Kafé Actu #1 – Les données RH à l’épreuve du RGPD

3 ans après son entrée en vigueur, le RGPD reste plus que jamais un sujet d’actualité.

Les sanctions de la CNIL se multiplient, et les contentieux individuels des salariés également.

Le RGPD a, en effet, de nombreuses incidences sur la relation entre l’employeur et ses salariés.

Or, bien souvent, l’employeur a du mal à identifier quelles sont ses obligations concrètes quant aux données RH.

C’est pourquoi, le cabinet KACERTIS vous invite à son premier Kafé Actu #1 sur les données RH à l’épreuve du RGPD.

Stéphane BAIKOFF et Anouck SUBERBIELLE, avocates associées, échangeront avec vous sur les situations pratiques que vous pouvez rencontrer : contrôle des communications des salariés, vidéosurveillance, traçage informatique, données des salariés auteurs d’infraction routière…

Pour les plus matinaux, un petit déjeuner d’accueil vous sera proposé dès 7h30.

Lien d’inscription : Kafé Actu #1 – Les données RH à l’épreuve du RGPD Billets, Le jeu 22 juil. 2021 à 07:30 | Eventbrite

 

La CNIL n’épargne ni la grande distribution ni le secteur bancaire !

Une invitation claire à respecter les droits des personnes, et un rappel des conditions d’une information accessible, compréhensible, et transparente.

Selon deux délibérations de la formation restreinte de la CNIL en date du 18 novembre 2020 (n°SAN-2020-008 et n°SAN-2020-009) rendues publiques, la société CARREFOUR et la société CARREFOUR BANQUE ont été condamnées respectivement à une amende de 2 250 000 € pour la première, et à une amende de 800 000 € pour la seconde.

Des sanctions lourdes dès lors que les manquements constatés étaient nombreux, et consistaient dans le non-respect de :

  • L’obligation d’information dont les mentions sont fixées à l’article 13 du RGPD;
  • La réglementation applicable aux cookies résultant de l’article 82 de la Loi informatique et libertés;
  • L’obligation de limiter les durées de conservation nées de l’article 1 e du RGPD;
  • L’obligation de faciliter l’exercice des droits fixée à l’article 12 du RGPD; et d’en garantir un exercice effectif selon les articles 15 et 21 du RGPD, et L.34-5 du code des postes et communications électroniques ; s’agissant notamment du droit d’opposition, et du droit à l’effacement des données, qui n’étaient pas systématiquement pris en compte ;
  • L’obligation de traiter les données de manière loyale en exécution de l’article 5 du RGPD;
  • L’obligation de sécuriser les données à caractère personnel traitées née de l’article 32 du RGPD.
  • L’obligation de notifier les violations de données à caractère personnel selon l’article 33 du RGPD.

L’on ne présente plus le groupe CARREFOUR, géant de la grande distribution, qui a diversifié ses activités et intervient désormais dans le secteur bancaire ou assurantiel, ou encore comme agence de voyages ou vendeur spécialisé dans le commerce en ligne.

Ce sont donc ses filiales, la société CARREFOUR France, dont l’activité principale est la grande distribution, et la société CARREFOUR BANQUE, établissement bancaire qui propose notamment des crédits à la consommation, qui viennent d’être lourdement sanctionnées par la CNIL en leurs qualités de responsable de traitement, suite à des contrôles réalisés en ligne et sur place.

A l’origine de la décision de diligenter un contrôle de la CNIL, le nombre important de plaintes formées contre les sociétés du groupe CARREFOUR pour non-respect des dispositions du RGPD. En effet, la CNIL a reçu 15 plaintes de particuliers entre juin 2018 et avril 2019.

La société CARREFOUR France édite un site web permettant de créer et d’accéder à son espace personnel et de passer commande. Tandis que la société CARREFOUR BANQUE, établissement bancaire, édite pour sa part un site proposant des services de banque et d’assurance en ligne. Elle commercialise une carte de paiement à destination des clients du groupe CARREFOUR, pouvant être rattachée au programme de fidélité du même groupe.

Les contrôles ont porté sur l’ensemble de ces traitements.

L’objet du présent article portera sur les manquements à l’obligation d’information des personnes, relevés à l’encontre des deux sociétés du groupe CARREFOUR (points 57 à 99 de la délibération n°SAN-2020-008 et points 39 à 68 de la délibération SAN-2020-009).

