévoir des moyens de sécurité pour le convoyage des sauvegardes
Prévoir et tester régulièrement la continuité d’activité
Archiver de manière sécurisée Mettre en œuvre des modalités d’accès spécifiques aux données archivées
Détruire les archives obsolètes de manière sécurisée
Encadrer la maintenance et la destruction des données Enregistrer les interventions de maintenance dans une main courante
Encadrer par un responsable de l’organisme les interventions par des tiers
Effacer les données de tout matériel avant sa mise au rebut
Gérer la sous-traitance Prévoir une clause spécifique dans les contrats des sous-traitants
Prévoir les conditions de restitution et de destruction des données
S’assurer de l’effectivité des garanties prévues (audits de sécurité, visites, etc.)
Sécuriser les échanges avec d’autres organismes Chiffrer les données avant leur envoi
S’assurer qu’il s’agit du bon destinataire
Transmettre le secret lors d’un envoi distinct et via un canal différent
Protéger les locaux Restreindre les accès aux locaux au moyen de portes verrouillées
Installer des alarmes anti-intrusion et les vérifier périodiquement
Encadrer les développements informatiques Proposer des paramètres respectueux de la vie privée aux utilisateurs finaux
Tester sur des données fictives ou anonymisées
Utiliser des fonctions cryptographiques Utiliser des algorithmes, des logiciels et des bibliothèques reconnues
Conserver les secrets et les clés cryptographiques de manière sécurisée

 

Accens Avocats, un cabinet spécialisé à votre écoute

Depuis près de 20 ans le cabinet Accens Avocats accompagne les associations et fondations et plus particulièrement les établissement sociaux et médicaux sociaux. Le cabinet a développé ses compétences pour répondre aux besoins spécifiques de ses clients : droit des associations, droit social et droit des affaires.

En 2018, la promulgation du RGPD a fait naître de nouveaux besoins au sein des établissements sociaux et médicaux sociaux. En effet la protection des données est d’autant plus essentielle que les données des usagers sont sensibles.

C’est pourquoi, le Cabinet ACCENS Avocats a développé une offre de services dédiés aux organismes gestionnaires d’établissements et services sociaux et médico-sociaux. De la mise en place du RGPD à l’accompagnement au quotidien en tant que DPO externalisé, le Cabinet Accens Avocats vous accompagne.

En tant que DPO externalisé, le cabinet Accens Avocats vous propose, notamment, des vidéos pour approfondir vos connaissances de manière ludique, trois newsletters par an pour être informé des dernières actualités, des fiches techniques et juridiques, des webinaires sur des thématiques précises.

Le cabinet Accens Avocats reste à votre écoute pour toutes vos questions DPO.

Télétravail et RGPD : les recommandations de la CNIL

Du fait de la crise sanitaire liée à la pandémie de COVID-19, et du confinement subséquent, nous sommes amenés à faire évoluer nos habitudes et pratiques de travail.

Sur son site internet, le gouvernement incite au télétravail « Je peux continuer à travailler grâce au télétravail ».

Nous sommes à présent nombreux à y recourir.

Le 1er avril dernier, la CNIL a rappelé que le télétravail est une solution qui doit s’accompagner de mesures de sécurités renforcées pour garantir la sécurité des systèmes d’information et des données traitées.

A ce titre, la CNIL a publié diverses recommandations afin d’aider à la bonne sécurisation des données personnelles durant cette période, savoir :

A. Pour les employeurs :

Sécurisez votre système d’information :

  • Éditez une charte de sécurité dans le cadre du télétravail ou, dans le contexte actuel, au moins un socle de règles minimales à respecter, et communiquez ce document à vos collaborateurs suivant votre règlement intérieur.
  • Si vous devez modifier les règles de gestion de votre système d’information pour permettre le télétravail (changement des règles d’habilitation, accès des administrateurs à distance, etc.), mesurez les risques encourus et, au besoin, prenez les mesures nécessaires.
  • Équipez tous les postes de travail de vos salariés au minimum d’un pare-feu, d’un antivirus et d’un outil de blocage de l’accès aux sites malveillants.
  • Mettez en place un VPN pour éviter l’exposition directe de vos services sur internet, dès que cela est possible. Activez l’authentification du VPN à deux facteurs si c’est possible.

