« Chacun a droit au respect de sa vie privé », dispose l’article 9 du code civil. S’il n’existe pas de définition légale de la « vie privée », les juges ont cependant délimité les contours de cette notion. Notre dossier juridique a pour objectif de mieux cerner cette notion et s’intéressera plus particulièrement à l’application de ce droit aux bénéficiaires des établissements sociaux et médico-sociaux (ESMS) et aux salariés.
La notion de « vie privée » n’est pas précisément définie par le législateur. Ce dernier laisse ainsi la possibilité aux juges de façonner ses contours. La Cour européenne des droits de l’Homme (CEDH) considère que c’est une notion « large, non susceptible d’une définition exhaustive » (CEDH, 29 avril 2002, n° 2346/02, Pretty c/ Royaume-Uni). De son côté, la doctrine estime que la vie privée regroupe des informations relatives à la vie personnelle et à la vie matérielle de la personne. Or les individus disposent d’un droit au respect de leur vie privée, ce qui pourrait donc s’analyser comme le droit de contrôler l’utilisation de ces éléments.
Le droit à la vie privée est reconnu de façon unanime aux niveaux national et international. Il dispose notamment d’une place importante pour le Conseil de l’Europe qui le consacre via l’article 8 de la Convention européenne des droits de l’Homme qui précise que : « Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance. »
En droit interne, le droit à la vie privée est consacré par l’article 9 du code civil : « Chacun a droit au respect de sa vie privée. ». Les textes composant le bloc de constitutionnalité(1) ne consacrent pas la valeur constitutionnelle du droit à la vie privée. Néanmoins, le Conseil constitutionnel déduit cette valeur de l’article 2 de la Déclaration des droits de l’Homme et du citoyen et considère que la vie privée est une composante de la liberté personnelle (Cons. const., 18 janvier 1995, n° 94-352 DC).
A noter : Tout au long de sa vie, une personne a droit au respect de sa vie privée. Ce respect perdure même après sa mort. A titre d’illustration, on relève dans le code pénal des dispositions spécifiques concernant le respect dû au cadavre. Néanmoins, le droit d’action lié au respect de la vie privée prend fin avec le décès de l’individu dans la mesure où il est le seul titulaire d’un droit d’agir à ce titre.
Progressivement, les juges nationaux comme européens ont mis en relief certains éléments de la vie privée qui disposent à présent d’une protection particulière. Ces éléments peuvent se scinder en deux catégories : les éléments relatifs à la vie personnelle et les informations touchant à la vie matérielle des individus.
Les juridictions veillent à la protection de l’intimité des individus à travers notamment les informations relatives à la vie sentimentale ou sexuelle (CEDH, 26 mars 1985, n° 8978/80, X et Y c/ Pays-Bas). Les personnes disposent également d’un droit au respect des informations touchant à leur état de santé : maladies, interventions chirurgicales… La CEDH a ainsi condamné la France en 1992 pour refus de modifier l’état civil des personnes transsexuelles ayant changé de sexe. Les juges strasbourgeois ont considéré que ce refus de retranscription conduisait manifestement les individus concernés à rendre publique leur intervention chirurgicale ce qui contrevenait à l’article 8 de la convention (CEDH, 25 mars 1992, aff. 57/1990/248/319, Botella c/ France). De surcroît, le droit au respect de la vie privée protège les croyances religieuses ou philosophiques des individus ou encore leur identité à travers notamment le numéro de sécurité sociale qui ne peut être divulgué sans leur autorisation.
En outre, les juridictions veillent à protéger les informations propres à la vie matérielle : l’adresse, le numéro de téléphone ou encore le numéro de compte bancaire sont autant de renseignements qui relèvent de la vie privée et ne peuvent être divulgués qu’avec une autorisation de la personne concernée.
Conformément à l’article L. 311-3 du code de l’action sociale et des familles, les bénéficiaires des établissements sociaux et médico-sociaux (ESMS) disposent au même titre que l’ensemble des citoyens d’un droit au respect de leur dignité, de leur vie privée, de leur intimité, de leur sécurité et d’un droit à aller et venir librement.
Le rapport de la défenseure des droits relatif aux droits fondamentaux des personnes âgées accueillies en établissement d’hébergement pour personnes âgées dépendantes (Ehpad), publié en mai dernier, constate néanmoins de fréquentes atteintes à la vie privée et à l’intimité des bénéficiaires dans ce type d’établissements : les chambres doubles ne sont pas systématiquement séparées par un paravent ou encore les toilettes et les changes ne sont pas systématiquement réalisés avec la porte de la chambre fermée.