En effet, ces décisions permettent de définir les contours de l’obligation d’information fixée aux articles 12 et suivants du RGPD, et apportent des enseignements précieux quant aux conditions d’un accès conforme à l’information (I), et quant à son contenu (II).

Pour mémoire, l’article 12 du RGPD dispose notamment :

« Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 […] en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples […]. »

Le contenu de l’information est fixé par les articles 13 et 14 selon que la collecte est directe ou indirecte.

I. Sur l’accès à l’information

Dans un premier temps, la formation restreinte de la CNIL a considéré que l’information délivrée par les responsables de traitement, sur les différents supports utilisés, n’était pas aisément accessible.

L’accessibilité de l’information se décline en deux critères : l’accessibilité physique / logique(a), et l’accessibilité « intellectuelle » (b) renvoyant à l’usage de termes clairs et simples.

a)  L’accès « physique » aux informations

S’agissant de l’information délivrée sur les différents sites, objets des contrôles, la CNIL a jugé que « la multiplicité des pages à consulter, des liens présents dans les différentes pages, ainsi que la redondance des informations ne permettent pas de considérer que les informations pertinentes pour les personnes sont aisément accessibles », (point 59 délibération SAN 2020-008) et que « l’information mise à disposition des utilisateurs […] par le biais de différents canaux » n’était pas aisément accessible {renvois des Mentions légales vers des mentions de Protection et confidentialité des données personnelles pour cliquer sur un lien qui renvoie vers un nouvel onglet Protection et confidentialité des données personnelles}.

La seule description du parcours utilisateur présenté par la formation restreinte dans sa décision permet, outre de donner le tournis, de se convaincre également que l’accès à la politique de confidentialité n’était pas optimal eu égard aux exigences du RGPD, compte tenu de la multiplicité des actions à mener pour y parvenir.

Quant à l’information accessible sur les sites internet, la CNIL proscrit l’insertion des mentions d’information relatives aux traitements de données à caractère mis en œuvre au sein des conditions générales d’utilisation. En effet, la CNIL considère que ces dernières sont souvent denses, complexes, longues et techniques, nous n’osons pas dire indigestes. Ainsi, la formation restreinte juge que des mentions relatives à la protection des données noyées dans des conditions générales (d’utilisation ou de vente,) ne sont pas facilement accessibles dès lors que, selon elle, « l’utilisateur doit faire preuve d’une détermination particulière pour accéder aux informations sur ces questions ».

Elle préconise donc le recours à un document unique distinct des conditions générales.

Cela rejoint la position du G29, présentée dans ses lignes directrices sur la transparence[1] (adoptées le 29 novembre 2017, et révisées le 11 avril 2018), selon lesquelles « la personne concernée ne devrait pas avoir à rechercher les informations mais devrait pouvoir tout de suite y accéder. »

Le considérant 61 du RGPD précise, quant à lui : « les informations sur le traitement des données à caractère personnel relatives à la personne concernée devraient lui être fournies au moment où ces données sont collectées auprès d’elle. »

Enfin, le responsable de traitement est à nouveau rappelé à l’ordre lorsque le bulletin papier d’adhésion au programme de fidélité ne contient que quelques mentions essentielles et procède par renvoi à la page d’accueil d’un site sans autres précisions. La formation restreinte relève que ce bulletin papier aurait dû contenir, a minima, l’adresse URL à laquelle ces informations étaient accessibles.

Le message est ainsi clair. Ces différentes pratiques tendant à dissuader la personne concernée d’accéder à la politique de confidentialité ou à détourner son attention sont prohibées, comme étant contraires aux exigences de la réglementation que la CNIL prend soin de rappeler.