Si vos services sont sur internet :

  • Utilisez des protocoles garantissant la confidentialité et l’authentification du serveur destinataire, par exemple HTTPS pour les sites web et SFTP pour le transfert de fichiers, en utilisant les versions les plus récentes de ces protocoles.
  • Appliquez les derniers correctifs de sécurité aux équipements et logiciels utilisés (VPN, solution de bureau distant, messagerie, vidéoconférence etc.). Consultez régulièrement le bulletin d’actualité CERT-FR pour être prévenu des dernières vulnérabilités sur les logiciels et des moyens pour s’en prémunir.
  • Mettez en œuvre des mécanismes d’authentification à double facteur sur les services accessibles à distance pour limiter les risques d’intrusions.
  • Consultez régulièrement les journaux d’accès aux services accessibles à distance pour détecter des comportements suspects.
  • Ne rendez pas directement accessibles les interfaces de serveurs non sécurisées. De manière générale, limitez le nombre de services mis à disposition au strict minimum pour réduire les risques d’attaques.

B. Pour les salariés :

Suivez les instructions de votre employeur :

  • Si votre entreprise dispose d’une charte informatique dans le cadre du télétravail, prenez-en connaissance et appliquez-la rigoureusement.
  • Ne faites pas en télétravail ce que vous ne feriez pas au bureau. Ayez une utilisation responsable et vigilante de vos équipements et accès professionnels, notamment sur votre navigation web, en veillant à bien séparer les usages professionnels et les usages personnels. Vous pouvez par exemple créer des comptes distincts si vous utilisez une même application pour ces deux sphères.

Sécurisez votre connexion internet :

  • Assurez-vous du bon paramétrage de votre box internet. Vérifiez son mot de passe d’accès administrateur, changez-le s’il est faible et mettez à jour son logiciel interne..
  • Si vous utilisez le Wi-Fi, activez l’option de chiffrement WPA2 ou WPA3 avec un mot de passe long et complexe. Désactivez la fonction WPS et supprimez le Wi-Fi invité. Ne vous connectez qu’à des réseaux de confiance et évitez les accès partagés avec des tiers.

Favorisez l’usage d’équipements fournis et contrôlés par votre entreprise :

Si vous en avez la possibilité, utilisez autant que possible le VPN (Virtual Private Network ou réseau privé virtuel) mis à disposition par votre entreprise :

  • privilégiez l’échange de données à travers les stockages disponibles depuis le VPN plutôt que par la messagerie électronique ;
  • connectez-vous au moins une fois par jour au VPN pour appliquer les mises à jour ;
  • désactivez votre VPN seulement lorsque vous utilisez des services consommateurs de bande passante, comme le streaming vidéo, qui ne nécessitent pas de passer par le réseau de votre entreprise.

Si vous devez utiliser un ordinateur personnel, assurez-vous qu’il est suffisamment sécurisé :

Cela doit passer par:

  • l’installation d’un antivirus et d’un pare-feu;
  • l’utilisation d’un compte personnel avec des droits limités, protégé par un mot de passe fort et non partagé avec d’autres personnes et sur lequel les applications installées se limitent au strict nécessaire ;
  • la mise à jour régulière du système d’exploitation et des logiciels utilisés, notamment le navigateur web et ses extensions ;
  • des sauvegardes régulières de votre travail de préférence sur les infrastructures de votre entreprise, si possible en activant une solution de sauvegarde automatique ;
  • l’utilisation de mots de passe forts sur l’ensemble de vos services et l’activation de l’authentification à deux facteurs (clef d’authentification, jeton, SMS) dès que cela est proposé par le service.

Communiquez en toute sécurité :

  • Évitez de transmettre des données confidentielles via des services grand public de stockage, de partage de fichiers en ligne, d’édition collaborative ou via des messageries. À défaut, chiffrez les données avant de les transmettre et transmettez les clés de chiffrement via un canal de communication distinct (par exemple, communication du mot de passe par téléphone ou SMS).
  • Installez uniquement des applications autorisées par votre entreprise. Si votre entreprise ne propose pas de système de déploiement d’application, téléchargez celles-ci depuis les sites ou les magasins officiels des éditeurs.
  • Privilégiez des outils de communication chiffrés de bout en bout, si votre entreprise ne vous fournit pas d’outil de communication sécurisé. Dans tous les cas, respectez toujours les instructions de votre employeur.
  • Privilégiez les systèmes de visioconférence qui protègent la vie privée. Vérifiez les conditions d’utilisation de votre logiciel pour vous assurer que ces outils garantissent la confidentialité de vos données et ne les réutilisent pas pour d’autres finalités. L’ANSSI a certifié Tixeo pour les administrations, les Opérateurs d’Importance Vitale (OIV) et les entreprises soucieuses de leur sécurité.