Autres points attentatoires au droit au respect de la vie privée dans les Ehpad soulevés par l’autorité administrative indépendante : les systèmes de vidéosurveillance et la gestion de la crise sanitaire de la Covid-19.
A des fins de prévention et de sécurité, les ESMS ont de plus en plus recours à des systèmes de vidéosurveillance, ce qui interroge notamment sur le droit au respect de la vie privée. L’utilisation d’un dispositif de vidéosurveillance est strictement encadrée par le législateur.
Toute installation de caméras doit préalablement faire l’objet d’une autorisation préfectorale. De surcroît, les vidéos ne peuvent être visionnées que par des personnes strictement habilitées et ayant été sensibilisées et formées à la réglementation sur ce type de dispositif. Elles doivent être conservées pour une durée proportionnée à l’objectif pour lequel le dispositif a été installé sans pouvoir excéder 1 mois (code de la sécurité intérieure [CSI], art. L. 252-3).
En outre, conformément à l’article 13 du règlement général sur la protection des données (RGPD), les établissements doivent être particulièrement vigilants par rapport à l’information faite auprès des personnes filmées. En effet, ces dernières doivent être informées par le biais de panneaux ou d’affiches visibles qui précisent notamment :
• les finalités du traitement installé ;
• la durée de conservation des images ;
• le nom ou la qualité et le numéro de téléphone du responsable/du délégué à la protection des données (DPO) ;
• l’existence de droits « informatique et libertés » ;
• le droit d’introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés (Cnil), en précisant ses coordonnées.
Dès lors que le traitement est susceptible d’engendrer « un risque élevé pour les droits et libertés des personnes physiques », par exemple si le dispositif permet « la surveillance systématique à grande échelle d’une zone accessible au public », il convient de prévoir une analyse d’impact sur la protection des données (AIPD).
L’analyse d’impact se compose notamment d’une description détaillée du dispositif, d’une évaluation juridique de la proportionnalité et de la nécessité du dispositif et enfin d’une étude des risques sur la sécurité des données et des impacts sur la vie privée(1).
Conformément aux dispositions du code pénal (CP), une personne qui procède à l’enregistrement de l’image d’une personne à son insu dans un lieu privé encourt une peine de 1 an d’emprisonnement et 45 000 € d’amende (CP, art. 226-1). De surcroît, une personne morale déclarée responsable pénalement encourt une amende ainsi que l’interdiction, à titre temporaire ou définitif, d’exercer l’activité professionnelle dans laquelle l’infraction a été commise outre l’affichage ou la diffusion de la décision prononcée (CP, art. 226-7).
Par ailleurs, le législateur sanctionne également le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite d’une peine de 5 ans d’emprisonnement et de 300 000 € d’amende (CP, art. 226-18). Il applique la même peine en cas de détournement de la finalité du dispositif (CP, art. 226-21).
A l’heure du bilan, il apparaît très clairement que les droits et libertés fondamentaux des bénéficiaires des ESMS ont été particulièrement impactés. Les établissements ont en effet rencontré des difficultés pour concilier, d’une part, les enjeux liés à la santé publique et, d’autre part, les droits et libertés des bénéficiaires.
Les bénéficiaires des ESMS et plus particulièrement les personnes âgées sont particulièrement vulnérables face à la Covid 19. Tout au long de l’épidémie, les établissements ont donc mis en place des mesures spécifiques pour tenter de les protéger. Près d’un an et demi après le premier confinement, il convient de faire une analyse sur l’impact des mesures sur le droit à la vie privée des bénéficiaires des ESMS, à la lumière du rapport de la défenseure des droits.
Pendant l’épidémie de la Covid 19, les bénéficiaires ont presque systématiquement été isolés dans leur chambre. Pour limiter les risques de contamination, ils ne se déplaçaient plus dans les lieux communs pour prendre leurs repas ou participer aux activités. De surcroît, les visites extérieures des familles et des proches étaient limitées à quelques heures par mois voire totalement interdites.
Selon le rapport de la défenseure des droits et au regard des témoignages recueillis, on constate que les situations étaient parfois très différentes d’un établissement à un autre. « L’adoption ou le maintien de telles restrictions, gravement attentatoires à la liberté d’aller et venir, ne peut être laissé à la seule appréciation des directions d’Ehpad. Ces mesures doivent faire l’objet d’un encadrement strict, garantissant l’appréciation de leur caractère nécessaire et proportionné, sur la base de l’égalité pour l’ensemble de la population », estime la défenseure des droits.
