Vidéosurveillance abusive des salariés = 10.000 Euros d’amende
www.eurodif-fo.com
Le 15 décembre 2010, la Commission nationale de l’informatique et des libertés (ci-après la CNIL ou la Commission) a été saisie d’une plainte émanant d’un salarié de la société de X… (ci-après la société). Aux termes de la plainte, il était reproché l’installation d’un dispositif de vidéosurveillance, réalisé sans information préalable dont l’usage était jugé abusif par le plaignant. Ce dispositif de vidéosurveillance avait été installé à l’automne 2010 puis déplacé en novembre 2011 suite au déménagement de la société dans de nouveaux locaux. Il se compose de huit caméras filmant des espaces fermés au public, notamment des bureaux, salle de réunion. Par échange de courriers entre février et décembre 2011, la société a été appelée à s’expliquer sur les finalités et procédures afférentes à l’utilisation du dispositif de vidéosurveillance. Elle a été invitée à procéder à certains aménagements de la mise en conformité du dispositif. Au terme de cet échange, la présidente de la Commission a décidé d’une mission de contrôle dans les locaux de la société. Le procès-verbal de contrôle du 02 février 2012 établit plusieurs manquements à la loi du 6 janvier 1978 modifiée. Par décision 2012-10 du 13 avril 2012, la présidente de la Commission a mis en demeure la société de mettre en œuvre un dispositif proportionné et ne conduisant pas à une mise sous surveillance constante de ses salariés, de procéder à l’information des personnes, de remédier aux lacunes de sécurité constatées et de justifier des mesures prises dans le délai d’un mois. Entre les mois de juin et août 2012, une seconde série d’échanges, par courrier, a permis à la société d’être accompagnée dans sa mise en conformité. Une seconde mission de contrôle s’est présentée dans les locaux de la société le 15 octobre 2012 pour y constater que plusieurs des engagements pris en réponse à la mise en demeure n’étaient pas respectés. A cette occasion le dirigeant de la société s’est engagé à faire supprimer le dispositif de vidéo surveillance par son prestataire. A l’occasion d’un troisième et dernier contrôle réalisé le 11 décembre 2012, il a été constaté que ce dernier engagement n’était pas respecté et que des manquements visés par la mise en demeure subsistaient. Sur la foi de ces éléments, la présidente de la Commission a désigné comme rapporteur Monsieur X…, Commissaire et Vice-président délégué, membre de la CNIL, sur le fondement de l’article 46 de la loi du 6 janvier 1978 modifiée. A l’issue de son instruction, considérant que la société avait manqué à plusieurs obligations lui incombant en application de la loi du 6 janvier 1978 modifiée, le rapporteur a fait notifier à la société par porteur, le 15 janvier 2013, un rapport détaillant les manquements à la loi qu’il estimait constitués en l’espèce. Ce rapport proposait à la formation restreinte de la Commission de prononcer à l’encontre de la société une sanction pécuniaire, dont il sollicitait par ailleurs qu’elle soit rendue publique. Était également jointe au rapport une convocation à la séance de la formation restreinte du 21 février 2013 indiquant à la société qu’elle disposait d’un délai d’un mois pour communiquer ses observations écrites. La société n’a pas produit d’observations écrites et ne s’est pas présentée devant la formation restreinte le 21 février 2013. A l’issue de cette procédure, et après en avoir délibéré, la formation restreinte a adopté une décision de condamnation. Sur le manquement à l’obligation de proportionnalité du dispositif de vidéosurveillance Le 3° de l’article 6 de la loi du 6 janvier 1978 modifiée dispose que les données à caractère personnel collectées par un responsable de traitement doivent être « adéquates, pertinentes et non-excessives au regard des finalités pour lesquelles elles sont collectées ainsi et de leurs traitements ultérieurs ». L’article L1121-1 du code du travail dispose que « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché, » Il est établi par les constats réalisés les 15 octobre 2012 et 11 décembre 2012 que la société a placé au moins un de ses salariés sous une surveillance permanente et constante. Il est également constaté que cette situation a perduré largement au-delà du délai de mise en conformité prévu par la mise en demeure du 13 avril 2012. Le responsable de traitement qui justifiait la mise en place d’un dispositif de vidéosurveillance par la nécessité de protéger les personnes et les biens n’apporte aucun élément justificatif de cette surveillance particulière. Il n’a ainsi pas été constaté ou avancé l’existence d’une situation particulière ou d’un risque particulier auxquels sont exposées les personnes surveillées. Il n’existe donc pas de justification à cette mise sous surveillance