Soyez particulièrement vigilant sur les tentatives d’hameçonnage :

Les pirates profitent des périodes de crise ou de trouble pour inventer de nouvelles escroqueries et tirer profit de ces événements. Soyez vigilant à tout contact :

  • de personnes que vous ne connaissez pas, surtout si elles vous invitent à cliquer sur des liens ou à ouvrir un fichier ;
  • d’une personne connue vous envoyant une communication inhabituelle : essayez de vérifier cette information par un autre canal (téléphone, SMS, courriel);
  • de personnes cherchant à créer un sentiment d’urgence ou de danger. Au besoin, utilisez un autre canal pour vérifier les informations communiquées, par exemple en effectuant une recherche sur internet.

En cas de doute, demandez de l’aide à votre directeur des systèmes d’information (DSI) ou votre responsable de la sécurité des systèmes informatiques (RSSI).

Le respect de ces prescriptions vous permettra de travailler de façon sécurisée en télétravail.

Confinement, utilisation d’applications numériques : qu’en est-il du respect de la vie privée des utilisateurs et de l’application du RGPD ?

En cette période de confinement lié à la pandémie de COVID-19, nous sommes amenés à faire évoluer nos habitudes et pratiques de travail.

Ainsi, de nombreux professionnels, forcés de passer au télétravail, ont été conduits à télécharger diverses applications telles que Skype, WhatsApp, Zoom, Discord, Twitch, etc., leur permettant de réaliser des visioconférences, appels vidéo, échanges de documents ou photos, et appels vocaux gratuits.

Dans le secteur médico-social, ces diverses applications sont également utilisées par les professionnels afin de conserver le lien avec leurs usagers ou entre les usagers et leurs familles.

Se pose alors la question de la collecte et de la gestion des données personnelles par les sociétés détentrices de ces applications, dont la plupart sont basées aux Etats-Unis, et plus généralement la question du respect de la vie privée de leurs utilisateurs.

En effet, la quasi-totalité des applications numériques collecte des données personnelles sur leurs utilisateurs, pour analyser l’usage de leurs services ou à des fins commerciales.

Certaines applications sont, cependant, particulièrement intrusives et collectent automatiquement outre vos nom, adresse mail, numéro de téléphone, adresse postale et adresses IP, le genre d’appareil que vous utilisez, la version du système d’exploitation et l’identifiant de votre appareil, l’endroit où vous vous trouvez, les services que vous utilisés, ou encore diverses métadonnées, comme la durée des vidéoconférences, le nombre de participants, les noms et e-mails des personnes y participants, etc.

Par ailleurs, certaines applications ne chiffrent pas ou pas réellement les données, permettant ainsi l’accès à ces données par des employés ou des tiers indélicats.

Certaines applications ont, également, montré des failles de sécurité telles que l’accès aux webcams et micro d’utilisateurs sans leur consentement par des pirates.

Les données collectées par ces applications peuvent être stockées et hébergées aux Etats-Unis ou autres pays où se situent les centres de données.

Il convient, toutefois, de préciser que même si les données recueillies sont hébergées à l’étranger, les transferts de données en dehors de l’Europe sont soumis au Règlement général sur la protection des données (RGPD).

Ainsi, les principes relatifs au traitement des données à caractère personnel énumérés à l’article 5 du RGPD doivent être respectés. Ce qui signifie que les données à caractère personnel doivent être traitées de manière licite, loyale et transparente. Elles doivent, également, être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités.

L’utilisateurs dispose, également, d’un droit de rectification et d’un droit d’effacement de données le concernant.

Toutefois, si bons nombres d’applications affirment ne pas vendre les données de leurs utilisateurs et respecter le RGPD, nous vous invitons à être vigilants. Ainsi, l’application ZOOM vient d’être épinglé pour des fuites de données massives notamment vers Facebook qui en fait un usage mercantile.

L’application du RGPD en dehors de l’Europe pourra se révéler difficile.

