Vidéosurveillance de salariés – Condamnation par la CNIL

Vidéosurveillance des salariés – Dispositif sensible – la CNIL condamne une TPE à une amende de 20 000 €

Le 13 juin 2019, la CNIL dans la délibération de sa formation restreinte n° SAN-2019-006 a notamment prononcé une amende de 20 000 € à l’encontre d’une TPE employant 9 salariés, et spécialisée dans la traduction libre et assermentée, pour avoir mis en place en son sein un système de vidéosurveillance des salariés ne répondant pas aux exigences du Règlement Général sur la Protection des Données (RGPD (UE) 2016/679).

La vidéosurveillance se définit par la mise en place d’un système d’enregistrement vidéo disposé dans un endroit public ou privé afin de pouvoir le surveiller à distance.

La réglementation applicable est distincte selon que le dispositif de surveillance est installé dans un espace public ou privé. Le premier relevant des dispositions du Code de la sécurité intérieure et de la Loi informatique et Libertés/ Règlement (UE) 2019/679, tandis que le second relève uniquement de la Loi informatique et Libertés / Règlement (UE) 2016/679.

Dans l’affaire ayant donné lieu à la décision de la formation restreinte de la CNIL précitée, quatre plaintes émanant de salariés de la société de traduction avaient été adressées à la CNIL entre 2013 et 2015, lesquelles faisaient état de la mise en place d’un système de vidéosurveillance par l’entreprise ne respectant pas les exigences de l’ancienne Loi informatique et Libertés.

La CNIL avait alors instruit ces plaintes et adressé à la société de traduction, TPE comptant 9 salariés, deux lettres en 2013, puis en 2016, rappelant les règles et bonnes pratiques en matière de vidéosurveillance, notamment quant à la nécessité d’un dispositif ne portant pas une atteinte excessive au respect de la vie privée des salariés.

Pour quasi- unique réponse, la société avait assuré que le dispositif était uniquement destiné à assurer la sécurité des biens et des personnes, et non à contrôler l’activité des salariés.

En 2017, la CNIL recevait quatre nouvelles plaintes des salariés de ladite société se plaignant toujours de l’existence de ce dispositif à l’origine d’une surveillance constante.

C’est dans ce contexte que la Présidente de la CNIL a désigné une délégation pour procéder à un contrôle sur site, le 16 février 2018.

Il est alors apparu que les locaux professionnels étaient équipés de 3 caméras de surveillance, dont une dans le bureau des traducteurs, pièce non accessible au public. Cette dernière caméra filmait en permanence six postes de travail, et une armoire contenant les documents de la société.

Des premiers manquements ont été relevés par les agents de la CNIL, selon procès-verbal notifié à la société le 20 février 2018, consistant dans :

  • L’absence d’information à destination des salariés quant à l’existence du dispositif de vidéosurveillance ;
  • L’existence d’une vidéosurveillance braquée en permanence sur les salariés ;
  • Une durée de conservation des données de manière excessive compte tenu des finalités poursuivies ;
  • Des moyens insuffisants mis en place par la société pour assurer la sécurité et la confidentialité des données quant à l’accès aux postes informatiques et boîte de messagerie.

La société en cause a adressé des éléments de réponse à la CNIL, que cette dernière a jugés insuffisants de telle sorte que la CNIL lui a adressé une mise en demeure, en date du 26 juillet 2018, d’avoir à se mettre en conformité dans un délai de deux mois aux dispositions de :

  • L’article 5.1 c) du Règlement (UE) 2016/679 quant à la proportionnalité du dispositif mis en place par rapport à la finalité poursuivie ;
  • L’article 5.1 e) du Règlement (UE) 20163/679 quant à la durée de conservation des données ;
  • Les articles 12 et 13 du même Règlement quant à l’information des personnes concernées par le traitement ;
  • L’article 32 du Règlement relatif à la sécurité des données (politique de gestion des mots de passe contraignante, accès individualisés aux messageries).

Seuls les trois premiers points spécifiquement liés à la vidéosurveillance des salariés feront l’objet du présent article.

