mercredi 10 juin 2015

La surveillance électronique au travail : les nouvelles normes de la CNDP

Avec le développement de la numérisation des données personnelles et les risques d’abus liés à leur exploitation par différents intervenants, humains ou automatisés, par le biais de la collecte d’informations et de leur analyse, un nouveau dispositif juridique au Maroc établit des normes visant à éviter que ces nouveaux instruments techniques ne se transforment en outils de surveillance incontrôlés susceptibles de fragiliser l’équilibre entre une nécessaire sécurisation des échanges d’informations numériques et les acquis en termes de protection de la vie privée. Un principe consacré à la fois par la Constitution de 2011 et protégé par de nombreuses dispositions à caractère pénal.
Transposé dans le monde du travail, et spécialement dans le secteur productif privé, ces nouveaux défis ne manquent pas d’intérêts puisque la Commission nationale de contrôle de la protection des données personnelles (CNDP)[1] a, durant ces deux dernières années, émis trois délibérations concernant les champs suivants :
-          les conditions nécessaires à la mise en place d’un système de vidéosurveillance dans les lieux de travail[2],
-          les conditions nécessaires à la mise en place d’un dispositif de géo-localisation dans des véhicules utilisés par des employés[3],
-          le traitement de données à caractère personnel mis en œuvre par le secteur privé ou assimilé en vue de la gestion des ressources humaines[4].

A-    Les règles communes aux différents dispositifs de surveillance au travail

a)      Une obligation d’information personnelle

La CNDP exige que les employés soumis aux techniques de surveillance électronique soient préalablement informés par leur employeur de l’existence de tels dispositifs. Mais cette condition ne suffit pas. En effet, les salariés doivent consentir de manière libre et éclairée à l’existence de ces systèmes. Toutefois, une dérogation au consentement de l’employé est envisageable dans les cas énumérés par l’article 4 de la loi 09-08 lorsque le traitement des données est nécessaire, notamment dans les cas suivants :
-          respect d'une obligation légale à laquelle est soumis(e) la personne concernée ou le responsable du traitement ;
-          exécution d'un contrat auquel la personne concernée, est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle‐ci ;
-          sauvegarde d'intérêts vitaux de la personne concernée, si elle est physiquement ou juridiquement dans l'incapacité de donner son consentement;
-          exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées ;
-          réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l'intérêt ou les droits et libertés fondamentaux de la personne concernée.

b)     Une obligation de consultation collective

De plus, la CNDP instaure une obligation d’information des instances représentatives du personnel sur l’existence d’un système de surveillance, comme le Comité d’entreprise (CE) ou le Comité d’hygiène et de sécurité (CHS) conformément aux dispositions de l’article 466 du Dahir n°1-03-194 du 14 rejeb (11 septembre 2003) portant promulgation de la loi n°65-99 relative au Code du Travail[5].

c)      Une obligation de confidentialité

La nature sensible des informations collectées par un système automatisé nécessite la mise en place de règles de confidentialité. Ainsi, l’employeur doit prendre, en interne, toutes les mesures nécessaires pour veiller à ce que tous les collaborateurs respectent l’intégrité et la confidentialité des données personnelles, notamment par leur sensibilisation à leurs obligations et par la restriction d’accès en fonction des attributions et des responsabilités de chacun.
De plus, l’employeur est tenu de prendre toutes les précautions utiles pour préserver la sécurité et la confidentialité des données traitées, notamment pour éviter qu’elles soient détruites, déformées, endommagées ou accessibles à des tiers non autorisés.
En cas de recours à un prestataire de service, l’employeur doit imposer à ce prestataire, par voie contractuelle, de mettre en œuvre les mesures de sécurité techniques et organisationnelles appropriées, de n’utiliser les données qu’aux fins prévues, de s’assurer de leur confidentialité et de procéder à la destruction ou à la restitution de tous les supports manuels ou informatisés de données à caractère personnel au terme de sa prestation.

d)     Une obligation de notification à la CNDP

Chaque entreprise usant d’un système de traitement automatisé des donnés relevant des techniques de vidéosurveillance, de géo-localisation ou de gestion des ressources humaines  a la charge d’en notifier la CNDP dans les conditions prévues par la loi 09-08. Des formulaires types élaborés par la CNDP sont mis à la disposition des entreprises sur le site web de la CNDP[6].