La formation restreinte de la CNIL encourage alors le recours à un document unique traitant de la politique de confidentialité distinct de mentions d’information d’ordre plus général, accessible via un seul onglet sur un site et correctement identifié. Elle précise que « l’information doit être présentée de manière efficace et succincte afin d’éviter de noyer l’information à délivrer parmi d’autres contenus informatifs. »

Quant à la délivrance d’une information en plusieurs niveaux, la CNIL n’y est pas farouchement opposée. Elle précise que cela n’est pas interdit. Toutefois, elle ne peut recommander ces pratiques dès lors qu’un tel procédé présente souvent l’inconvénient de diluer l’information et peut la rendre plus difficile à trouver. Le risque de non-conformité est donc plus élevé dans ces hypothèses. Elle fait siennes les préconisations du G29 selon lesquelles : « le premier niveau/ la première modalité inclut les détails de la finalité du traitement, l’identité du responsable du traitement et une description des droits des personnes concernées. » Ainsi, une information sera délivrée de manière conforme dans ces conditions, sous réserve que le premier niveau d’information fournisse les caractéristiques essentielles du traitement, et que le second niveau soit, quant à lui, exhaustif conformément aux dispositions de l’article 13 du RGPD.

La CNIL, à la faveur de ces deux décisions de sanction, fixe le cadre dans lequel une information est conforme au critère d’accessibilité imposé par le RGPD.

b) Des mentions intelligibles

La CNIL rappelle que l’information doit être délivrée en « termes clairs et simples » de telle sorte qu’elle soit intelligible.

Il est, à cet égard, intéressant de se reporter à la décision elle-même (SAN 2020-008- points 75 à 77) pour se convaincre de ce qu’une simple relecture des mentions d’informations aurait sans doute permis à un rédacteur, un minimum consciencieux et diligent, soit de ne pas les publier, soit de les ré-écrire, avant que de faire l’objet d’une procédure de sanction par l’autorité de contrôle.

L’on ne résiste donc pas à la tentation de citer quelques passages de ces mentions, dont les formulations sont ambigües, peu claires, inutilement compliquées et imprécises, de telle sorte qu’elles ne permettent pas aux personnes d’appréhender pleinement les traitements mis en œuvre, ni leurs finalités, ni les droits dont elles disposent :

« ces traitements incluent notamment , pour l’une ou plusieurs des raisons suivantes »ou « vos données sont susceptibles d’être utilisées »

« vous disposez également d’un droit d’obtenir la limitation d’un traitement et d’un droit à la portabilité des données que vous avez pu fournir, qui trouveront à s’appliquer dans certains cas ».

« nous pouvons éventuellement disposer de données de l’open Data »

« vos données pourront faire l’objet d’un traitement pour l’une ou plusieurs des raisons suivantes »

« vous pouvez demander à exercer votre droit d’opposition pour motif pour des raisons tenant à votre situation particulière, à un traitement de données personnelles vous concernant lorsque le traitement est fondé sur l’intérêt légitime du responsable de traitement y compris le profilage »

« vos données pourront peut-être transmises à tout ou partie des destinataires suivantes : […] les marques partenaires, mais dans ce cas ces derniers n’ont pas accès ni directement ni indirectement aux données vous concernant et seuls [sic] des données liées à votre profil sans qu’il soit possible de vous identifier directement ou indirectement, aux sociétés du groupe Carrefour pour les finalités susvisées ».

Un joyeux florilège de mentions d’information à la faveur desquelles, compte tenu de la sémantique, du recours systématique au terme « notamment » et de la disposition parfois hasardeuse des termes juridiques, il est impossible même pour un lecteur averti, de comprendre la portée du traitement, d’identifier les droits des personnes concernées, ou encore des moyens de les mettre en œuvre.

Or, la CNIL insiste sur l’impérieuse nécessité de soigner la rédaction des mentions d’information en application des articles 12 et suivants du RGPD. En effet, il convient de rappeler à tous les responsables de traitement qu’une information délivrée de manière conforme aux exigences de la réglementation, c’est-à-dire accessible et compréhensible, conditionne la validité de l’engagement des personnes concernées, et donc la licéité du traitement.

L’on ne peut donc qu’inviter les responsables de traitement à apporter un soin particulier à la rédaction de leurs mentions d’information, à commencer par s’assurer qu’elles sont compréhensibles ! Et parfois, le simple bon sens suffit. Pour mémoire, les articles 12 et 13 précités imposent que les informations fournies soient complètes mais aussi aisément compréhensibles. Naturellement, l’exercice de rédaction peut s’avérer plus périlleux puisque, alors même que les finalités poursuivies et les durées de conservations des données traitées sont nombreuses et différentes. L’on ne saurait trop conseiller d’avoir recours à un professionnel.

