Le 13 juin 2019, par une délibération n°SAN-2019-006, la formation restreinte de la Commission nationale de l’informatique et des libertés (Cnil) a prononcé une sanction pécuniaire de 20 000 euros à l’encontre d’une société de traduction pour divers manquements relatifs à la vidéosurveillance excessive des salariés. A noter que cette sanction a été précédée d’une mise en demeure non publique, prononcée le 26 juillet 2018.

Il est notamment reproché à la société d’avoir mis en œuvre un dispositif de vidéosurveillance non conforme, de ne pas avoir informé ses salariés du traitement afférent, et de ne pas avoir mis en œuvre de mesures adéquates pour assurer la sécurité et la confidentialité des données traitées.

Quel est le contenu de cette décision ? Mathias Avocats fait le point.

Quels sont les faits ?

La société a mis en place un dispositif de vidéosurveillance dans ses locaux. Entre 2013 et 2015, la Cnil a été saisie de plusieurs plaintes de salariés de la société portant sur ce dispositif. Par deux lettres du 18 octobre 2013 et du 2 juin 2016, les services de la Cnil ont rappelé à la société les règles encadrant la mise en place d’un dispositif de vidéosurveillance et la nécessité de s’assurer que le dispositif respecte la vie privée des collaborateurs sur le lieu de travail. La société avait répondu à ces lettres, en indiquant que le dispositif n’était pas utilisé pour surveiller les activités du personnel, mais pour assurer la sécurité des biens et des personnes.

En 2017, la Cnil a reçu quatre nouvelles réclamations. En conséquence, une délégation de la Cnil a procédé à une mission de contrôle dans les locaux le 16 février 2018. Au cours de ce contrôle, les agents ont pu constater la présence de trois caméras dans les locaux, dont une filmant en continu les postes de travail de six collaborateurs et une armoire contenant des documents de travail. La délégation a également relevé qu’aucune information formelle sur ce dispositif n’était mise en place vis-vis des salariés et que la durée de conservation des images était excessive. Lors du contrôle, il a également été constaté l’absence de certaines mesures de sécurité. En l’espèce, les postes informatiques de chaque salarié et du dirigeant étaient accessibles sans mot de passe. De plus, tous avaient accès, grâce à un identifiant commun, à la messagerie professionnelle de la société. Aucune mesure de traçabilité n’était en outre mise en place.

Le 26 juillet 2018, la Présidente de la Cnil a mis en demeure la société, dans un délai de deux mois, de remédier aux manquements constatés. Il s’agissait pour la société :

  • de modifier le dispositif de vidéosurveillance, afin qu’il ne soit pas procédé à une surveillance constante des salariés ;
  • de mettre en œuvre une durée de conservation des données proportionnée à la finalité du traitement, estimée en l’espèce à quinze jours par la Cnil ;
  • d’informer les personnes concernées, en conformité avec les articles 12 et 13 du Règlement général sur la protection des données (RGPD) ;
  • de mettre en œuvre une série de mesures destinées à assurer la sécurité et la confidentialité des données.

Par lettre du 10 septembre 2018, la société a répondu à la mise en demeure sur les manquements qui lui étaient reprochés en indiquant y avoir remédié concernant le dispositif de vidéosurveillance. Toutefois, elle indiquait également ne pas entendre mettre en œuvre de mesures de sécurité complémentaires. Elle justifiait l’absence de mots de passe par le mode de fonctionnement de l’entreprise, notamment la nécessité, en cas d’absence d’un salarié, de pouvoir accéder aux fichiers de ses projets.

A l’occasion d’un nouveau contrôle sur place le 10 octobre 2018, les agents de la Cnil ont constaté que le dispositif de vidéosurveillance n’avait pas été modifié depuis le premier contrôle, et qu’aucune information n’avait été diffusée aux collaborateurs. Une procédure de sanction a été ouverte.

Une vidéosurveillance excessive

La formation restreinte rappelle qu’en vertu du principe de minimisation, les données traitées doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées » (article 5, 1, c) du RGPD).

Pour la formation restreinte, « la mise en œuvre d’un système de vidéosurveillance doit obligatoirement respecter le principe de proportionnalité et […] la collecte des données personnelles réalisées via ce dispositif doit être strictement nécessaire à l’objectif poursuivi ».

La formation restreinte souligne la nécessité d’être vigilant quant aux caractéristiques du dispositif si celui-ci mène à placer des salariés sous surveillance permanente. En particulier, elle indique que « le placement sous surveillance permanente de salariés, attentatoire à leur vie privée, ne peut toutefois intervenir que dans des circonstances exceptionnelles ». Etant précisé que ces circonstances sont appréciées au cas par cas. Elles peuvent tenir à la « nature de la tâche à accomplir », par exemple « lorsqu’un employé manipule des objets de grande valeur », ou lorsque des vols ou des dégradations ont déjà été commis dans les zones placées sous surveillance.

Elle réitère ici la position qu’elle avait déjà pu développer sous l’empire du droit antérieur quant au déploiement d’un dispositif de vidéosurveillance sur le lieu de travail. Par exemple, par une délibération n°2014-307 du 17 juillet 2014, la formation restreinte de la Cnil avait prononcé une sanction pécuniaire de 5 000 euros à l’encontre d’une société qui avait placé les postes de travail de ses salariés sous surveillance continue, sans qu’il y ait « une situation particulière ou un risque particulier auxquels sont exposées les personnes objets de la surveillance ».

En l’espèce, la formation restreinte estime que la société ne justifie pas de telles circonstances exceptionnelles. Elle souligne que la société aurait dû envisager des modalités alternatives à la vidéosurveillance pour atteindre la finalité identifiée de protection des personnes et des biens.

