Vidéosurveillance au travail : nouvelle sanction de la CNIL (fr)
France > Droit privé > Libertés publiques & Droit du numérique (fr) > Protection des données personnelles
Auteur : Laurent Goutorbe, Avocat.
Septembre 2017
A propos de CNIL, Délibération n°2017-009 du 15 juin 2017
La mise en place d’un dispositif de vidéosurveillance / vidéoprotection sur un lieu de travail est possible, mais doit respecter un certain nombre de règles pour être conforme avec le droit du travail et la règlementation en matière de protection des données à caractère personnel.
La condamnation récente d’une société ayant manqué à son obligation de déclaration de son dispositif auprès de la CNIL et ayant exploité ce dispositif de manière non conforme avec Loi Informatique et Libertés du 6 janvier 1978 modifiée (possibilité de surveillance permanente d’un salarié et absence de robuste des mots de passe pour accéder au logiciel de visualisation des images) sonne comme une piqûre de rappel.
Tout est partie d’une plainte auprès de la CNIL d’un des trois salariés employés par une SARL, dénonçant l’installation à son insu d’un système de vidéosurveillance au-dessus de son poste de travail.
La CNIL a alors demandé à plusieurs reprises à cette société de justifier de la conformité de ce dispositif à la loi Informatique et Libertés du 6 janvier 1978 modifiée ; en vain.
La Présidente de la CNIL a alors pris la décision de procédé à un contrôle dans les locaux de ladite société récalcitrante, à la suite duquel a été dressé un procès-verbal constatant différents manquements à la législation en matière de protection des données à caractère personnel.
Face à ces manquements constatés, la Présidente de la CNIL a mis en demeure la société de se mettre en conformité avec la loi Informatique et Libertés, en lui enjoignant, dans un délai d’un mois, de :
- déclarer son dispositif de vidéosurveillance auprès de la CNIL ;
- ne pas placer ses salariés sous une surveillance permanente et constante ;
- prendre toute mesure nécessaire pour garantir la sécurité et la confidentialité des données à caractère personnel traitées, notamment en veillant à définir une politique de mots de passe robuste impliquant l’adoption de mots de passe de huit caractères minimum dont au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial et un renouvellement régulier de ces derniers (par exemple tous les six mois).
La société a alors procédé à la déclaration de son traitement mais n’a pas répondu aux autres points soulevés dans la mise en demeure ; et ce, malgré une relance.
Face à cette absence de coopération, la CNIL est entrée en voie de sanction.
La sanction est prononcée eu égard tout d’abord au manquement à l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données (article 6-3° de la loi Informatique et Libertés du 6 janvier 1978 modifiée).
En effet, la CNIL avait constaté que le dispositif de vidéosurveillance était actif pendant la journée en mode visualisation, plaçant ainsi une salariée de l’entreprise sous une surveillance permanente et constante, dès lors que le gérant de la société pouvait accéder en temps réel aux images depuis son téléphone portable et donc exercer cette surveillance à distance.
La sanction est également motivée par un manquement à l’obligation d’assurer la sécurité des données (article 34 de la loi du 6 janvier 1978 modifiée).
La CNIL avait en effet constaté que l’accès au logiciel de visualisation des images s’effectuait sur deux postes de travail par la saisie de l’identifiant admin et d’un mot de passe composé de six caractères, ce qui est insuffisant, justifiant la mise en demeure de la CNIL enjoignant la société de définir une politique de mots de passe robuste (cf. supra).
Enfin, la CNIL sanctionne la société pour avoir manqué à son obligation de répondre aux demandes de la CNIL (article 21 de la loi du 6 janvier 1978 modifiée), cette dernière n’ayant répondu à aucun des sept courriers de la CNIL reçus durant un an et demi.
C’est ce dernier manquement, ainsi que la persistance des autres manquements formulés à l’encontre de la société durant plus d’un an, qui motive la décision de la CNIL de rendre publique sa décision, en sus de la sanction financière qu’elle prononce.
A l’aune de l’entrée en application du européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et de l’alourdissement des sanctions prévues par ce texte, cette affaire illustre l’importance de se conformer à la réglementation en matière de protection des données à caractère personnel et de répondre à la CNIL en cas de contrôle, le cas échéant en se faisant assister d’un conseil spécialisé en la matière.