Délibération 2013-139 du 30 mai 2013

Commission Nationale de l'Informatique et des Libertés
Délibération n°2013-139 du 30 mai 2013
Délibération de la formation restreinte n°2013-139 du 30 mai 2013 prononçant une sanction pécuniaire à l’encontre de la société X
Etat: VIGUEUR

La Commission nationale de l'informatique et des libertés, réunie en sa formation restreinte sous la présidence de Madame Claire DAVAL ;

Etant aussi présents M. Jean-Marie COTTERET, Vice-Président, Mme Marie-Hélène MITJAVILE, MM. Jean-François CARREZ, Claude DOMEIZEL et Dominique RICHARD, membres ;

Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la Directive n°95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2011-334 du 29 mars 2011, notamment ses articles 45 et 46 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié, pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2006-147 du 23 mai 2006 fixant le règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu la décision n° 2012-010 du 13 avril 2012 de la Présidente de la Commission nationale de l'informatique et des libertés mettant en demeure la société X ;

Vu la décision n° 2012-012C du 31 janvier 2012 de la Présidente de la Commission nationale de l'informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification auprès de la société X ;

Vu le procès-verbal de contrôle 2012-048 du 02 février 2012 ;

Vu le procès-verbal de contrôle 2012-315 du 15 octobre 2012

Vu le procès-verbal de contrôle 2012-420 du 11 décembre 2012

Vu la plainte n°10030723 du 15 décembre 2010 ;

Vu le rapport de M. Emmanuel de GIVRY, commissaire rapporteur, adressé par porteur à la société X le 15 janvier 2013;

Vu les autres pièces du dossier.

Ayant entendu, lors de la réunion de la formation restreinte du 21 février 2013 :
- M. Emmanuel de GIVRY, commissaire, en son rapport ;
- M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations ;
- M. Edouard GEFFRAY, secrétaire général de la CNIL,

La société X n'a pas produit d'observations écrites et ne s'est pas présentée à l'audience du 21 février 2013.

A adopté la décision suivante : 

FAITS ET PROCÉDURE

Le 15 décembre 2010, la Commission nationale de l'informatique et des libertés (ci-après la "CNIL" ou la "Commission") a été saisie d'une plainte émanant d'un salarié de la société de conseil en systèmes d'information X (ci-après la "société"). Aux termes de la plainte, il était reproché l'installation d'un dispositif de vidéosurveillance, réalisé sans information préalable et dont l'usage était jugé abusif par le plaignant

Ce dispositif de vidéosurveillance avait été installé à l'automne 2010 puis déplacé en novembre 2011 suite au déménagement de la société dans de nouveaux locaux. Il se compose de huit caméras filmant des espaces fermés au public, notamment des bureaux et salle de réunion.

Par échange de courriers entre février et décembre 2011, la société a été appelée à s'expliquer sur les finalités et procédures afférentes à l'utilisation du dispositif de vidéosurveillance. Elle a été invitée à procéder à certains aménagements de la mise en conformité du dispositif.

Au terme de cet échange, la présidente de la Commission a décidé d'une mission de contrôle dans les locaux de la société. Le procès-verbal de contrôle du 02 février 2012 établit plusieurs manquements à la loi du 6 janvier 1978 modifiée.

Par décision 2012-10 du 13 avril 2012, la présidente de la Commission a mis en demeure la société de mettre en œuvre un dispositif proportionné et ne conduisant pas à une mise sous surveillance constante de ses salariés, de procéder à l'information des personnes, de remédier aux lacunes de sécurité constatées et de justifier des mesures prises dans le délai d'un mois.

Entre les mois de juin et août 2012, une seconde série d'échanges, par courrier, a permis à la société d'être accompagnée dans sa mise en conformité. Une seconde mission de contrôle s'est présentée dans les locaux de la société le 15 octobre 2012 pour y constater que plusieurs des engagements pris en réponse à la mise en demeure n'étaient pas respectés. A cette occasion, le dirigeant de la société s'est engagé à faire supprimer le dispositif de vidéosurveillance par son prestataire.

