Google+

La surveillance électronique au travail : les normes de la CNDP

6 avril 2017 par Rida Benotmane

CYBERSURVEILLANCE

Avec le développement de la numérisation des données personnelles et les risques d’abus liés à leur exploitation par différents intervenants, humains ou automatisés, par le biais de la collecte d’informations et de leur analyse, un dispositif juridique au Maroc établit des normes visant à éviter que ces nouveaux instruments techniques ne se transforment en outils de surveillance incontrôlés susceptibles de fragiliser l’équilibre entre une nécessaire sécurisation des échanges d’informations numériques et les acquis en termes de protection de la vie privée. Un principe consacré à la fois par la Constitution de 2011 et protégé par de nombreuses dispositions à caractère pénal.

Transposé dans le monde du travail, et spécialement dans le secteur productif privé, ces nouveaux défis ne manquent pas d’intérêts puisque la Commission nationale de contrôle de la protection des données à caractère personnel a, durant ces dernières années, émis trois délibérations concernant les champs suivants :

–          les conditions nécessaires à la mise en place d’un système de vidéosurveillance dans les lieux de travail,

–          les conditions nécessaires à la mise en place d’un dispositif de géo-localisation dans des véhicules utilisés par des employés,

–          le traitement de données à caractère personnel mis en œuvre par le secteur privé ou assimilé en vue de la gestion des ressources humaines.

A-    Les règles communes aux différents dispositifs de surveillance au travail

a)      Une obligation d’information personnelle

La Commission nationale de contrôle de la protection des données à caractère personnel exige que les employés soumis aux techniques de surveillance électronique soient préalablement informés par leur employeur de l’existence de tels dispositifs. Mais cette condition ne suffit pas. En effet, les salariés doivent consentir de manière libre et éclairée à l’existence de ces systèmes. Toutefois, une dérogation au consentement de l’employé est envisageable dans les cas énumérés par l’article 4 de la loi n° 09-08 relative à la protection des personnes physiques à l’égard du traitement automatisé des données à caractère personnel, lorsque le traitement des données est nécessaire, notamment dans les cas suivants :

–          respect d’une obligation légale à laquelle est soumis(e) la personne concernée ou le responsable du traitement ;

–          exécution d’un contrat auquel la personne concernée, est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle‐ci ;

–          sauvegarde d’intérêts vitaux de la personne concernée, si elle est physiquement ou juridiquement dans l’incapacité de donner son consentement;

–          exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées ;

–          réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée.

b)     Une obligation de consultation collective

De plus, la Commission nationale de contrôle de la protection des données à caractère personnel instaure une obligation d’information qui incombe à l’employeur consistant à informer les instances représentatives du personnel (Comité d’entreprise et Comité d’hygiène et de sécurité), de l’existence d’un système de surveillance, et ce conformément aux dispositions de l’article 466 du Code du Travail.

c)      Une obligation de confidentialité

La nature sensible des informations collectées par un système automatisé nécessite la mise en place de règles de confidentialité. Ainsi, l’employeur doit prendre, en interne, toutes les mesures nécessaires pour veiller à ce que tous les collaborateurs respectent l’intégrité et la confidentialité des données personnelles, notamment par leur sensibilisation à leurs obligations et par la restriction d’accès en fonction des attributions et des responsabilités de chacun.

De plus, l’employeur est tenu de prendre toutes les précautions utiles pour préserver la sécurité et la confidentialité des données traitées, notamment pour éviter qu’elles soient détruites, déformées, endommagées ou accessibles à des tiers non autorisés.

En cas de recours à un prestataire de service, l’employeur doit imposer à ce prestataire, par voie contractuelle, de mettre en œuvre les mesures de sécurité techniques et organisationnelles appropriées, de n’utiliser les données qu’aux fins prévues, de s’assurer de leur confidentialité et de procéder à la destruction ou à la restitution de tous les supports manuels ou informatisés de données à caractère personnel au terme de sa prestation.

d)     Une obligation de notification à la Commission nationale de contrôle de la protection des données à caractère personnel

Chaque entreprise disposant d’un système de traitement automatisé des donnés relevant des techniques de vidéosurveillance, de géo-localisation ou de gestion des ressources humaines  a la charge d’en notifier la Commission nationale de contrôle de la protection des données à caractère personnel dans les conditions prévues par la loi n° 09-08. Des formulaires types élaborés par la Commission nationale de contrôle de la protection des données à caractère personnel sont mis à la disposition des entreprises sur le site web de l’institution.