Ainsi, afin de protéger la vie privée de vos salariés et, le cas échéant, de vos usagers et de leurs familles, il est recommandé de paramétrer correctement votre application avant de l’utiliser et d’inviter vos collaborateurs et usagers à faire de même. Nous vous recommandons, également, si vous imposez l’utilisation de ces applications à vos collaborateurs, usagers ou à leurs familles, de solliciter, préalablement, l’accord écrit de ces derniers pour être contactés via ces applications.

Une vidéosurveillance qui n’a pas pour but de contrôler les salariés peut servir de preuve, même sans information préalable

Selon l’article L 1222-4 du Code du travail, aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance.

Ainsi, la preuve obtenue en violant la vie privée du salarié ou grâce à un dispositif de contrôle des salariés dont ils n’ont pas été préalablement informés est illicite.

En cas de contentieux, le licenciement est alors jugé sans cause réelle et sérieuse si la preuve a été obtenue de manière illicite (Article 9 du Code de procédure civile et article L 1222-4 du Code du travail, Cass. Soc. 23 mai 2012, n° 10-23521).

Selon la Cour de cassation, un dispositif de vidéosurveillance n’ayant pas pour finalité de contrôler les salariés peut servir à prouver la faute d’un salarié même si les salariés n’en ont pas été préalablement informés.

Dans cette affaire, l’employeur avait pour activité d’assurer la sécurité des personnes, des informations et des biens auprès d’entreprises clientes en affectant des salariés sur leur site.

Un Chef d’équipe des services de sécurité a été licencié pour faute grave au motif qu’il aurait durant une vacation sur le site d’une entreprise cliente, fracturé un placard situé au sous-sol réservé au stationnement de deux roues.

Le salarié a saisi le conseil de prud’hommes pour faire juger son licenciement sans cause réelle et sérieuse. Selon lui, l’employeur n’avait pas obtenu licitement la preuve de sa faute, car il ne l’avait pas informé de la présence de caméras sur le site où il avait été affecté.

Les juges d’appel lui ont donné gain de cause : le moyen de preuve n’étant pas opposable au salarié, faute d’information préalable, la réalité de la faute alléguée n’était pas établie.

La Cour de cassation censure leur décision et renvoie l’affaire devant une autre cour d’appel.

Elle reproche aux juges d’appel de ne pas avoir vérifié si le système de vidéosurveillance avait été utilisé pour contrôler le salarié dans l’exercice de ses fonctions.

En effet, les règles diffèrent selon la finalité du dispositif.

En présence d’un dispositif de contrôle des salariés, si les caméras ont été installées dans le respect de toutes les règles applicables, en particulier celle imposant d’informer préalablement les salariés (c. trav. art. L. 1222-4), les enregistrements constituent des preuves acceptables.

À l’inverse, il est admis qu’un dispositif mis en place dans un lieu non ouvert au public dans le but, non pas de contrôler les salariés, mais de surveiller des locaux où ils ne travaillent pas, puisse servir de preuve de la faute d’un salarié même si celui-ci n’a pas informé de la présence de caméras (cass. soc. 19 avril 2005, n° 02-46295).

En l’espèce, la mise en place de la caméra avait été décidée par un client et n’avait pas pour but de contrôler le travail des salariés mais uniquement de surveiller la porte d’accès d’un local dans lequel ils ne devaient avoir aucune activité.

Dans ce contexte, les enregistrements vidéo constituaient un moyen de preuve licite de la faute reprochée à un agent de surveillance.

Pour rappel, les locaux ouverts au public relèvent d’une réglementation supplémentaire imposant une autorisation préfectorale et des affichages spécifiques (Article L 252-1 et suivants du Code de sécurité intérieure).

Le Cabinet ACCENS Avocats peut vous accompagner dans la mise en œuvre de la réglementation applicable en droit social en matière de vidéosurveillance.

Cass. soc. 11 décembre 2019, n° 17-24179

La méthode de contrôle des modalités d’expression du consentement aux cookies de la CNIL validée par le Conseil d’Etat

Par un communiqué publié le 28 juin 2019 sur son site internet, la CNIL dévoilait un plan d’actions précisant les règles en matière de ciblage publicitaire en ligne. Dans un second communiqué daté du 18 juillet 2019, l’autorité administrative annonçait pour le premier trimestre 2020, l’élaboration de recommandations sectorielles, précisant les modalités pratiques du recueil du consentement au dépôt de cookies et de traceurs de connexion.