Compte tenu de l’absence de réponse satisfaisante dans sa correspondance du 10 septembre 2018 à la CNIL, des contradictions relevées dans ses différentes argumentations, outre sa volonté affichée de ne pas tenir compte des observations de la CNIL, la société de traduction a été l’objet d’un nouveau contrôle sur site, dans le courant du mois d’octobre 2018, par des agents de la CNIL ayant reçu délégation à cet effet.

Ce contrôle a mis à jour que la situation était restée inchangée, ou presque, par rapport à celle constatée par la CNIL en février 2018.

La CNIL a donc désigné au sein de la formation restreinte un rapporteur qui a, selon rapport du 12 février 2019, repris l’ensemble des manquements au Règlement (UE) 2016/679 relevés à l’encontre de la société de traduction, et proposé à la CNIL de prononcer une amende de 75 000 €, rendue publique.

La séance de la formation restreinte de la CNIL s’est tenue le 18 avril 2019, séance au cours de laquelle la société de traduction a pu faire valoir ses arguments.

A l’issue de la procédure, la CNIL a prononcé une amende de 20 000 € à l’encontre de la société, ainsi qu’une injonction d’avoir à se conformer à l’article 32 du Règlement, et ce, sous astreinte de 200 € par jour.

Cette décision rappelle les règles et bonnes pratiques à respecter s’agissant de la « vidéosurveillance » des salariés, et apporte quelques enseignements à la lumière du Règlement (UE) 2016/679.

1.   Sur le respect du principe de minimisation des données fixé à l’article 5.1c) du Règlement

L’article 5.1 c) du Règlement précise que « Les données doivent être […] adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données). »

La CNIL a rappelé dans cette décision le principe selon lequel « l’utilisation d’un dispositif de vidéosurveillance conduisant à placer des salariés sous une surveillance permanente n’apparaît pas justifiée et doit être considérée comme manifestement excessive et disproportionnée au regard de la finalité déclarée ».

Or, la finalité poursuivie par la société de traduction était d’assurer la sécurité des personnes et des biens / documents de l’entreprise.

La collecte de données doit, comme le rappelle la CNIL, être proportionnée à la finalité, de telle sorte que le dispositif mis en place doit être strictement nécessaire à l’objectif poursuivi.

Dans la présente affaire, les agents de la CNIL avaient constaté que la caméra placée dans le bureau des traducteurs était orientée de telle sorte que tous les salariés étaient surveillés de manière continue. Au cours des années 2016- 2017, la CNIL avait sollicité de l’entreprise qu’elle modifie ce dispositif, considérant qu’il était ainsi trop attentatoire à la vie privée des salariés.

La société de traduction avait affirmé avoir fait le nécessaire pour se mettre en conformité.

Toutefois, au cours du second contrôle en octobre 2018, les agents de la CNIL avaient pu se convaincre de l’absence de conformité du dispositif puisque malgré la pose de ruban adhésif sur la caméra, un salarié au moins était filmé de manière constante.

La CNIL a donc pu considérer que les dispositions de l’article 5.1 c) du Règlement n’étaient pas respectées.

Il ressort de cette décision que la proportionnalité du dispositif est appréciée par la CNIL selon les éléments suivants : le nombre de personnels visés, l’emplacement du dispositif de surveillance, son orientation, les périodes de mise en fonctionnement de la caméra, la nature des tâches confiées aux salariés concernés. En outre, il nous semple important de préciser qu’un système, permettant la captation du son en parallèle de la captation d’images, sera considéré par l’autorité de contrôle comme particulièrement intrusif, et sera quasi- systématiquement qualifié de dispositif disproportionné.