Pour rompre cet isolement, de nombreux établissements ont toutefois mis en place des procédures spécifiques. Certains résidents ont ainsi été initiés aux nouvelles technologies pour échanger avec leurs proches par le biais de vidéos, de messages, de mails ou encore de photos.
Des problématiques liées à la fin de vie se sont également posées au cours de l’épidémie. le décret n° 2020-383 du 1er avril 2020 avait par exemple ordonné la mise en bière immédiate des personnes probablement décédées de la Covid 19. Les professionnels ne réalisaient donc plus les soins de conservation et de toilette mortuaire. Ces mesures ont finalement pris fin le 11 mai 2020, après avoir été abrogées. De plus, dans les Ehpad, mais plus généralement dans tous les établissements de soins, de nombreuses personnes sont décédées de la Covid 19 dans le plus grand isolement, sans avoir pu bénéficier d’un accompagnement de leur famille.
L’employeur et le salarié sont liés par un contrat de travail dont l’une des caractéristiques principales est le lien de subordination existant entre les deux parties. Si le code du travail ne donne pas de définition du lien de subordination, la jurisprudence est venue apporter des précisions. L’arrêt fondateur « Société générale »du 13 novembre 1996 précise que « le lien de subordination est caractérisé par l’exécution d’un travail sous l’autorité d’un employeur qui a le pouvoir de donner des ordres et des directives, d’en contrôler l’exécution et de sanctionner les manquements de son subordonné » (Cass. soc., 13 novembre 1996, n° 94-13187). L’employeur dispose ainsi à l’égard du salarié d’un pouvoir de direction, de contrôle et de sanction.
Sur le fondement du lien de subordination et notamment de son pouvoir de contrôle, l’employeur est en droit de contrôler l’activité professionnelle des salariés. Toutefois, ce contrôle est strictement encadré : « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché » (C. trav., art. L. 1121-1). La Cour de cassation a également apporté des précisions sur l’articulation entre le pouvoir de contrôle de l’employeur et le respect de la vie privée et personnelle du salarié.
Dans le cadre de l’activité professionnelle, l’employeur met à la disposition des salariés du matériel spécifique comme un ordinateur, un téléphone ou encore une clé USB. Dans certaines situations, et sous certaines conditions, il peut être amené à les consulter.
Par principe, la Cour de cassation retient que les documents figurant sur l’ordinateur professionnel du salarié sont présumés avoir un caractère professionnel. L’employeur peut donc y avoir accès hors de la présence du salarié (Cass. soc., 18 octobre 2006, n° 04-48025).
Néanmoins, si le salarié identifie certains fichiers ou certaines correspondances comme « personnels », l’employeur ne peut pas les consulter hors de sa présence ou sans l’avoir préalablement informé (Cass. soc., 2 octobre 2021, n° 99-42.942, Nikon).
Par ailleurs, les connexions effectuées par un salarié sur différents sites Internet pendant son temps de travail sur son outil informatique professionnel bénéficient également de la présomption professionnelle. L’employeur peut ainsi les rechercher aux fins de les identifier même si le salarié n’est pas présent dans l’entreprise (Cass. soc., 9 juillet 2008, n° 06-45800). En revanche, l’employeur ne peut prendre connaissance des messages échangés sur une messagerie personnelle de type « Messenger » que le salarié a installée sur son ordinateur professionnel (Cass. soc., 23 octobre 2019, n° 17-28448).
Si l’employeur ne respecte pas la procédure et qu’il porte atteinte au secret des correspondances, il encourt une peine de 1 an d’emprisonnement et de 45 000 € d’amende (CP, art. 226-15).
Pour le téléphone professionnel, la Cour de cassation applique le même raisonnement juridique que pour les fichiers professionnels contenus sur l’ordinateur professionnel.
L’employeur peut par exemple consulter les SMS envoyés ou reçus par le salarié avec son téléphone professionnel sans que le salarié soit présent sauf s’ils sont identifiés comme « personnels » (Cass. com., 10 février 2015, n° 13-14779).
Toutefois, l’employeur peut néanmoins sanctionner l’usage abusif du téléphone professionnel à des fins personnelles (Cass. soc., 18 juin 2003, n° 01-43122). Dans cette affaire, une salariée avait quotidiennement appelé la métropole depuis la Martinique pendant plusieurs mois alors même qu’elle avait été avertie de l’augmentation anormale de ses communications téléphoniques.
