Quels documents l'employeur doit-il conserver pour justifier un dispositif de surveillance lors d'un contrôle ?
Réponse courte
L'employeur doit constituer et conserver un dossier de conformité complet pour chaque dispositif de surveillance, immédiatement présentable à l'ITM, à la CNPD ou au tribunal du travail. Ce dossier réunit le registre des traitements (article 30 RGPD), l'AIPD (article 35 RGPD), le procès-verbal de consultation de la délégation du personnel, les notes d'information individuelle et collective, la charte informatique applicable et les contrats de sous-traitance article 28.
Cette obligation de documentation procède du principe d'accountability : depuis le RGPD (mai 2018), il n'existe plus de régime déclaratif et c'est à l'employeur de prouver, à tout moment, la conformité de son dispositif. L'absence de pièces probantes équivaut à un manquement et expose à des sanctions administratives (jusqu'à 20 millions € ou 4 % du CA mondial) et à l'irrecevabilité des preuves.
Définition
Le dossier de conformité désigne l'ensemble des pièces écrites permettant à l'employeur de démontrer, à tout moment, la légalité d'un dispositif de surveillance des salariés (vidéosurveillance, cybersurveillance, géolocalisation, badges, enregistrement audio).
Ce dossier matérialise le principe d'accountability posé par le RGPD : la charge de la preuve de la conformité repose sur le responsable de traitement, qui doit pouvoir présenter sans délai les justificatifs aux autorités de contrôle.
Questions fréquentes
Conditions d’exercice
Le dossier doit être tenu à jour en permanence et révisé à chaque modification du dispositif ; un dossier obsolète, incomplet ou simplement déclaratif sans pièces justificatives ne suffit pas à démontrer la conformité.
| Condition | Exigence |
|---|---|
| Exhaustivité | Toutes les pièces de la chaîne de conformité présentes (registre, AIPD, consultations, informations) |
| Datation | Chaque pièce signée et datée pour démontrer l'antériorité des démarches |
| Mise à jour | Révision à chaque modification du dispositif, avec versioning et historique conservés |
| Accessibilité | Présentation immédiate aux autorités lors d'un contrôle ; pas de délai d'archivage |
| Confidentialité | Accès restreint aux personnes habilitées avec journalisation |
| Conservation | Durée de vie du dispositif + 5 ans après suppression pour la défense en justice |
Modalités pratiques
Le registre des traitements et l'AIPD sont les deux pièces maîtresses ; sans elles, la conformité ne peut être établie même si toutes les autres formalités ont été respectées.
| Démarche | Précision |
|---|---|
| Registre des traitements | Article 30 RGPD : finalités, catégories, durées, destinataires, mesures de sécurité |
| AIPD | Article 35 RGPD : analyse d'impact pour les traitements à risque élevé, signée par le DPO |
| Procès-verbal de consultation | Délégation du personnel ou ITM, daté et signé (L.414-9) |
| Notes d'information | Notice individuelle remise à chaque salarié + affichage collectif |
| Charte informatique | Politique d'usage opposable, diffusion datée et tracée |
| Contrats article 28 RGPD | Sous-traitance encadrée pour les prestataires (cloud, vidéaste, infogérance) |
| Habilitations | Liste nominative des accès avec dates, motifs, journalisation |
Pratiques et recommandations
Centraliser l'ensemble du dossier de conformité dans un coffre-fort numérique accessible au DPO et à la direction.
Versionner chaque modification du dispositif avec horodatage, signataire et motif du changement.
Auditer annuellement le dossier pour vérifier l'exhaustivité, l'actualité et la cohérence des pièces.
Anticiper les contrôles CNPD/ITM par des simulations internes et la préparation d'un index documentaire.
Conserver les pièces pendant la durée du dispositif augmentée d'au moins 5 ans après son arrêt pour les besoins de défense.
Former les responsables hiérarchiques aux exigences d'accountability et à la traçabilité des actions.
Cadre juridique
| Référence | Objet |
|---|---|
| Art. L.261-1 du Code du travail | Traitement de données pour surveillance des salariés (loi du 1er août 2018) |
| Art. L.414-9 du Code du travail | Co-décision de la délégation du personnel et procès-verbal |
| Loi modifiée du 1er août 2018 | Protection des personnes à l'égard du traitement des données à caractère personnel |
| Règlement (UE) 2016/679 (RGPD) | Articles 5.2 (accountability), 24, 28, 30, 32, 35 |
| Loi du 5 juillet 2016 | Réorganisation de la CNPD et pouvoirs de contrôle |
| Lignes directrices CNPD | Recommandations pratiques sur la documentation des traitements |
Note
Le principe d'accountability impose à l'employeur de prouver à tout moment la conformité ; l'absence de dossier complet est en soi une violation, indépendamment de la régularité matérielle du dispositif. Les sanctions administratives RGPD peuvent atteindre 20 millions € ou 4 % du chiffre d'affaires mondial.