A l'occasion d'un troisième et dernier contrôle réalisé le 11 décembre 2012, il a été constaté que ce dernier engagement n'était pas respecté et que des manquements visés par la mise en demeure subsistaient.

Sur la foi de ces éléments, la présidente de la Commission a désigné comme rapporteur M. Emmanuel de GIVRY, Commissaire et Vice-président délégué, membre de la CNIL, sur le fondement de l'article 46 de la loi du 6 janvier 1978 modifiée.

A l'issue de son instruction, considérant que la société avait manqué à plusieurs obligations lui incombant en application de la loi du 6 janvier 1978 modifiée, le rapporteur a fait notifier à la société par porteur, le 15 janvier 2013, un rapport détaillant les manquements à la loi qu'il estimait constitués en l'espèce. Ce rapport proposait à la formation restreinte de la Commission de prononcer à l'encontre de la société une sanction pécuniaire, dont il sollicitait par ailleurs qu'elle soit rendue publique.

Etait également jointe au rapport une convocation à la séance de la formation restreinte du 21 février 2013 indiquant à la société qu'elle disposait d'un délai d'un mois pour communiquer ses observations écrites.

La société n'a pas produit d'observations écrites et ne s'est pas présentée devant la formation restreinte le 21 février 2013.

A l'issue de cette procédure, et après en avoir délibéré, la formation restreinte a adopté la décision dont la teneur suit. 

MOTIFS DE LA DÉCISION

1. Sur le manquement à l'obligation de proportionnalité du dispositif de vidéosurveillance

Le 3° de l'article 6 de la loi du 6 janvier 1978 modifiée dispose que "les données à caractère personnel collectées par un responsable de traitement doivent être adéquates, pertinentes et non-excessives au regard des finalités pour lesquelles elles sont collectées ainsi et de leurs traitements ultérieurs".

L'article L1121-1 du code du travail dispose que "Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché".

Il est établi par les constats réalisés les 15 octobre 2012 et 11 décembre 2012 que la société a placé au moins un de ses salariés sous une surveillance permanente et constante.

Il est également constaté que cette situation a perduré largement au-delà du délai de mise en conformité prévu par la mise en demeure du 13 avril 2012.

Le responsable de traitement qui justifiait la mise en place d'un dispositif de vidéosurveillance par la nécessité de protéger les personnes et les biens n'apporte aucun élément justificatif de cette surveillance particulière. Il n'a ainsi pas été constaté ou avancé l'existence d'une situation particulière ou d'un risque particulier auxquels sont exposées les personnes surveillées.

Il n'existe donc pas de justification à cette mise sous surveillance permanente et constante, ni au refus de se conformer aux multiples demandes formées par courriers et à la mise en demeure du 13 avril 2012.

Il en découle nécessairement que le traitement est disproportionné. La société a donc manqué à l'obligation imposée par l'article 6-3° de la loi du 6 janvier 1978 modifiée en plaçant et en maintenant sous surveillance l'un au moins de ses salariés.

2. Sur le manquement à l'obligation d'informer les personnes

L'article 32 de la loi du 6 janvier 1978 modifiée dispose que "la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l'a été au préalable, par le responsable du traitement ou son représentant : 1° De l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ; 2° De la finalité poursuivie par le traitement auquel les données sont destinées ; 3° Du caractère obligatoire ou facultatif des réponses ; 4° Des conséquences éventuelles, à son égard, d'un défaut de réponse ; 5° Des destinataires ou catégories de destinataires des données ; 6° Des droits qu'elle tient des dispositions de la section 2 du présent chapitre ; 7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne".

L'article L.1222-4 du code du travail prévoit qu'"aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n'a pas été porté préalablement à sa connaissance".