La Cour de cassation estime que lorsque la clé USB est connectée à l’ordinateur professionnel, il existe une présomption d’utilisation à titre professionnel. De cette façon, l’employeur est en droit de consulter, sans la présence du salarié, l’ensemble des fichiers qui ne sont pas identifiés comme étant personnels (Cass. soc. 12 février 2013, n° 11-28649).
Afin de contrôler l’activité de leurs salariés, certains employeurs mettent en place dans la structure un système de géolocalisation. Ce dispositif n’est licite que s’il répond à des conditions particulières de mise en place et de fonctionnement.
La géolocalisation doit tout d’abord être justifiée par un intérêt légitime. La Commission nationale de l’informatique et des libertés précise à ce titre que l’employeur doit poursuivre une des finalités suivantes :
• le respect d’une obligation légale ou réglementaire imposant la mise en œuvre d’un dispositif de géolocalisation en raison du type de transport ou de la nature des biens transportés ;
• le suivi et la facturation d’une prestation de transport de personnes ou de marchandises ou d’une prestation de services directement liée à l’utilisation du véhicule, ainsi que la justification d’une prestation auprès d’un client ou d’un donneur d’ordre ;
• la sûreté ou la sécurité de l’employé lui-même ou des marchandises ou véhicules dont il a la charge, en particulier la lutte contre le vol du véhicule ;
• une meilleure allocation des moyens pour des prestations à accomplir en des lieux dispersés, notamment pour des interventions d’urgence ;
• le contrôle du respect des règles d’utilisation du véhicule définies par le responsable de traitement, sous réserve de ne pas collecter une donnée de localisation en dehors du temps de travail du conducteur.
Si ce dispositif est justifié par un intérêt légitime, l’employeur doit, préalablement à sa mise en place, consulter le comité social et économique (CSE) (C. trav., art. L. 2312-38) et informer individuellement les salariés (C. trav., art. L. 1222-4).
De surcroît, l’employeur peut collecter des données à caractère personnel uniquement « si elles sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie par le responsable de traitement » (Délibération Cnil n° 2015-165, 4 juin 2015).
A noter : Lorsque le dispositif a pour objectif de contrôler la durée du travail du salarié, il est licite seulement si le salarié ne dispose pas d’une liberté dans l’organisation de son travail (Cass. soc., 3 novembre 2011, n° 10-18036 et 19 décembre 2018, n° 17-14631). De plus, l’utilisation de la géolocalisation se fait uniquement à titre subsidiaire. Ainsi l’employeur ne doit pas disposer de mesures alternatives pour contrôler le temps de travail du salarié même si ces dernières s’avèrent moins efficaces que la géolocalisation (Cass. soc., 3 novembre 2011, n° 10-18036 et 19 décembre 2018, n° 17-14631).
En outre, le salarié doit avoir accès aux données enregistrées par l’employeur et pouvoir désactiver la géolocalisation en dehors de son temps de travail.
Les informations collectées doivent être visualisées uniquement par le personnel habilité à cet effet.
Enfin, les données de localisation peuvent être conservées pour une durée maximale de 2 mois. Cette durée peut être portée à 1 an s’il est nécessaire de prouver l’exécution d’une prestation et qu’aucun autre moyen de preuve n’existe. Elle peut exceptionnellement être portée à 5 ans dans le cadre du suivi du temps de travail, à condition de conserver uniquement les données relatives aux horaires et que le suivi ne puisse être effectué par un autre moyen.
Selon le même fondement juridique que pour les systèmes de géolocalisation, la vidéosurveillance est licite que si elle poursuit un objectif légal et légitime. Par exemple, l’installation de caméras peut être rendue nécessaire pour assurer la sécurité des biens et des personnes dans la structure ou encore en raison de risque particulier de vol.
Très récemment, la Cour de cassation est venue rappeler que l’utilisation de la vidéosurveillance afin de procéder à une surveillance excessive constituait une atteinte à la vie privée du salarié (Cass. soc., 23 juin 2021, n° 19-13856).
En outre, avant la mise en place d’un système de vidéosurveillance, l’employeur est tenu de consulter le CSE et d’informer individuellement les salariés.
Par ailleurs, la Cnil précise que les caméras peuvent filmer les zones d’entrée et de sortie des bâtiments ou encore les zones de stockage de marchandises. Toutefois, elles ne peuvent être placées de façon à filmer les salariés en permanence sur leur poste de travail ou encore dans les salles de pause, hormis dans certaines hypothèses très spécifiques. A titre d’illustration, la Cnil a autorisé un employeur à filmer un salarié qui manipulait des objets de grande valeur.
