Valeur de la preuve issue d’un dispositif de surveillance

Article publié le

Si l’employeur peut librement contrôler et surveiller l’activité de ses salariés pendant le temps de travail, peut-il également utiliser comme mode de preuve les enregistrements d’un système de surveillance qui n’a préalablement pas fait l’objet d’une autorisation à la CNIL ?

La question apparaît simple en pratique et pourtant elle ne cesse d’alimenter l’actualité juridique. Au sujet de la vidéosurveillance, la Cour de cassation avait déjà précisé, dans des arrêts maintenant anciens que l’utilisation par l’employeur d’un dispositif aux fins de surveillance ou de contrôle de l’activité des salariés nécessite préalablement de les informer. Dans l’affaire en cause, l’installation de caméras filmant la porte d’accès des locaux de l’entreprise, nonobstant l’objectif sécuritaire d’un tel dispositif, en raison des enregistrements qui se font en temps réel, les informations qui en découlent permettaient également un contrôle des heures d’arrivée et de sortie du travail. C’est pourquoi, la Cour de cassation n’avait pas hésité a considéré que l’information préalable dont le salarié est destinataire doit préciser la finalité du dispositif en cause (Soc. 10 janv. 2012, n° 10-23.482). Aussi, précisons que les instances représentatives du personnel doivent être informées ou consultées avant toute décision d’installer un dispositif de contrôle des horaires ou d’accès aux locaux. Par ailleurs, chaque salarié doit être notamment informé :

• des finalités poursuivies,

• des destinataires des données issues du dispositif.

Mais outre cette obligation d’information préalable, le dispositif légal de protection des données personnelles doit également faire l’objet d’une autorisation et à tout le moins d’une déclaration auprès de la CNIL. A noter qu’un système qui n’aurait pas fait l’objet d’une déclaration ou autorisation selon dispositif en cause à la CNIL ne peut être opposé aux salariés. De plus, pour les entreprises qui s’écartent de l’autorisation unique, elles doivent recueillir l’autorisation de la CNIL par la voie de l’autorisation normale. Il est évident que cette autorisation n’est pas facile à obtenir, c’est pourquoi certaines entreprises peuvent être tentées de ne pas respecter cette formalité préalable substantielle. C’est un comportement volontaire d’évitement de la législation française qui est susceptible d’entraîner de lourdes sanctions.

En effet, la loi du 6 janvier 1978 modifiée par la loi du 6 août 2004 prévoit de multiples sanctions qui peuvent être engagées par deux acteurs. Tout d’abord, par la CNIL qui dispose à la fois d’un pouvoir d’avertissement et d’un pouvoir de sanction. Elle peut, en effet, commencer par avertir l’entreprise qui n’aurait pas respecté les dispositions de la loi informatique et libertés. Elle peut, à l’issue d’une première mise en demeure sans succès, prononcer des sanctions pécuniaires dissuasives puisque leur montant peut atteindre 150 000 euros et en cas de récidive dans un délai de cinq ans, l’amende peut atteindre 300 000 euros.

En outre, en raison des risques que ces dispositifs peuvent entraîner sur la relation de travail, le droit du travail prévoit aussi des sanctions. En cas de non-respect de son obligation, l’utilisation du dispositif sera suspendue et les preuves qui en découlent n’auront aucune portée juridique. De plus, à défaut d’information des représentants du personnel, l’employeur se rend coupable d’un délit d’entrave  qui est puni d’un an d’emprisonnement et d’une amende de 3750 euros. L’employeur ne pourra donc pas se prévaloir du non-respect d’un système non déclaré et le licenciement éventuel qui en découle sera sans cause réelle et sérieuse.

Le champ d’application de ces dispositions tend à s’élargir progressivement vers tous les dispositifs informatisés et automatisés, dès lors que les salariés peuvent être identifiés, directement ou indirectement, par des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou tout autre personne physique ou morale, notamment par référence à un numéro d’identification, à des données de localisation, à un identifiant en ligne ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale (V. en ce sens, la directive n° 95/46/CE).

C’est pourquoi, le juriste est de plus en plus invité à se pencher sur la légalité de ces dispositifs, tant au regard de l’exigence de protection de la santé des travailleurs concernés que du respect de leurs droits fondamentaux. L’actualité la plus récente en atteste, le dispositif ne peut être utilisé sans limite notamment au regard du pouvoir de l’employeur et plus largement de l’intérêt de l’entreprise. Autrement dit, le dispositif en cause doit répondre à une double exigence de justification et de proportionnalité posée par l’article L. 1121-1 du code du travail. Ainsi, le système concerné doit tant protéger les intérêts de l’entreprise qu’être proportionnée au but recherché tout en garantissant la protection des travailleurs. Quelques arrêts de la chambre sociale de la Cour de cassation et des juridictions du fond ont mis en œuvre cette double exigence [1].

Eu égard à la complexité des dispositions en cause, on ne saurait trop conseiller de consulter sur ce point.



[1] Soc. 23 avr. 2013, n° 11-26.099

Revenir