logo WK-RH

Le portail dédié aux acteurs du social, des ressources humaines et du management.

Accueil
Actualités RH
Vidéosurveillance : la Cnil sanctionne le silence persistant à ses demandes de mise en conformité

xx Actualité sociale xx


LIBERTÉS INDIVIDUELLES

Vidéosurveillance : la Cnil sanctionne le silence persistant à ses demandes de mise en conformité

La formation restreinte de la Commission nationale de l’informatique et des libertés (Cnil) a prononcé, dans une délibération rendue publique le 13 juillet 2017, une sanction pécuniaire pour un montant de 1 000 € à l’encontre d’une société qui a installé un système de vidéosurveillance. Plusieurs manquements ont été constatés, notamment la surveillance abusive d’une salariée, et le refus manifeste de coopération avec la Commission.

30/08/2017 Liaisons Sociales Quotidien, 30/08/2017

La Commission nationale de l’informatique et des libertés vient tout récemment de rappeler que les entreprises n’ont pas intérêt à manquer à leurs obligations issues de la loi n° 78-17 du 6 janvier 1978, dite « Informatique et libertés ». En effet, dans une délibération qu’elle a rendue publique le 13 juillet 2017, sa formation restreinte a sanctionné une société pour non-conformité de son système de vidéosurveillance et non-réponse aux observations de la Cnil.

Surveillance permanente et constante de la salariée

En vertu de l’article 6-3° de la loi n° 78-17 du 6 janvier 1978, un traitement de données à caractère personnel ne peut porter que sur des données qui sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées de leurs traitements ultérieurs.

Dans cette affaire, le dispositif de vidéosurveillance, mis en place au-dessus du poste de travail de la salariée, avait été paramétré pour n’enregistrer les images qu’en dehors des horaires de travail. Néanmoins, constate la Cnil, il était activé pendant la journée en mode « visualisation ». Il plaçait ainsi la salariée sous une surveillance permanente et constante. De plus, le gérant de la société pouvait accéder en temps réel aux images depuis son téléphone portable et donc exercer cette surveillance à distance.

Le dispositif de vidéosurveillance n’est donc pas conforme à la loi Informatique et libertés, estime la Cnil.

Défaut de sécurité des données

Autre manquement constaté : l’absence de sécurité des données du logiciel de visualisation, au regard de l’article 34 de la loi Informatique et libertés.

Le responsable du traitement est tenu, en effet, de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Or, en l’espèce, en dépit des avertissements et recommandation de la Cnil, la société n’avait pas mis en place de politique de mots de passe robuste (c’est-à-dire huit caractères minimum dont au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial), ni prévu un renouvellement régulier de celui-ci (par exemple, tous les six mois). L’accès au logiciel de visualisation des images s’effectuait sur deux postes de travail par la simple saisie de l’identifiant administrateur et d’un mot de passe composé de six caractères. Il en résultait, pour la Cnil, que les images étaient « accessibles de manière non sécurisée » et pouvaient ainsi « être consultées par des tiers non autorisés ».

Absence de réponse aux demandes de la Cnil

La Cnil relève un dernier manquement, le refus manifeste de coopération de l’entreprise avec la Commission.

L’article 21 de la loi n° 78-17 du 6 janvier 1978 interdit aux ministres, autorités publiques, dirigeants d’entreprises publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractère personnel de s’opposer à l’action de la Commission ou de ses membres, et leur impose au contraire de prendre toutes mesures utiles afin de faciliter sa tâche.

La société avait manqué à cette obligation, s’étant montrée particulièrement réticente à répondre aux sept courriers adressés par la Cnil tout au long de la procédure. Elle ne leur en avait, en effet, donné aucune réponse, que ce soit dans le cadre de l’instruction de la plainte, à la suite du contrôle sur place ou au stade de la mise en demeure. Pour la Commission, ce comportement démontrait « un défaut manifeste de prise en compte des questions […] liées au traitement des données à caractère personnel ».

Publicité de la délibération

Souhaitant marquer le coup, la Cnil a décidé de rendre publique sa délibération « au regard de la persistance des manquement s formulés à l’encontre de la société durant plus d’un an et malgré les nombreuses diligences effectuées à son égard par [ses] services ». Elle estime « nécessaire de sensibiliser les personnes et les responsables de traitement aux droits et obligations issus de la loi « Informatique et libertés » [du 6 janvier 1978], en particulier, à l’importance de répondre aux demandes de la présidente [de la Cnil] et de mettre effectivement en œuvre les mesures requises ».

Pour éviter d’être sanctionnée, l’entreprise a donc tout intérêt à répondre aux différentes demandes de la Cnil dans le cadre d’une instruction d’une plainte (v. CNIL, délibérations n° 2013-319 et n° 2013-320 du 24 octobre 2013 ; v. l’actualité n° 16508 du 15 janvier 2014). Ce, de manière régulière, précise et dans les délais impartis (v. CNIL, délibérations n° 2013-366 du 23 novembre 2013 et n° 2013-400 du 12 décembre 2013 ; v. l’actualité n° 16508 du 15 janvier 2014).

CNIL, délibération n° 2017-009, 15 juin 2017
www.wk-rh.fr/actualites/upload/cnil-deliberation-2017-009-videosurveillance-15juin2017.pdf

« Pour signaler un contenu indésirable ou illicite, nous vous invitons à nous contacter à l'adresse suivante : contact@wk-rh.fr. »