La lecture conjointe de ces deux articles impose que les salariés soient informés tant de l'existence du dispositif de vidéosurveillance, que de leurs droits relativement à ce traitement.

Il est établi par constat qu'aucune information individuelle n'a été diffusée aux salariés de la société et ceci en dépit des multiples demandes formées par courriers et par la mise en demeure du 13 avril 2012.

Au surplus, il n'est pas contesté que c'est à la demande du président de la société que cette information n'a pas été délivrée comme cela est rapporté au procès-verbal du 15 octobre 2012.
Aux termes de l'article L1121-9 du code du travail, les candidats à l'emploi doivent bénéficier de mesures d'information similaires à celles prévues pour les salariés.

Il est établi par les constats que cette information n'a, en pratique, été réalisée systématiquement au bénéfice des candidats à l'emploi que postérieurement au 15 octobre 2012. Avant cette date et malgré la mise en demeure du 13 avril 2012, la société a persisté à ne délivrer cette information que postérieurement aux entretiens d'embauche puis oralement suivant le gré des salariés en charge des recrutements.

La société X a donc manqué à l'obligation d'information des personnes imposée par l'article 32° de la loi du 6 janvier 1978 modifiée et le code du travail conjointement.

3. Sur le manquement à l'obligation d'assurer la sécurité des données

L'article 34 de la loi du 6 janvier 1978 modifiée impose au responsable de traitement de prendre "toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès".

Il a été constaté lors des différents contrôles que les mots de passe utilisés au sein de la société pour permettre l'accès aux ordinateurs et aux données à caractère personnel contenues dans ces appareils étaient pour la plupart composés d'une suite de cinq caractères. Pour certains salariés, il a été constaté que ces mots de passe correspondaient à leur prénom ou nom de famille. Enfin, il a été relevé que certains mots de passe étaient restés inchangés depuis l'année 2011.

La formation restreinte estime que ces éléments ne permettent pas d'assurer une sécurité suffisante aux données à caractère personnel objets des traitements mis en œuvre par la société. La brièveté des mots de passe, leur déductibilité, leur simplicité et l'absence de renouvellement font encourir un risque certain aux données traitées.

Au surplus, il est également établi que malgré ses engagements la société n'a pas procédé à la mise en place d'une politique de sécurité et s'est dérobée à la réalisation d'opérations simples de sécurisation de ses outils informatiques comme le lui enjoignait la mise en demeure du 13 avril 2012.

La société X a donc manqué à l'obligation d'assurer la sécurité des données à caractère personnel imposée par l'article 34° de la loi du 6 janvier 1978 modifiée.

Sur les manquements constatés et la publicité de la décision

Dans ces conditions, la formation restreinte retient que la société X en sa qualité de responsable de traitement a manqué à plusieurs obligations lui incombant en application des dispositions susvisées de la loi du 6 janvier 1978 modifiée, ce qui justifie que soit prononcée à son encontre une sanction pécuniaire, dans les conditions prévues à l'article 47, en application de l'article 45-I-1° de la même loi.

En raison de la nature des faits relevés et de leur persistance malgré les efforts de la Commission, la formation restreinte décide de rendre publique cette sanction.  

PAR CES MOTIFS

Conformément aux articles 45 et suivants de la loi du 6 janvier 1978 modifiée, la formation restreinte de la CNIL, après en avoir délibéré, décide :

- De prononcer une sanction pécuniaire à l'encontre de la société X ;

- De fixer à DIX MILLE euros le montant de cette sanction pécuniaire ;

- De rendre publique sa décision sur le site Internet de la Commission et sur le site Légifrance.


La Présidente,

Claire DAVAL


Cette décision est susceptible de faire l'objet d'un recours devant le Conseil d'Etat dans un délai de deux mois à compter de sa notification.




Nature de la délibération: SANCTION
Date de la publication sur legifrance: 5 juillet 2013