L’employeur doit impérativement sécuriser l’accès aux images de vidéosurveillance. Elles ne peuvent être visionnées que par des personnes habilitées du fait de leurs fonctions dans l’entreprise. En outre, il est impératif de fixer une durée de conservation des images (en fonction de la finalité du système de contrôle).
A noter : Dès lors que les lieux sont ouverts au public, le dispositif de vidéosurveillance doit être autorisé par le préfet du département.
Un employeur qui a recours à un dispositif de contrôle sans respecter les conditions posées par la loi ou la jurisprudence ne peut utiliser les éléments qu’il recueille pour sanctionner un salarié.
Ce principe a été rappelé très récemment par la Cour de cassation (Cass. soc., 23 juin 2021, n° 19-13856). Dans cet arrêt, un employeur avait placé sous vidéosurveillance un salarié qui exerçait seul son activité en cuisine. Les juges ont estimé que ce dispositif de surveillance était attentatoire à la vie personnelle du salarié et disproportionné au but allégué par l’employeur de sécurité des personnes et des biens. De ce fait, le licenciement du salarié fondé sur des éléments recueillis par le biais du dispositif a été considéré comme abusif.
De plus, l’employeur qui souhaite notifier une sanction disciplinaire à un salarié ne peut utiliser des enregistrements issus d’un système de vidéosurveillance si les salariés n’ont pas été préalablement informés de l’existence de ce dispositif (Cass. soc., 10 janvier 2012, n° 10-23482).
En revanche, la Haute Juridiction estime que si les caméras n’ont pas été installées afin de contrôler l’activité des salariés pendant leur activité, l’information préalable des salariés n’est pas nécessaire (Cass. soc., 11 décembre 2019, n° 17-24179 et 18 novembre 2020, n° 19-15856). Cette position a été rappelée dans un arrêt très récent du 22 septembre 2021. Un employeur avait installé des caméras afin de sécuriser une zone de stockage non ouverte au public. Ces caméras permettaient de visualiser la zone de stockage mais également la porte des toilettes. Or les vidéos permettaient de constater qu’un salarié s’était rendu coupable de voyeurisme dans les toilettes pour femmes. La Cour de cassation a considéré que cette preuve était licite même si le salarié n’avait pas préalablement été informé dans la mesure où la caméra ne servait pas à contrôler le salarié dans ses fonctions.
Par ailleurs, l’employeur peut également être poursuivi au titre des mêmes sanctions pénales que les ESMS qui ne respecteraient pas les obligations liées à la mise en place de caméras de vidéosurveillance. Enfin, l’employeur qui ne consulte pas le CSE commet une entrave au fonctionnement régulier de cette institution et peut être condamné à une amende de 7 500 € (C. trav., art. L. 2317-1).
Constitue une donnée à caractère personnel toute information se rapportant à une personne physique identifiée ou identifiable, par exemple « un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale » (RGPD, art. 4).
Dans le cadre de sa relation contractuelle avec le salarié, l’employeur collecte de nombreuses données personnelles sur ses salariés. Par principe, le traitement de ces données n’est licite que sous réserve que la personne ait consenti, que ce soit nécessaire et que cela ne porte pas sur des données interdites.
Dans certaines hypothèses strictement prévues par le législateur, l’employeur peut être amené à transmettre des données personnelles de ses salariés à des tiers.
Tout d’abord, les autorités judiciaires disposent d’un droit de communication très étendu. En effet, au cours d’une enquête ou d’une instruction pénale, elles peuvent demander des informations aux employeurs (CPP, art. 60-1). Dans le cadre d’une enquête, par exemple, un officier de police judiciaire peut solliciter la transmission de l’adresse ou encore du numéro de téléphone portable du salarié.
Ne pas répondre à cette sollicitation « dans les meilleurs délais » peut entraîner le paiement d’une amende de 3 750 € (CPP, art. 60-1).
Par ailleurs, l’administration fiscale peut solliciter la communication de documents pour contrôler les déclarations fiscales des salariés (Livre des procédures fiscales[LPF], art. L. 81). L’employeur peut alors être tenu de transmettre les documents sur lesquels sont enregistrés les paiements des salaires (LPF, art. L. 82 B). Tout refus de communication ou comportement faisant obstacle à la communication est passible d’une amende de 10 000 € et de 1 500 € pour chaque document sans pouvoir excéder la somme de 50 000 € (code général des impôts [CGI], art. 1734). Une amende de 10 000 € est également applicable en cas d’absence de tenue de ces documents ou de destruction de ceux-ci avant les délais prescrits (CGI, art. 1734). Pour mémoire, les bulletins de paie doivent être conservés par l’employeur pendant au moins 5 ans (code du travail [C. trav.], art. L. 3243-4).