Il nous semble, en toute hypothèse, que le critère principal réside dans l’orientation de la caméra sur un ou plusieurs salariés, et ce de manière continue puisque, selon la CNIL dans cette décision, le principe en matière de vidéosurveillance est le suivant : « Si la surveillance de zones sensibles peut être justifiée par des impératifs de sécurité, le placement sous surveillance permanente de salariés, attentatoire à leur vie privée, ne peut toutefois intervenir que dans des circonstances exceptionnelles tenant, par exemple, à la nature de la tâche à accomplir. »

Cette position de la CNIL renvoie à celle déjà adoptée récemment, dans une décision à la faveur de laquelle, en octobre 2018, elle avait mis en demeure le Directeur d’une école privée d’enseignement supérieur de mettre son système de vidéosurveillance en conformité, puisque les étudiants et salariés faisaient l’objet d’une surveillance généralisée et permanente dans l’établissement. (CNIL, déc. N°MED-2018-041, 8 oct.2018)

Doit-on y voir la volonté de l’autorité de contrôle de s’intéresser plus précisément à ces dispositifs ?

Enfin, la CNIL précise ses recommandations quant à la durée de conservation des images issues d’un tel dispositif de vidéosurveillance.

En effet, elle considère, si l’on s’en tient aux informations présentes sur son site (https://www.cnil.fr/fr/cnil-direct/question/videoprotectionvideosurveillance-combien-de-temps-peuvent-etre-conservees-les) que la conservation des images ne doit pas dépasser un mois. Cependant, le plus souvent, quelques jours suffisent au responsable de traitement pour réaliser les vérifications qui s’imposeraient dans l’hypothèse d’un incident.

Dans la présente affaire, la CNIL a jugé, par une appréciation in concreto de la situation, que les images ne pouvaient être conservées au -delà d’un délai de 15 jours, compte tenu de la finalité du traitement destiné à assurer la sécurité des personnes et des biens. En conséquence, il apparaît nécessaire pour tout responsable de traitement de limiter au maximum la durée de conservation de telles images, sauf justification particulière.

Par ailleurs, il nous semble que cette décision est aussi l’occasion de rappeler que l’usage de tels dispositifs de vidéosurveillance ayant pour finalité de « surveiller de manière constante l’activité des salariés », tels que vidéosurveillance portant sur les employés manipulant de l’argent ou encore vidéosurveillance d’un entrepôt stockant des biens de valeur au sein duquel travaillent des manutentionnaires, n’est pas interdit et nécessite la réalisation d’une étude d’impact (Délibération n°2018-327 du 11 octobre 2018). Tel n’était pas le cas dans la présente situation puisque la société avait cantonné le recours au dispositif de surveillance à la sécurité des personnes et des biens. Une étude d’impact sur la vie privée ne s’imposait donc pas en application de l’article 35 du Règlement (UE) 2016/679.

2.   Sur la nécessaire information à délivrer aux salariés en application des articles 12 et 13 du Règlement

L’un des principaux manquements relevés à l’encontre de la société de traduction résidait dans l’absence d’information délivrée aux salariés quant à l’existence de ce dispositif de surveillance dans leur bureau, local non – accessible au public. (…)

Lire la suite de l’article publié dans la revue EXPERTISES

Article publié dans la revue EXPERTISES – Droit, Technologies & Prospectives, septembre 2019 n°449, page 223, par Stéphane Baïkoff – Avocate

Intervention au Salon de la Data 2019 – Nantes

Un salon dédié aux professionnels de la Data et notamment des données personnelles

Le cabinet d’avocats Kacertis sera représenté, le 10 septembre 2019, par Maître Stéphane BAÏKOFF au Salon de la Data 2019.

Elle interviendra, en collaboration avec un confrère, à l’occasion d’une conférence intitulée RGPD : 18 mois après, vous en êtes où ?

Il s’agira de faire un point sur l’action menée par la CNIL et les sanctions prononcées par cette dernière et le Comité Européen de la Protection des Données (European Data Protection Board EDPB) depuis l’entrée en application du Règlement (UE) 2016/679, le 25 mai 2018.

Ainsi, l’intervention portera sur l’identification des bonnes pratiques à mettre en œuvre pour justifier de sa conformité RGPD, et aura pour objet de dégager les tendances à venir en matière de contrôles sur les traitements de données personnelles susceptibles d’être initiés et poursuivis par la CNIL.