permanente et constante, ni au refus de se conformer aux multiples demandes formées par courriers et à la mise en demeure du 13 avril 2012. Il en découle nécessairement que le traitement est disproportionné. La société a donc manqué à l’obligation imposée par l’article 6_3° de la loi du 6 janvier 1978 modifiée en plaçant et en maintenant sous surveillance l’un au moins de ses salariés. Sur le manquement à l’obligation d’informer les personnes L’article 32 de la loi du 6 janvier 1978 modifiée dispose que « la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable, par le responsable du traitement ou son représentant: 1° De l’identité du responsable du traitement et, le cas échéant, de celle de son représentant; 2° De la finalité poursuivie par le traitement auquel les données sont destinées; 3° Du caractère obligatoire ou facultatif des réponses; 4° Des conséquences éventuelles, à son égard, d’un défaut de réponse ; 5° Des destinataires ou catégories de destinataires des données ; 6° Des droits qu’elle tient des dispositions de la section 2 du présent chapitre; Le cas échéant, des transferts de données à caractère personnel envisagés à destination d’un Etat non membre de la Communauté européenne, ». L’article L.1222-4 du code du travail prévoit qu’ « aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance ». La lecture conjointe de ces deux articles impose que les salariés soient informés tant de l’existence du dispositif de vidéo surveillance, que de leurs droits relativement à ce traitement. Il est établi par constat qu’aucune information individuelle n’a été diffusée aux salariés de la société et ceci en dépit des multiples demandes formées par courriers et par la mise en demeure du 13 avril 2012. Au surplus, il n’est pas contesté que c’est à la demande du président de la société que cette information n’a pas été délivrée comme cela est rapporté au procès-verbal du 15 octobre 2012. Aux termes de l’article L.1121-9 du code du travail, les candidats à l’emploi doivent bénéficier de mesures d’information similaires à celles prévues pour les salariés. Il est établi par les constats que cette information n’a, en pratique, été réalisée systématiquement au bénéfice des candidats à l’emploi que postérieurement au 15 octobre 2012. Avant cette date et malgré la mise en demeure du 13 avril 2012, la société a persisté à ne délivrer cette information que postérieurement aux entretiens d’embauche puis oralement suivant le gré des salariés en charge des recrutements. La société a donc manqué à l’obligation d’information des personnes imposée par l’article 32° de la loi du 6 janvier 1978 modifiée et le code du travail conjointement. Sur le manquement à l’obligation d’assurer la sécurité des données. L’article 34 de la loi du 6 janvier 1978 modifiée impose au responsable de traitement « de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. » Il a été constaté lors des différents contrôles que les mots de passe utilisés au sein de la société pour permettre l’accès aux ordinateurs et aux données à caractère personnel contenues dans ces appareils étaient pour la plupart composés d’une suite de cinq caractères. Pour certains salariés, il a été constaté que ces mots de passe correspondaient à leur prénom ou nom de famille. Enfin, il a été relevé que certains mots de passe étaient restés inchangés depuis l’année 2011. La formation restreinte estime que ces éléments ne permettent pas d’assurer une sécurité suffisante aux données à caractère personnel objets des traitements mis en œuvre par la société. La brièveté des mots de passe, leur déductibilité, leur simplicité et l’absence de renouvellement font encourir un risque certain aux données traitées. Au surplus, il est également établi que malgré ses engagements, la société n’a pas procédé à la mise en place d’une politique de sécurité et s’est dérobée à la réalisation d’opérations simples de sécurisation de ses outils informatiques comme le lui enjoignait la mise en demeure du 13 avril 2012. La société a donc manqué à l’obligation d’assurer la sécurité des données à caractère personnel imposée par l’article 34° de la loi du 6 janvier 1978 modifiée. Sur les manquements constatés et la publicité de la décision Dans ces conditions, la formation restreinte a retenu que la société en sa qualité de responsable de traitement a manqué à plusieurs obligations lui incombant en application des dispositions susvisées de la loi du 6 janvier 1978 modifiée, ce qui justifie que soit prononcée à son encontre une sanction pécuniaire, dans les conditions prévues à l’article 47, en application de l’article 45-1-1 ° de la même loi. En raison de la nature des faits relevés et de leur persistance malgré les effort
http://www.eurodif-fo.com/2014/07/videosurveillance-abusive-des-salaries-10-000-euros-d-amende.html