En outre, les organismes de sécurité sociale comme la caisse primaire d’assurance maladie (Cpam), la caisse d’allocations familiales (CAF) ou la Caisse nationale d’assurance vieillesse (Cnav) peuvent également demander la communication d’informations personnelles sur les salariés en vue de vérifier le contenu des déclarations (code de la sécurité sociale [CSS], art. L. 114-19). Ainsi, par exemple, des demandes peuvent être adressées à l’employeur pour connaître le domicile ou les ressources du salarié. Si l’employeur refuse de répondre ou ne répond pas, il encourt une pénalité de 1 500 € par cotisant, assuré ou allocataire concerné, sans que le total de la pénalité puisse être supérieur à 10 000 € (CSS., art. L. 114-19).
Selon le législateur, la captation, l’enregistrement et la transmission des paroles et des images des individus « au vu et su des intéressés sans qu’ils s’y soient opposés, alors qu’ils étaient en mesure de le faire », s’analyse comme une présomption de consentement (code pénal, art. 226-1). A contrario, cela signifie que lorsqu’une personne manifeste une altération de ses facultés et ne peut exprimer clairement son consentement, il convient de se rapprocher de son tuteur ou de son curateur pour obtenir son accord, ce qui peut être le cas notamment en Ehpad.
Si l’employeur consulte les fichiers du salarié qui ne sont pas identifiés comme « personnels » mais qu’il découvre des informations relatives à la vie personnelle du salarié, ces dernières ne pourront pas systématiquement constituer le fondement d’une sanction disciplinaire ou d’un licenciement. Les informations relatives à la vie privée du salarié ne pourront fonder une sanction disciplinaire pouvant aller jusqu’au licenciement que s’il existe un manquement à une obligation découlant du contrat de travail (voir notamment Cass. soc., 10 juillet 2013, n° 12-16-878) ou un trouble objectif et caractérisé pour l’entreprise (Cass. soc., 20 novembre 1991, n° 89-44605). Dans ce dernier arrêt, il s’agissait d’un agent de surveillance employé par une entreprise de gardiennage qui avait commis un vol à l’étalage auprès de l’entreprise cliente de son employeur. Le comportement du salarié avait eu un important retentissement sur le crédit et la réputation de la société de gardiennage. En conséquence, la Cour de cassation avait conclu à la validité du licenciement pour faute grave du salarié.
La vidéosurveillance ou la géolocalisation sont des traitements de données à caractère personnel. Les employeurs doivent ainsi se conformer aux règles spécifiques applicables à ce type de dispositif.
Avant l’entrée en vigueur du règlement général sur la protection des données (RGPD), le 25 mai 2018, l’employeur devait déclarer à la Cnil tous les traitements automatisés d’informations nominatives. Depuis, ces formalités ont évolué et l’employeur n’est plus contraint d’effectuer cette démarche. La déclaration a été remplacée par un mécanisme d’autocontrôle en cas de traitement de données à caractère personnel. En d’autres termes, les entreprises et les associations doivent pouvoir justifier à tout moment de leur conformité aux dispositions du RGPD.
Ainsi, la structure doit réaliser une analyse d’impact dès lors qu’elle envisage de mettre en place un traitement de données à caractère personnel susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques (RGPD, art. 35).
De surcroît, elle doit inscrire le dispositif au registre des activités de traitement.
En outre, l’employeur doit désigner un délégué à la protection des données ou un interlocuteur chargé de répondre aux questions en matière d’« informatique et libertés » qui sera associé à l’instauration du dispositif dans la structure.
A noter : Le délégué a pour mission de mettre en conformité la structure avec le RGPD. Pour cela, il conseille, informe et contrôle les dispositions mises en place. Il est obligatoire de le désigner dans les organismes dont l’activité conduit à réaliser un suivi régulier et systématique des personnes à grande échelle ou à traiter à grande échelle des données sensibles.
(1) Constitution de la Ve République, Préambule de la Constitution de 1946, Charte de l’environnement, Déclaration des droits de l’Homme et du citoyen de 1789.
(1) Plus d’informations sur l’AIPD et sur le RGPD sur le site de la Cnil : www.cnil.fr.