Pour la mise en œuvre de ces futures règles, la CNIL dans son communiqué précisait alors qu’une période d’adaptation de six mois serait laissée aux opérateurs. Durant cette période, « la poursuite de navigation » comme expression du consentement au dépôt de cookies ne donnerait pas systématiquement lieu à sanction de la part de CNIL.

A l’occasion d’une décision du 16 octobre 2019 n°433069, le Conseil d’Etat a validé la position de la Commission nationale de l’informatique et des libertés et admis la légalité de ces communications.

Le Conseil d’Etat juge que pour l’application de l’article 20 de la loi du 6 janvier 1978, fondant le pouvoir de sanction de la CNIL, l’autorité dispose d’un large pouvoir d’appréciation, que ce soit « pour apprécier l’opportunité d’engager des poursuites de sa propre initiative ou pour décider des suites à donner aux plaintes qu’elle peut recevoir ».

Le Conseil d’Etat souligne ensuite que pour mettre en œuvre ce pouvoir, la CNIL peut tenir compte :

  • De la gravité des manquements en cause au regard de la législation ou de la réglementation applicable,
  • De la date à laquelle ils ont été commis,
  • Du contexte dans lequel ils l’ont été,
  • Et plus globalement, de l’ensemble des intérêts généraux dont elle a la charge.

Le juge administratif rappelle ainsi que la CNIL est libre de décider de rendre public les orientations qu’elle a arrêtées pour l’exercice de ses pouvoirs. En conséquence, le communiqué par lequel la CNIL expose son plan d’actions en matière de ciblage publicitaire en ligne n’est pas entaché d’illégalité.

S’agissant de l’octroi aux opérateurs d’un temps d’adaptation de six mois après la publication de la recommandation sur le recueil du consentement au dépôt de cookies et l’absence de sanction systématique, la juridiction précise que cette démarche a pour seul objet de conduire les opérateurs à se mettre en conformité.

Pour la haute juridiction administrative, durant cette période, le pouvoir de contrôle de la CNIL est maintenu et cette dernière conserve la possibilité de faire usage de son pouvoir répressif en cas d’atteinte particulièrement grave.

Droit au déréférencement : le Conseil d’Etat donne le mode d’emploi

Treize particuliers ont saisi la CNIL d’une plainte contre Google.

L’exploitant du moteur de recherche avait en effet refusé leur demande de déréférencement de liens vers des pages web contenant des données à caractère personnel.

La CNIL ayant rejeté les plaintes des intéressés, le Conseil d’Etat est saisi en contestation de la légalité de ces décisions défavorables.

Il s’agissait donc pour le Conseil d’Etat de qualifier les conditions dans lesquelles la CNIL peut contraindre une société telle que Google, à procéder au déréférencement de liens associant au nom d’un particulier une page web contenant des données personnelles le concernant.

La difficulté sérieuse posée par cette question, a conduit le Conseil d’Etat à saisir la CJUE d’une question préjudicielle.

Dans un arrêt du 24 septembre 2019, GC, AF, BH et ED contre CNIL, C-136/17, la Cour de justice donne des éléments de réponses repris par le Conseil d’Etat pour résoudre le litige.

Par treize arrêts du 6 décembre 2019, le Conseil d’Etat fait droit à cinq des demandes de déréférencement et apporte un éclairage quant aux modalités d’exercice du droit au déréférencement de liens associant au nom d’un particulier une page web contenant des données personnelles le concernant.

L’arbitrage entre ce droit au déréférencement et le droit à l’information du public dépendra de la catégorie de données personnelles concernées.

  • S’agissant des données personnelles qui ne sont pas sensibles :

La CNIL peut mettre en demeure l’exploitant du moteur de recherche, sauf s’il existe un intérêt prépondérant du public à accéder à l’information en cause en effectuant une recherche à partir du nom de l’intéressé.

L’appréciation de la CNIL est dictée par le Conseil d’Etat, puisque l’autorité administrative indépendante doit tenir compte :

  • Des caractéristiques des données personnelles en cause
  • Du rôle social du demandeur
  • De la facilité d’accès à l’information en cause.
  • S’agissant des données personnelles sensibles :

Le refus de la CNIL de mettre en demeure le moteur de recherche ne peut intervenir que si l’accès à l’information litigieuse à partir du nom du demandeur est strictement nécessaire à l’information du public.

L’appréciation de la CNIL tient compte :

  • De l’intérêt du public à accéder à l’information en cause
  • Des caractéristiques des données personnelles en cause
  • Du rôle social du demandeur
  • De la facilité d’accès à l’information en cause.