B-    Les règles spécifiques

a)      La nature des informations collectées

Dans sa Délibération n°17-2014 du 10/01/2014 portant sur les conditions nécessaires à la mise en place d’un dispositif de géo-localisation dans des véhicules utilisés par des employés, la CNDP permet aux entreprises privées d’adopter des systèmes de géo-localisation dans les véhicules utilisés par leurs employés à titre professionnel et de collecter les informations suivantes: nom, prénom, coordonnées professionnelles, numéro de la plaque d’immatriculation du véhicule, position géographique, nombre de kilomètres parcourus, horaires et durées d’utilisation du véhicule, temps de conduite, nombre d’arrêts et la vitesse moyenne de circulation.
Quant au traitement de données à caractère personnel mis en œuvre par le secteur privé ou assimilé en vue de la gestion des ressources humaines, il concerne les informations relatives aux employés pour ce qui a trait à leur identité, antécédents judiciaires, formation, données financières, dotations individuelles en fournitures, équipements, véhicules et carte de paiement, autorisation de travail, congés, évaluation professionnelle, carrière professionnelle, données informatiques, dossier de santé, visites médicales,  déclaration d'accident du travail et de maladie professionnelle, agendas professionnels, activités sociales et culturelles, élections professionnelles, réunions des instances représentatives du personnel, distinctions honorifiques et enfin les coordonnées des personnes à prévenir en cas d'urgence.
La Délibération n°350-2013 du 31/05/2013 portant sur les conditions nécessaires à la mise en place d’un système de vidéosurveillance dans les lieux de travail et dans les lieux privés communs permet aux entreprises d’installer des caméras aux entrées et aux sorties des bâtiments, dans les entrepôts de marchandises, dans les parkings, face à des coffres-forts, à l’entrée et à l’intérieur des salles techniques, etc.
Toutefois, ces installations ne doivent pas être utilisées de manière discriminatoire pour surveiller un ou plusieurs employés, les lieux de culte, les locaux syndicaux, les toilettes, les salles de réunions ou les zones de pauses, etc.


b)     La durée de conservation des données

Pour les données géo-localisées, celles-ci ne doivent pas être conservées au-delà d’une année à compter de la date de l’émission du récépissé de la déclaration faite par l’entreprise auprès de la CNDP pour la mise en place du procédé de géo-localisation. Par ailleurs, la durée de conservation des images, dans le cas de la vidéosurveillance, ne doit pas dépasser trois mois.
La précision de la durée de conservation des données est ici importante car elle est spécifique aux techniques de géo-localisation et de vidéosurveillance et se démarque de la disposition générale relative à la conservation des données personnelles prévue par l’article 3-1-e de la loi n° 09-08 où aucun délai de conservation n’a été fixé et où la durée ne doit pas excéder « celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement ». Notons que cette disposition générale est applicable au traitement de données à caractère personnel mis en œuvre par le secteur privé ou assimilé dans la perspective de la gestion des ressources humaines.


[1] Le Maroc a institué une Commission nationale de contrôle de la protection des données personnelles (CNDP) : les missions de cette instance gouvernementale ont été fixées par le dahir n° 1‐09‐15 du 22 safar 1430 (18 février 2009) portant promulgation de la loi n° 09‐08 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et par un décret d’application n° 2-09-165 du 25 joumada I 1430 pris pour l 'application de la loi précitée publié au Bulletin Officiel (B.0)  n° 5744 du 18 juin 2009.


[2] Délibération n°350-2013 du 31/05/2013 portant sur les conditions nécessaires à la mise en place d’un système de vidéosurveillance dans les lieux de travail et dans les lieux privés communs.


[3] Délibération n°17-2014 du 10/01/2014 portant modification de la délibération n°402-2013 du 12 Juillet 2013 portant sur les conditions nécessaires à la mise en place d’un dispositif de géo-localisation dans des véhicules utilisés par des employés.


[4] Délibération n° 298-AU-2014 du 11/04/2014 portant modèle de demande d’autorisation type relative au traitement de données à caractère personnel mis en œuvre par le secteur privé ou assimilé en vue de la gestion des ressources humaines.

[5] Art. 466 du  Dahir n° 1-03-194 du 14 rejeb (11 septembre 2003) portant promulgation de la loi n° 65-99 relative au Code du Travail : « Le Comité d’entreprise est chargé dans le cadre de sa mission consultative des questions suivantes : - les transformations structurelles et technologiques à effectuer dans l'entreprise ».


Aucun commentaire:

Enregistrer un commentaire