II.  Sur le contenu de l’information

La CNIL, à la faveur de ces deux décisions de sanction, rappelle également que l’information doit être complète, et contenir l’ensemble des mentions visées aux articles 13 et 14 du RGPD, selon que la collecte se fait directement auprès de la concernée ou indirectement.

Or tel n’était pas le cas dans les deux espèces, les mentions d’information étant lacunaires et imprécises.

Ces dispositions imposent l’identification du responsable de traitement, lequel n’est pas le sous-traitant, ni un simple destinataire. Les hypothèses de co-responsabilité ou de responsables conjoints peuvent parfois créer des difficultés d’identification. Une analyse circonstanciée de la situation juridique doit alors s’opérer in concreto.

La base juridique doit être indiquée de manière précise. Les sociétés ne pouvaient se contenter de viser de manière générale chacune des bases légales de l’article 6 du RGPD, telles que l’exécution du contrat, le consentement ou encore l’intérêt légitime. La réglementation impose que les personnes soient informées de la base légale spécifique applicable à chacun des traitements mis en œuvre par le responsable de traitement.

Les éventuels transferts de données en dehors de l’Union européenne doivent être portés à la connaissance de la personne concernée, ainsi que l’ensemble des garanties encadrant ledit transfert. Tel n’était pas le cas dans ces deux affaires.

Enfin, la CNIL relève que les personnes concernées n’étaient pas informées, pour l’ensemble de leurs données de la durée de conservation. En effet, l’article 13.2 f du RGPD impose que les personnes soient informées de la durée de conservation des données ou des critères utilisés pour déterminer cette durée. Dans la décision n° SAN 2020-009, la formation restreinte prend soin de rappeler les préconisations du G29 qui recommande que « la durée de conservation [soit] formulée de manière à ce que la personne concernée puisse évaluer, selon la situation dans laquelle elle se trouve, quelle sera la période de conservation s’agissant de données spécifiques ou en cas de finalités spécifiques. Le responsable du traitement ne peut se contenter de déclarer de façon générale que les données à caractère personnel seront conservées aussi longtemps que la finalité légitime du traitement l’exige. Le cas échéant, différentes périodes de stockage devraient être mentionnées pour les différentes catégories de données à caractère personnel et/ou les différentes finalités de traitement, notamment les périodes à des fins archivistiques. »

L’emploi de formules vagues telles « les délais de prescription légale applicable » ou « la conservation de vos données varie selon les réglementations et loi applicables » est donc non-conforme aux exigences de transparence imposées par le RGPD.

Il appartenait aux sociétés contrôlées de prévoir dans leurs mentions d’information les différentes durées de conservation pour l’ensemble des données ou des finalités, notamment s’agissant des données de navigation ou des données relatives aux achats effectués.

En conséquence, et pour toutes les raisons sus-évoquées, la CNIL a constaté que les sociétés du groupe CARREFOUR avaient manqué à l’obligation d’information incombant à tout responsable de traitement en application de l’article 13 du RGPD, laquelle doit être transparente, compréhensible et aisément accessible.

En application des articles 82 et 83 du RGPD, il était loisible à la CNIL de prononcer à l’encontre des sociétés poursuivies des injonctions ou mises en demeure d’avoir à se conformer à la réglementation, et d’avoir à en justifier dans un certain délai.

Toutefois, dans ces deux affaires, l’autorité de contrôle, eu égard aux efforts mis en œuvre par les responsables de traitement au cours de l’instruction lesquels étaient en conformité à la date du dernier contrôle, a considéré qu’une injonction ne se justifiait pas. Elle a d’ailleurs pris soin de relever l’important travail de mise en conformité fourni par les sociétés, s’agissant des mentions d’information présentes sur les différents supports. L’information désormais délivrée par les sociétés du groupe était transparente, aisément accessible, et complète à la date à laquelle la formation restreinte a statué.

Cependant, eu égard au nombre de manquements constatés et caractérisés nés d’un défaut d’anticipation des conséquences de l’entrée en application du RGPD, et eu égard au nombre de personnes concernées dont les droits n’ont pas été respectés, la CNIL n’a eu d’autre choix que de condamner les responsables de traitement à de lourdes amendes administratives. Il sera cependant observé que les montants proposés par le rapporteur (ignorés) ont été atténués par la formation restreinte, compte tenu du degré de coopération des sociétés avec la CNIL, et des efforts importants engagés pendant l’instruction pour atteindre une conformité totale puisque l’ensemble des manquements ont été corrigés.