Dans le cas où les données litigieuses ont été manifestement rendues publiques par le demandeur, l’appréciation de la CNIL ne portera que sur les trois derniers critères.

  • S’agissant de données personnelles relatives à une procédure pénale :

Le cadre applicable aux données sensibles est repris et complété pour tenir compte de l’effet du temps.

L’exploitant du moteur de rechercher est tenu d’aménager la liste des résultats de telle sorte qu’elle fasse d’abord apparaître un lien menant vers une page web comportant des informations à jour, afin que l’image qui en résulte soit fidèle à la situation judiciaire actuelle de la personne concernée.

Le Cabinet ACCENS Avocats vous accompagne dans vos problématiques liées à la protection de vos données personnelles.

L’enregistrement vidéo ou la capture d’écran couplé à l’enregistrement des conversations téléphoniques au travail : la CNIL pose les règles à respecter

Dans un objectif de formation ou d’évaluation des salariés qui sont au téléphone avec les clients, les prestataires de l’entreprise ou autre interlocuteur, certains employeurs enregistrent l’historique des « actions informatiques » de ces salariés au cours de leurs conversations téléphoniques.

La CNIL définit le « couplage » des actions informatiques et des conversations téléphoniques comme le fait d’enregistrer l’image de ce qui apparait à l’écran d’ordinateur de l’employé, sous la forme de captures d’écran ou d’une vidéo, parallèlement à l’enregistrement des conversations téléphoniques.

Selon la CNIL, le recours à ce dispositif est particulièrement intrusif, il peut, en effet, conduire à surveiller les employés ou à capter des éléments d’ordre privé (courriels personnels, conversations de messageries instantanées ou de mots de passe confidentiels), et doit donc être strictement encadré.

Pour mémoire, l’article L1121-1 du code du travail, relatif aux droits et libertés dans l’entreprise, énonce que « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ».

Or, le couplage des « actions informatiques » et des conversations téléphoniques induit nécessairement des restrictions aux droits et libertés des salariés.

En l’espèce, la CNIL distingue deux situations :

  • Le couplage enregistrement des conversations téléphoniques et captures d’écran,
  • Le couplage enregistrement des conversations téléphoniques et enregistrement vidéo de l’écran.

S’agissant du couplage enregistrement des conversations téléphoniques et captures d’écran :

La CNIL rappelle que la capture d’écran est une photographie de l’écran d’ordinateur, réalisée à un instant T.

Elle précise qu’il ne peut y avoir, en principe, de capture d’écran couplée à l’enregistrement des conversations téléphoniques.

En effet, la CNIL considère que quelle que soit la finalité poursuivie (formation, évaluation, ou autre), une capture d’écran est susceptible de n’être ni pertinente, ni proportionnée puisqu’il s’agit d’une image figée d’une action isolée de l’employé, qui ne reflète pas fidèlement son travail.

S’agissant du couplage enregistrement des conversations téléphoniques et enregistrement vidéo de l’écran :

La CNIL estime que ce couplage (conversations téléphoniques et enregistrement vidéo de l’écran) est possible sous certaines conditions.

Elle considère, en effet, que l’enregistrement vidéo de l’écran permet de suivre sans interruption les actions effectuées par l’employé sur son poste de travail. Contrairement à la capture d’écran, il s’agit d’un film qui peut refléter de manière plus fidèle les actions de l’employé.

Selon la CNIL, le recours à l’enregistrement vidéo des conversations téléphoniques dans un cadre professionnel, peut être proportionné lorsqu’il est utilisé pour le seul objectif de formation du personnel et sous réserve de la mise en place effective des garanties suivantes :

  • Les employés sont informés de cet enregistrement ;
  • L’enregistrement vidéo est limité à la/aux fenêtre(s) de l’application métier sur laquelle porte la formation ;
  • Le dispositif n’est actif que pendant un appel téléphonique : l’enregistrement vidéo se déclenche au décrochage du combiné téléphonique et s’achève dès le raccrochage.
  • Ce dispositif ne doit concerner que les personnes justifiant d’un réel besoin de formation sur une application métier ou un logiciel (personnes peu expérimentées ou débutantes). Le volume d’enregistrements doit également être proportionné au besoin de formation et strictement limité à la capacité d’analyse de ces enregistrements à des fins de formation (il convient de ne pas enregistrer plusieurs dizaines d’appels si l’analyse ne porte au final que sur un faible nombre d’entre eux) ;
  • Les employés ne peuvent être formés que sur la base de leurs propres enregistrements vidéo sauf si les autres enregistrements vidéo sont anonymisés ;
  • L’accès aux enregistrements est limité aux seules personnes habilitées et une traçabilité des accès (dispositif de journalisation) doit être mise en place ;
  • L’ensemble des garanties spécifiques applicables aux enregistrements des conversations téléphoniques doit être mis en œuvre (à titre d’exemple, une ligne téléphonique dédiée aux représentants du personnel).