De plus, la formation restreinte relève que les salariés de la société, personnes concernées par le traitement engendré par le dispositif de vidéosurveillance, n’ont pas été informés sur le traitement de manière conforme aux articles 12 et 13 du RGPD. En effet, seul un panneau d’information incomplet existait lors du second contrôle, présent dans le hall d’accueil et destiné aux visiteurs. En l’absence d’une information complète délivrée aux salariés, la société a commis un manquement à son obligation d’information.

Rappelons qu’en matière de vidéosurveillance, la Cnil suggère de procéder à l’information des personnes concernées en deux étapes, comme illustré dans l’un des exemples de mention d’information disponibles sur son site.

Point de vigilance sur la durée de conservation

Pour votre parfaite information, l’article L252-5 du Code de la sécurité intérieure prévoit une durée de conservation d’un mois en matière de vidéoprotection. Il convient de souligner que la Cnil a pu s’appuyer sur cette durée d’un mois dans sa doctrine portant sur la vidéosurveillance au travail.

Toutefois, en l’espèce, la Cnil se positionne sur une durée de 15 jours dans la mise en demeure adressée à la société. Dès lors, cette durée est-elle applicable à tous les dispositifs de vidéosurveillance mis en œuvre dans une finalité de protection des personnes et des biens ? Ou ne concerne-t-elle que les dispositifs présents sur les lieux de travail ?

De plus, la Cnil semble imposer une durée de conservation, comme elle a pu récemment le faire dans la délibération de n°SAN-2019-005 du 28 mai 2019. En effet, la formation restreinte de la Cnil avait retenu que les données à caractère personnel traitées par la société immobilière en question ne pouvaient pas être conservées au-delà de trois mois. Rappelons que ni la loi n°78-17 du 6 janvier 1978, ni le RGPD n’imposent une durée de conservation des données. La réglementation applicable exige qu’une durée de conservation soit définie au regard des finalités du traitement. La Cnil, lorsqu’elle définit des durées de conservation, procède-t-elle uniquement à une appréciation de proportionnalité cas par cas ? Ou les durées définies sont-elles applicables à tous ?

La gestion des habilitations informatiques

La formation restreinte relève également un manquement de la société à son obligation d’assurer la confidentialité et la sécurité des données (article 32 du RGPD). En effet, le poste informatique du dirigeant, qui permettait d’accéder aux images capturées par le dispositif de vidéosurveillance, tout comme ceux des salariés étaient accessibles sans mot de passe.

Cette absence de gestion des habilitations étaient justifiées par la société par la nécessité de pouvoir accéder aux fichiers et projets en l’absence d’un salarié. De même, une boite de messagerie professionnelle commune à la société, permettant de communiquer avec les clients, était accessible par tous les salariés à l’aide d’un seul et même mot de passe.

La société a fait valoir que chaque salarié disposait désormais d’un identifiant personnel et d’un mot de passe conforme à la recommandation de la Cnil relative aux mots de passe (délibération n°2017-012 du 19 janvier 2017 et délibération n°2017-190 du 22 juin 2017). Toutefois, la formation restreinte relève que cette mise en conformité n’est intervenue qu’après la clôture de la mise en demeure.

De plus, la formation restreinte constate que si la société s’est engagée à révoquer les accès de chaque salarié à la boite de messagerie professionnelle en cas de départ de la société, elle n’a pas apporté de réponses quant aux mesures de traçabilité qu’il lui était demandé de mettre en place.

Une sanction « effective, proportionnée et dissuasive » ?

L’article 83 du RGPD prévoit que les amendes administratives soient « dans chaque cas, effectives, proportionnées et dissuasives », et qu’elles fassent l’objet d’une appréciation au cas par cas.

La formation restreinte justifie le choix d’une sanction pécuniaire publique par plusieurs éléments. Elle souligne notamment la « pluralité des manquements, ainsi que leur persistance et leur gravité ». Elle relève également le manque de diligence de la société, depuis 2013, à prendre en compte la réglementation applicable et à remédier aux manquements constatés malgré ses contacts réguliers avec la Cnil, puis sa mise en demeure en 2018. La formation restreinte souligne aussi la « particulière sensibilité » du dispositif de vidéosurveillance des salariés sur leur lieu de travail.

Toutefois, la formation restreinte affirme tenir compte des mesures de mises en conformité que la société a prises au cours de la procédure de sanction. Celle-ci a, en effet, retiré la caméra litigieuse, et implémenté une nouvelle politique relative aux mots de passe dans le cadre de la gestion des habilitations informatiques des collaborateurs. De plus, la formation restreinte indique avoir pris en considération le fait qu’il s’agisse d’une microentreprise, connaissant de plus des difficultés financières.

En tenant compte de ces éléments, la formation restreinte a décidé de s’éloigner des propositions du rapporteur et de proposer une sanction d’un montant moindre, à savoir 20 000 euros au lieu de 50 000 euros. Le montant de l’astreinte prononcée est également réduit, puisqu’il est fixé par la formation restreinte à 200 euros par jour de retard à l’expiration d’un délai de deux mois, contre 1000 euros initialement. Il s’agit de la première utilisation publique par la Cnil de son pouvoir d’astreinte.

Enfin, notons également que la Cnil prononce la publicité de la sanction pour une durée plus courte. La délibération sera en effet anonymisée à l’issue d’un délai d’un an, contre deux habituellement.

De manière plus générale, la durée de conservation et la sécurité des données à caractère personnel sont une nouvelle fois mis en exergue comme étant des points de conformité majeurs.

Mathias Avocats reste à votre disposition pour vous assister.