La CNIL a pris en compte le chiffre d’affaires réalisé par la Société CARREFOUR France et par les filiales qu’elle détient et qui ont bénéficié des traitements, appréciation extensive de la notion d’entreprise conforme aux articles 101 et 102 du TFUE. Elle a donc estimé qu’une amende d’un montant de 2 250 000 € était justifiée et proportionnée aux manquements relevés et à la situation de la société CARREFOUR France, compte tenu des spécificités du modèle économique de la grande distribution caractérisé par un chiffre d’affaires élevé au regard des résultats nets dégagés par l’activité dont les marges sont faibles.

Ces décisions révèlent des indices précieux d’une information conforme au sens du RGPD, dont il faut tenir compte au moment de leur rédaction. Elles ont également le mérite de rappeler que tous les secteurs sont concernés par le RGPD…

[1] https://www.cnil.fr/sites/default/files/atoms/files/wp260_guidelines-transparence-fr.pdf

 

Stéphane BAÏKOFF

Avocate Associée

(Article paru dans la Revue Expertises – Janvier 2021 n°464 pages 28 à 31)

Vidéosurveillance de salariés – Condamnation par la CNIL

Vidéosurveillance des salariés – Dispositif sensible – la CNIL condamne une TPE à une amende de 20 000 €

Le 13 juin 2019, la CNIL dans la délibération de sa formation restreinte n° SAN-2019-006 a notamment prononcé une amende de 20 000 € à l’encontre d’une TPE employant 9 salariés, et spécialisée dans la traduction libre et assermentée, pour avoir mis en place en son sein un système de vidéosurveillance des salariés ne répondant pas aux exigences du Règlement Général sur la Protection des Données (RGPD (UE) 2016/679).

La vidéosurveillance se définit par la mise en place d’un système d’enregistrement vidéo disposé dans un endroit public ou privé afin de pouvoir le surveiller à distance.

La réglementation applicable est distincte selon que le dispositif de surveillance est installé dans un espace public ou privé. Le premier relevant des dispositions du Code de la sécurité intérieure et de la Loi informatique et Libertés/ Règlement (UE) 2019/679, tandis que le second relève uniquement de la Loi informatique et Libertés / Règlement (UE) 2016/679.

Dans l’affaire ayant donné lieu à la décision de la formation restreinte de la CNIL précitée, quatre plaintes émanant de salariés de la société de traduction avaient été adressées à la CNIL entre 2013 et 2015, lesquelles faisaient état de la mise en place d’un système de vidéosurveillance par l’entreprise ne respectant pas les exigences de l’ancienne Loi informatique et Libertés.

La CNIL avait alors instruit ces plaintes et adressé à la société de traduction, TPE comptant 9 salariés, deux lettres en 2013, puis en 2016, rappelant les règles et bonnes pratiques en matière de vidéosurveillance, notamment quant à la nécessité d’un dispositif ne portant pas une atteinte excessive au respect de la vie privée des salariés.

Pour quasi- unique réponse, la société avait assuré que le dispositif était uniquement destiné à assurer la sécurité des biens et des personnes, et non à contrôler l’activité des salariés.

En 2017, la CNIL recevait quatre nouvelles plaintes des salariés de ladite société se plaignant toujours de l’existence de ce dispositif à l’origine d’une surveillance constante.

C’est dans ce contexte que la Présidente de la CNIL a désigné une délégation pour procéder à un contrôle sur site, le 16 février 2018.

Il est alors apparu que les locaux professionnels étaient équipés de 3 caméras de surveillance, dont une dans le bureau des traducteurs, pièce non accessible au public. Cette dernière caméra filmait en permanence six postes de travail, et une armoire contenant les documents de la société.

Des premiers manquements ont été relevés par les agents de la CNIL, selon procès-verbal notifié à la société le 20 février 2018, consistant dans :

  • L’absence d’information à destination des salariés quant à l’existence du dispositif de vidéosurveillance ;
  • L’existence d’une vidéosurveillance braquée en permanence sur les salariés ;
  • Une durée de conservation des données de manière excessive compte tenu des finalités poursuivies ;
  • Des moyens insuffisants mis en place par la société pour assurer la sécurité et la confidentialité des données quant à l’accès aux postes informatiques et boîte de messagerie.