Rendez-vous est donc pris le 10 septembre 2019 à la Cité des Congrès – Salle Business & Decision à 11h15 !

Inscriptions : https://www.billetweb.fr/salondata2019  (Evénement gratuit)

Le compteur LINKY et le RGPD font-ils bon ménage ?

Le compteur LINKY et le RGPD font -ils bon ménage ?

Selon une ordonnance de référé du TGI de Bordeaux du 23 avril 2019, le compteur communicant Linky est en conformité RGPD.

Le déploiement des compteurs communicants, compteurs d’électricité et de gaz nouvelle génération, permettant de collecter des données plus fines que les compteurs traditionnels, a soulevé et soulève encore de nombreuses interrogations, quant à d’éventuels risques en matière de santé publique, et quant au respect de la vie privée et des règles relatives aux traitements des données à caractère personnel.

Ces objets sont de plus en plus intégrés à notre quotidien. Ils sont amenés à collecter et à traiter un grand nombre d’informations (parfois en temps réel), comme les données relatives à la consommation d’énergie d’un foyer.

La CNIL, a dès 2012, formulé un grand nombre de recommandations et préconisations à destination des industriels du secteur, dès le stade de la conception de ces outils, afin de protéger la vie privée des personnes utilisatrices. Elle a mené une étude de plus de deux ans en collaboration avec les acteurs du secteur afin de fixer le cadre et les conditions dans lesquelles les données de consommation des personnes peuvent être collectées et traitées (Délibération n° 2012-404 du 15 novembre 2012 portant recommandation relative aux traitements des données de consommation détaillées collectées par les compteurs communicants.)

Déjà, la CNIL avait ainsi su mettre en œuvre et faire appliquer le principe de « privacy by design » consacré désormais à l’article 25 du RGPD (Règlement (UE) 2016/679 du 27 avril 2016).

La CNIL a ensuite publié un pack de conformité en mai 2014 relatif à ces compteurs communicants, reprenant l’ensemble des obligations devant être respectées par les fournisseurs de ces objets connectés selon 3 scénarii distincts :

  • Scénario 1 « IN- IN » pour lequel la gestion des données collectées dans le logement se fait sans communication vers l’extérieur ; seul l’usager contrôle alors l’usage qui en est fait.
  • Scénario 2 « IN- OUT » à l’occasion duquel les données collectées dans le logement sont transmises vers l’extérieur au prestataire de service notamment ;
  • Scénario 3 « IN- OUT – IN » à la faveur duquel les données sont collectées dans le logement, transmises à l’extérieur pour permettre un pilotage à distance de certains équipements du logement par le prestataire lui –même.

Le compteur communicant LINKY, installé par la société ENEDIS, gestionnaire du réseau de distribution de l’électricité fournie par la société DIRECT ENERGIE, a fait l’objet d’un contrôle de la CNIL, tant au stade de sa conception, qu’au cours de son test, puis de son déploiement.

Ce compteur communicant relève à distance des données de consommation plus fines que celles relevées par les compteurs traditionnels. Il mesure la consommation globale d’électricité du foyer en kilowattheures (quotidienne, par heure, ou encore par demie- heure), sans le détail par appareil électrique (télévision, cafetière, lave- vaisselle, four…)

L’intérêt de cette technologie, mis en avant par les professionnels du secteur, réside dans la possibilité de relever le compteur sans l’intervention d’un technicien à domicile, d’assurer un suivi précis de ses consommations, et de permettre une facturation basée sur sa consommation réelle et non plus sur une estimation.

En octobre 2016, et février 2018, la Présidente de la CNIL avait fait le choix de diligenter des contrôles pour s’assurer de la conformité du dispositif LINKY à la loi. (…) Lire la suite de l’article publié dans la revue EXPERTISES

Article publié dans la revue EXPERTISES – Droit, Technologies & Prospectives, Juin 2019 n°447 page 223, par Stéphane Baïkoff – Avocate