B-    Les règles spécifiques

a)      La nature des informations collectées

Dans sa Délibération n°17-2014 du 10/01/2014 portant sur les conditions nécessaires à la mise en place d’un dispositif de géo-localisation dans des véhicules utilisés par des employés, la Commission nationale de contrôle de la protection des données à caractère personnel permet aux entreprises privées d’adopter des systèmes de géo-localisation dans les véhicules utilisés par leurs employés à titre professionnel et de collecter les informations suivantes: nom, prénom, coordonnées professionnelles, numéro de la plaque d’immatriculation du véhicule, position géographique, nombre de kilomètres parcourus, horaires et durées d’utilisation du véhicule, temps de conduite, nombre d’arrêts et la vitesse moyenne de circulation.

Quant au traitement de données à caractère personnel mis en œuvre par le secteur privé ou assimilé en vue de la gestion des ressources humaines, il concerne les informations relatives aux employés pour ce qui a trait à leur identité, antécédents judiciaires, formation, données financières, dotations individuelles en fournitures, équipements, véhicules et carte de paiement, autorisation de travail, congés, évaluation professionnelle, carrière professionnelle, données informatiques, dossier de santé, visites médicales,  déclaration d’accident du travail et de maladie professionnelle, agendas professionnels, activités sociales et culturelles, élections professionnelles, réunions des instances représentatives du personnel, distinctions honorifiques et enfin les coordonnées des personnes à prévenir en cas d’urgence.

La Délibération n°350-2013 du 31/05/2013 portant sur les conditions nécessaires à la mise en place d’un système de vidéosurveillance dans les lieux de travail et dans les lieux privés communs permet aux entreprises d’installer des caméras aux entrées et aux sorties des bâtiments, dans les entrepôts de marchandises, dans les parkings, face à des coffres-forts, à l’entrée et à l’intérieur des salles techniques, etc.

Toutefois, ces installations ne doivent pas être utilisées de manière discriminatoire pour surveiller un ou plusieurs employés, les lieux de culte, les locaux syndicaux, les toilettes, les salles de réunions ou les zones de pauses, etc.

b)     La durée de conservation des données

Pour les données géo-localisées, celles-ci ne doivent pas être conservées au-delà d’une année à compter de la date de l’émission du récépissé de la déclaration faite par l’entreprise auprès de la Commission nationale de contrôle de la protection des données à caractère personnel pour la mise en place du procédé de géo-localisation. Par ailleurs, la durée de conservation des images, dans le cas de la vidéosurveillance, ne doit pas dépasser trois mois.

La précision de la durée de conservation des données est ici importante car elle est spécifique aux techniques de géo-localisation et de vidéosurveillance et se démarque de la disposition générale relative à la conservation des données personnelles prévue par l’article 3-1-e de la loi n° 09-08 où aucun délai de conservation n’a été fixé et où la durée ne doit pas excéder « celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement ».

Publicités

Tags

Agence nationale des réglementations des télécommunications Al Fahad Security Systems Apple Association des droits numériques Blockchain Brevets Certificat de confomité Certificat électronique sécurisé Chris Coleman CJUE CNIL Code du travail Commission Nationale du Contrôle de la Protection des Données à Caractère Personnel Conseil supérieur de la défense nationale Cryptographie Dahir des Obligations et Contrats DaVinci Digital Labor Direction générale de la surveillance du territoire Données personnelles DPO Droit d'auteur Droit du numérique Droit du travail Droit marocain du travail E-commerce E-learning Espionnage Etimad Facebook FAI Faiçal Tanarhte FSSYS MAROC Fédération internationale des droits de l’homme GEN MED Google Hacking Team IBM Iphone Justice Liberté d'expresion Logiciel loi n° 09‐08 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel Loi n°31.08 édictant des mesures de protection du consommateur Loi n°53.05 relative à l'échange électronique des données juridiques Mamfakinch Maroc Télécom Obligation de consultation Omar Guessous Privacy international Propriété intellectuelle Qosmos Qualcomm Remote Control System Reporters sans frontières Responsabilité civile RGPD Robots Russie Santé en ligne Signature électronique Signature électronique sécurisée Soma Technics Streaming Surveillance Taechir Technologies civiles de sécurité Technologies de l'information et de la communication Travail à domicile Trump Twitter Télétravail Uber Vente à distance Vie privée

Recevez nos dernières publications

JurilexBlog | Droit des nouvelles technologies et propriété intellectuelle par Gérard HAAS, avocat à la Cour.