La société en cause a adressé des éléments de réponse à la CNIL, que cette dernière a jugés insuffisants de telle sorte que la CNIL lui a adressé une mise en demeure, en date du 26 juillet 2018, d’avoir à se mettre en conformité dans un délai de deux mois aux dispositions de :

  • L’article 5.1 c) du Règlement (UE) 2016/679 quant à la proportionnalité du dispositif mis en place par rapport à la finalité poursuivie ;
  • L’article 5.1 e) du Règlement (UE) 20163/679 quant à la durée de conservation des données ;
  • Les articles 12 et 13 du même Règlement quant à l’information des personnes concernées par le traitement ;
  • L’article 32 du Règlement relatif à la sécurité des données (politique de gestion des mots de passe contraignante, accès individualisés aux messageries).

Seuls les trois premiers points spécifiquement liés à la vidéosurveillance des salariés feront l’objet du présent article.

Compte tenu de l’absence de réponse satisfaisante dans sa correspondance du 10 septembre 2018 à la CNIL, des contradictions relevées dans ses différentes argumentations, outre sa volonté affichée de ne pas tenir compte des observations de la CNIL, la société de traduction a été l’objet d’un nouveau contrôle sur site, dans le courant du mois d’octobre 2018, par des agents de la CNIL ayant reçu délégation à cet effet.

Ce contrôle a mis à jour que la situation était restée inchangée, ou presque, par rapport à celle constatée par la CNIL en février 2018.

La CNIL a donc désigné au sein de la formation restreinte un rapporteur qui a, selon rapport du 12 février 2019, repris l’ensemble des manquements au Règlement (UE) 2016/679 relevés à l’encontre de la société de traduction, et proposé à la CNIL de prononcer une amende de 75 000 €, rendue publique.

La séance de la formation restreinte de la CNIL s’est tenue le 18 avril 2019, séance au cours de laquelle la société de traduction a pu faire valoir ses arguments.

A l’issue de la procédure, la CNIL a prononcé une amende de 20 000 € à l’encontre de la société, ainsi qu’une injonction d’avoir à se conformer à l’article 32 du Règlement, et ce, sous astreinte de 200 € par jour.

Cette décision rappelle les règles et bonnes pratiques à respecter s’agissant de la « vidéosurveillance » des salariés, et apporte quelques enseignements à la lumière du Règlement (UE) 2016/679.

1.   Sur le respect du principe de minimisation des données fixé à l’article 5.1c) du Règlement

L’article 5.1 c) du Règlement précise que « Les données doivent être […] adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données). »

La CNIL a rappelé dans cette décision le principe selon lequel « l’utilisation d’un dispositif de vidéosurveillance conduisant à placer des salariés sous une surveillance permanente n’apparaît pas justifiée et doit être considérée comme manifestement excessive et disproportionnée au regard de la finalité déclarée ».

Or, la finalité poursuivie par la société de traduction était d’assurer la sécurité des personnes et des biens / documents de l’entreprise.

La collecte de données doit, comme le rappelle la CNIL, être proportionnée à la finalité, de telle sorte que le dispositif mis en place doit être strictement nécessaire à l’objectif poursuivi.

Dans la présente affaire, les agents de la CNIL avaient constaté que la caméra placée dans le bureau des traducteurs était orientée de telle sorte que tous les salariés étaient surveillés de manière continue. Au cours des années 2016- 2017, la CNIL avait sollicité de l’entreprise qu’elle modifie ce dispositif, considérant qu’il était ainsi trop attentatoire à la vie privée des salariés.

La société de traduction avait affirmé avoir fait le nécessaire pour se mettre en conformité.

Toutefois, au cours du second contrôle en octobre 2018, les agents de la CNIL avaient pu se convaincre de l’absence de conformité du dispositif puisque malgré la pose de ruban adhésif sur la caméra, un salarié au moins était filmé de manière constante.

La CNIL a donc pu considérer que les dispositions de l’article 5.1 c) du Règlement n’étaient pas respectées.