Selon la CNIL, seule la formation des salariés en contact notamment avec les clients de l’entreprise peut justifier des restrictions à leurs droits et libertés induites par des dispositifs de couplage.

En effet, la CNIL rappelle que compte tenu des impacts et risques de détournement et de surveillance associés à ces dispositifs, le couplage des enregistrements téléphoniques avec l’image (capture d’écran ou vidéo) des actions de l’employé est disproportionné lorsqu’il est utilisé pour d’autres finalités que la formation, telles que l’évaluation du personnel, la lutte contre la fraude interne, etc. Et invite, dans ce cas, l’employeur à utiliser des moyens alternatifs à ce dispositif.

La mise en place d’une badgeuse/pointeuse depuis l’entrée en vigueur du RGPD

Depuis l’entrée en vigueur du Règlement pour la Protection des Données Personnelles (RGPD)le 25 mai 2018, la mise en place d’une badgeuse/ d’une pointeuse ne requiert plus de déclaration spécifique obligatoire auprès de la CNIL.

Néanmoins, les entreprises et les associations demeurent responsables de la protection des données personnelles de leurs collaborateurs, en application du RGPD.

Avant de mettre en place ce dispositif, il convient donc de réaliser les étapes suivantes :

1- Mener une étude d’impact relative à la protection des données pour permettre de déterminer avec certitude la nécessité du traitement, sa proportionnalité, et aider à la gestion des risques potentiels pour les droits et libertés des personnes.
En effet, dès lors qu’au sens du RGPD, les salariés font partie des personnes « vulnérables » le contrôle de leur activité par des badgeuses doit être précédé d’une étude d’impact [1].

2- Il est recommandé de désigner un délégué à la protection des données (DPO).
Souvent assimilé à l’ancien correspondant informatique et libertés (CIL), ses missions sont en réalité plus étendues, et doivent couvrir l’ensemble des traitements de données personnelles.

3- Le CSE doit être consulté avant toute décision d’installer un dispositif de contrôle des horaires (article L 2312-8 du Code du travail).
Dans le cadre de cette consultation, il y a lieu de rappeler les objectifs du dispositif : contrôler la durée du travail et faciliter la gestion et le traitement des données.
De même, le dispositif lui-même doit être présenté : le système retenu, les modalités de fonctionnement, les obligations des salariés en matière de pointage, la conservation des données, le responsable des données, les destinataires de ces informations, etc.
Enfin, vous devez rappeler les droits d’opposition, d’accès et de rectification garantissant la transparence et la fiabilité du système.
Quant au projet, il convient de préciser le calendrier de déploiement du système au sein de l’ensemble de l’entreprise, ou site par site.

4- Le dispositif doit être porté préalablement à la connaissance des salariés concernés.
Il convient d’expliquer aux salariés :

  •  Les raisons de ce dispositif,
  •  Son fonctionnement,
  •  L’identité du responsable du fichier,
  •  Les destinataires des informations,
  •  Le droit d’accès/de modification des données collectées,
  •  Les modalités d’exercice du droit d’opposition pour un motif légitime,
  •  La durée de conservation des données.

5- Il convient de compléter le registre d’activités de traitement des données.
Pour faciliter la tenue du registre, la CNIL propose un modèle de registre de base destiné à répondre aux besoins les plus courants en matière de traitements de données.
Ce document vise à recenser les traitements de données personnelles mis en œuvre dans chaque organisme en tant que responsable de traitement. Centralisé et régulièrement mis à jour, il permet de répondre à l’obligation de tenir un registre prévue par le RGPD.

Le Cabinet ACCENS Avocats peut vous accompagner pour toutes vos problématiques concernant la mise en place du RGPD.


[1] (Lignes directrices du G29 sur la protection des données, voir https://www.cnil.fr/sites/default/files/atoms/files/wp248_rev.01_fr.pdf)