Surveillance des lieux de travail par vidéosurveillance conformément au GDPR / RODO / DSGVO

Les sept obligations relatives à la vidéosurveillance sur le lieu de travail en vertu GDPR

1. Base légale. L’article 6, paragraphe 1, point f), relatif à l’intérêt légitime, est la seule option réaliste : le consentement est irrecevable car les employés ne peuvent refuser librement, et l’article 6, paragraphe 1, point b), relatif à l’exécution du contrat, est trop restrictif. L’analyse de la balance des intérêts légitimes doit être documentée et réexaminée annuellement.
2. DPIA (Article 35). La vidéosurveillance sur les lieux de travail constitue une « surveillance systématique à grande échelle » et déclenche une analyse d'impact relative à la protection des données (AIPD) obligatoire dans tous les pays de l'UE. L'AIPD documente la finalité, le test de proportionnalité, les alternatives envisagées (et les raisons de leur rejet) ainsi que les mesures prises pour minimiser l'impact.
3. Transparence (Articles 13–14). Avant leur déploiement, tous les employés doivent être informés des données enregistrées : quelles sont celles enregistrées, où elles sont enregistrées, pourquoi, par qui, pendant combien de temps et comment exercer leurs droits. Une notice d’information sur la protection des données dans le manuel du personnel et une signalétique en périphérie du site répondent à cette exigence.
4. Rétention. Le délai minimum nécessaire est généralement de 7 à 30 jours. La plupart des accords de poursuite différée considèrent 30 jours comme un délai de défaut souple ; un délai plus long exige une justification spécifique.
5. Signalisation visible. Pictogramme + nom du responsable du traitement + contact + base légale + durée de conservation + contact du DPO. À placer à chaque point d'entrée et à chaque étage des bâtiments à plusieurs étages.
6. Accès au sujet. Tout employé peut demander une copie des enregistrements vidéo dans lesquels il apparaît. Un délai de réponse de 30 jours s'applique.
7. Minimisation. FOV de la caméra doit être le plus étroit possible tout en assurant la sécurité. Les caméras pointant vers des bureaux, des zones de repos ou couvrant une zone publique plus étendue que nécessaire ne répondent pas à cette exigence.

Modules complémentaires spécifiques au pays

Allemagne (DSGVO + BDSG + BetrVG). La codécision du comité d'entreprise, conformément à l'article 87, paragraphe 1, point 6, de la loi allemande sur la protection des données (BetrVG), est obligatoire pour toute technologie de surveillance des employés, y compris la vidéosurveillance. L'employeur ne peut installer, étendre ou modifier le système sans l'accord du comité d'entreprise. Les autorités de protection des données des Länder (16 Länder) infligent régulièrement des amendes en cas de non-consultation. L'article 26 de la loi fédérale allemande sur la protection des données (BDSG) fixe des délais de conservation par défaut plus stricts que GDPR : 72 heures constituent généralement la limite maximale.

Pologne ( pratique RODO + Kodeks). L'article 22² du Code du travail autorise la vidéosurveillance sur le lieu de travail, mais uniquement pour garantir la sécurité, protéger les biens, contrôler la production ou préserver la confidentialité. Son déploiement doit être encadré par le règlement intérieur de l'entreprise et communiqué aux salariés au moins 14 jours avant sa mise en service. L'inspection du travail est de plus en plus active : les amendes pour signalétique insuffisante et conservation injustifiée des caméras sont fréquentes.

France (guide CNIL + Code du travail). La consultation du comité d'entreprise, conformément à l'article L2312-38, est obligatoire. La CNIL a publié des lignes directrices contraignantes limitant la conservation des enregistrements à 30 jours, sauf en cas d'incidents spécifiques. Les caméras ne doivent pas filmer en continu les postes de travail des employés et doivent impérativement éviter les zones de pause. Les amendes infligées par la CNIL pour infraction à la réglementation sur la vidéosurveillance au travail varient de 1 000 € à plus de 600 000 €.

Italie (Garante + Statuto dei Lavoratori article 4). L'un des régimes les plus stricts. L'article 4 du statut des travailleurs interdit l'installation d'équipements de surveillance pour le contrôle direct des employés et exige un accord collectif (avec le comité d'entreprise ou, à défaut, l'autorisation de l'inspection du travail régionale) avant le déploiement de tout système susceptible de capter incidemment l'activité des employés.

Royaume-Uni ( GDPR britannique + Loi sur la protection des données de 2018 + Code des pratiques d'emploi de l'ICO). La consultation du comité d'entreprise est recommandée, mais non obligatoire. Le Code des pratiques d'emploi de l'ICO fait autorité et est fréquemment cité lors de l'application de la loi sur la protection des données (DPA). La durée de conservation par défaut est de 30 jours ; une durée plus longue nécessite un incident documenté.

Les manquements courants en matière de conformité (et leur coût)

• Caméras dans les toilettes, les vestiaires ou les aires de repos : amendes automatiques à six chiffres dans toute l’UE.
• Retenue indéfinie ou de plus de 90 jours sans justification documentée — amendes fréquentes de quelques dizaines de milliers d'euros.
• Absence de signalétique ou signalétique dans une seule langue dans les lieux de travail multilingues — 5 000 € à 25 000 € en moyenne.
• Absence d'analyse d'impact relative à la protection des données (AIPD) au dossier — de plus en plus considérée comme un facteur aggravant qui multiplie la sanction initiale.
• Aucune consultation du comité d'entreprise en DE / FR / IT — le déploiement entier pourrait être annulé rétroactivement.
• La diffusion en direct accessible aux gestionnaires sans journalisation des accès constitue une violation des principes de minimisation et de responsabilité.
• Capture audio sans justification distincte — l'enregistrement audio des conversations sur le lieu de travail est traité plus strictement que la vidéo.

Une liste de contrôle avant déploiement qui tient ses promesses

Avant le premier tirage de câble : (1) rédiger une analyse d’impact relative à la protection des données (AIPD) couvrant la finalité, la proportionnalité, les alternatives, la minimisation FOV et la conservation ; (2) mettre à jour la notice d’information sur la protection des données et le manuel du personnel avec le nouveau traitement ; (3) consulter le comité d’entreprise/le syndicat, le cas échéant, et obtenir leur accord écrit ; (4) concevoir la carte FOV indiquant la couverture exacte avec le test de proportionnalité annoté pour chaque caméra ; (5) produire une signalétique dans chaque langue utilisée sur le lieu de travail ; (6) définir les règles de conservation et le contrôle technique permettant de les appliquer ; (7) désigner le responsable des journaux d’accès ; (8) former l’équipe de sécurité au flux de travail relatif à l’accès aux données.

CCTVplanner génère directement (4) : il place les caméras sur le plan, verrouille les cônes FOV, exporte un PDF annoté avec le test de proportionnalité pour chaque caméra et l’ajoute à l’annexe de l’analyse d’impact relative à la protection des données (AIPD). L’expert en AIPD examine le même document que vous.