Il ressort de cette décision que la proportionnalité du dispositif est appréciée par la CNIL selon les éléments suivants : le nombre de personnels visés, l’emplacement du dispositif de surveillance, son orientation, les périodes de mise en fonctionnement de la caméra, la nature des tâches confiées aux salariés concernés. En outre, il nous semple important de préciser qu’un système, permettant la captation du son en parallèle de la captation d’images, sera considéré par l’autorité de contrôle comme particulièrement intrusif, et sera quasi- systématiquement qualifié de dispositif disproportionné.

Il nous semble, en toute hypothèse, que le critère principal réside dans l’orientation de la caméra sur un ou plusieurs salariés, et ce de manière continue puisque, selon la CNIL dans cette décision, le principe en matière de vidéosurveillance est le suivant : « Si la surveillance de zones sensibles peut être justifiée par des impératifs de sécurité, le placement sous surveillance permanente de salariés, attentatoire à leur vie privée, ne peut toutefois intervenir que dans des circonstances exceptionnelles tenant, par exemple, à la nature de la tâche à accomplir. »

Cette position de la CNIL renvoie à celle déjà adoptée récemment, dans une décision à la faveur de laquelle, en octobre 2018, elle avait mis en demeure le Directeur d’une école privée d’enseignement supérieur de mettre son système de vidéosurveillance en conformité, puisque les étudiants et salariés faisaient l’objet d’une surveillance généralisée et permanente dans l’établissement. (CNIL, déc. N°MED-2018-041, 8 oct.2018)

Doit-on y voir la volonté de l’autorité de contrôle de s’intéresser plus précisément à ces dispositifs ?

Enfin, la CNIL précise ses recommandations quant à la durée de conservation des images issues d’un tel dispositif de vidéosurveillance.

En effet, elle considère, si l’on s’en tient aux informations présentes sur son site (https://www.cnil.fr/fr/cnil-direct/question/videoprotectionvideosurveillance-combien-de-temps-peuvent-etre-conservees-les) que la conservation des images ne doit pas dépasser un mois. Cependant, le plus souvent, quelques jours suffisent au responsable de traitement pour réaliser les vérifications qui s’imposeraient dans l’hypothèse d’un incident.

Dans la présente affaire, la CNIL a jugé, par une appréciation in concreto de la situation, que les images ne pouvaient être conservées au -delà d’un délai de 15 jours, compte tenu de la finalité du traitement destiné à assurer la sécurité des personnes et des biens. En conséquence, il apparaît nécessaire pour tout responsable de traitement de limiter au maximum la durée de conservation de telles images, sauf justification particulière.

Par ailleurs, il nous semble que cette décision est aussi l’occasion de rappeler que l’usage de tels dispositifs de vidéosurveillance ayant pour finalité de « surveiller de manière constante l’activité des salariés », tels que vidéosurveillance portant sur les employés manipulant de l’argent ou encore vidéosurveillance d’un entrepôt stockant des biens de valeur au sein duquel travaillent des manutentionnaires, n’est pas interdit et nécessite la réalisation d’une étude d’impact (Délibération n°2018-327 du 11 octobre 2018). Tel n’était pas le cas dans la présente situation puisque la société avait cantonné le recours au dispositif de surveillance à la sécurité des personnes et des biens. Une étude d’impact sur la vie privée ne s’imposait donc pas en application de l’article 35 du Règlement (UE) 2016/679.

2.   Sur la nécessaire information à délivrer aux salariés en application des articles 12 et 13 du Règlement

L’un des principaux manquements relevés à l’encontre de la société de traduction résidait dans l’absence d’information délivrée aux salariés quant à l’existence de ce dispositif de surveillance dans leur bureau, local non – accessible au public. (…)

Lire la suite de l’article publié dans la revue EXPERTISES

Article publié dans la revue EXPERTISES – Droit, Technologies & Prospectives, septembre 2019 n°449, page 223, par Stéphane Baïkoff – Avocate

Intervention au Salon de la Data 2019 – Nantes

Un salon dédié aux professionnels de la Data et notamment des données personnelles

Le cabinet d’avocats Kacertis sera représenté, le 10 septembre 2019, par Maître Stéphane BAÏKOFF au Salon de la Data 2019.

Elle interviendra, en collaboration avec un confrère, à l’occasion d’une conférence intitulée RGPD : 18 mois après, vous en êtes où ?

Il s’agira de faire un point sur l’action menée par la CNIL et les sanctions prononcées par cette dernière et le Comité Européen de la Protection des Données (European Data Protection Board EDPB) depuis l’entrée en application du Règlement (UE) 2016/679, le 25 mai 2018.

Ainsi, l’intervention portera sur l’identification des bonnes pratiques à mettre en œuvre pour justifier de sa conformité RGPD, et aura pour objet de dégager les tendances à venir en matière de contrôles sur les traitements de données personnelles susceptibles d’être initiés et poursuivis par la CNIL.

Rendez-vous est donc pris le 10 septembre 2019 à la Cité des Congrès – Salle Business & Decision à 11h15 !

Inscriptions : https://www.billetweb.fr/salondata2019  (Evénement gratuit)

Le compteur LINKY et le RGPD font-ils bon ménage ?

Le compteur LINKY et le RGPD font -ils bon ménage ?

Selon une ordonnance de référé du TGI de Bordeaux du 23 avril 2019, le compteur communicant Linky est en conformité RGPD.

Le déploiement des compteurs communicants, compteurs d’électricité et de gaz nouvelle génération, permettant de collecter des données plus fines que les compteurs traditionnels, a soulevé et soulève encore de nombreuses interrogations, quant à d’éventuels risques en matière de santé publique, et quant au respect de la vie privée et des règles relatives aux traitements des données à caractère personnel.

Ces objets sont de plus en plus intégrés à notre quotidien. Ils sont amenés à collecter et à traiter un grand nombre d’informations (parfois en temps réel), comme les données relatives à la consommation d’énergie d’un foyer.

La CNIL, a dès 2012, formulé un grand nombre de recommandations et préconisations à destination des industriels du secteur, dès le stade de la conception de ces outils, afin de protéger la vie privée des personnes utilisatrices. Elle a mené une étude de plus de deux ans en collaboration avec les acteurs du secteur afin de fixer le cadre et les conditions dans lesquelles les données de consommation des personnes peuvent être collectées et traitées (Délibération n° 2012-404 du 15 novembre 2012 portant recommandation relative aux traitements des données de consommation détaillées collectées par les compteurs communicants.)

Déjà, la CNIL avait ainsi su mettre en œuvre et faire appliquer le principe de « privacy by design » consacré désormais à l’article 25 du RGPD (Règlement (UE) 2016/679 du 27 avril 2016).

La CNIL a ensuite publié un pack de conformité en mai 2014 relatif à ces compteurs communicants, reprenant l’ensemble des obligations devant être respectées par les fournisseurs de ces objets connectés selon 3 scénarii distincts :

  • Scénario 1 « IN- IN » pour lequel la gestion des données collectées dans le logement se fait sans communication vers l’extérieur ; seul l’usager contrôle alors l’usage qui en est fait.
  • Scénario 2 « IN- OUT » à l’occasion duquel les données collectées dans le logement sont transmises vers l’extérieur au prestataire de service notamment ;
  • Scénario 3 « IN- OUT – IN » à la faveur duquel les données sont collectées dans le logement, transmises à l’extérieur pour permettre un pilotage à distance de certains équipements du logement par le prestataire lui –même.

Le compteur communicant LINKY, installé par la société ENEDIS, gestionnaire du réseau de distribution de l’électricité fournie par la société DIRECT ENERGIE, a fait l’objet d’un contrôle de la CNIL, tant au stade de sa conception, qu’au cours de son test, puis de son déploiement.

Ce compteur communicant relève à distance des données de consommation plus fines que celles relevées par les compteurs traditionnels. Il mesure la consommation globale d’électricité du foyer en kilowattheures (quotidienne, par heure, ou encore par demie- heure), sans le détail par appareil électrique (télévision, cafetière, lave- vaisselle, four…)

L’intérêt de cette technologie, mis en avant par les professionnels du secteur, réside dans la possibilité de relever le compteur sans l’intervention d’un technicien à domicile, d’assurer un suivi précis de ses consommations, et de permettre une facturation basée sur sa consommation réelle et non plus sur une estimation.

En octobre 2016, et février 2018, la Présidente de la CNIL avait fait le choix de diligenter des contrôles pour s’assurer de la conformité du dispositif LINKY à la loi. (…) Lire la suite de l’article publié dans la revue EXPERTISES

Article publié dans la revue EXPERTISES – Droit, Technologies & Prospectives, Juin 2019 n°447 page 223, par Stéphane Baïkoff – Avocate