Délibération SAN-2017-009 du 15 juin 2017
La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de M. Jean-François CARREZ, Président, de M. Alexandre LINDEN, Vice-président, Mme Dominique CASTERA, M. Philippe GOSSELIN, Mme Marie-Hélène MITJAVILE et M. Maurice RONAI, membres ;
Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 45 et suivants ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés du 25 mars 2007 ;
Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;
Vu la décision n° 2016-111C du 8 avril 2016 de la Présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification auprès de la société BDE ;
Vu la décision de la Présidente de la Commission n° 2016-068 du 3 octobre 2016 mettant en demeure la société BDE ;
Vu la décision de la Présidente de la Commission portant désignation d’un rapporteur devant la formation restreinte, en date du 15 février 2017 ;
Vu le rapport de Madame Marie-France MAZARS, commissaire rapporteur, notifié par porteur à la société BDE le 17 mars 2017 ;
Vu les observations écrites à en-tête de la société BDE reçues le 21 avril 2017, ainsi que les observations orales formulées lors de la séance de la formation restreinte ;
Vu les autres pièces du dossier ;
Etaient présents, lors de la séance de la formation restreinte du 27 avril 2017 :
Mme Marie-France MAZARS, Commissaire, en son rapport ;
M. Y, gérant de la société BDE ;
Mme Nacima BELKACEM, Commissaire du Gouvernement, n’ayant pas formulé d’observations ;
M. Y, gérant de la société BDE, ayant pris la parole en dernier ;
A adopté la décision suivante :
Faits et procédure
La société BDE, société à responsabilité limitée (ci-après la société ) sise 60 rue Denis Papin à Pantin (93500), a pour activité la réalisation de travaux d’étanchéification. Elle emploie trois salariés.
Le 11 mars 2015, la Commission nationale de l’informatique et des libertés (ci-après la CNIL ou la Commission ) a été saisie d’une plainte d’une salariée de la société dénonçant l’installation à son insu d’un système de vidéosurveillance au-dessus de son poste de travail.
Par courrier du 3 juin 2015, les services de la Commission ont demandé à la société ses observations sur le dossier en lui précisant qu’elle devait veiller, en sa qualité de responsable de traitement au sens de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après loi Informatique et Libertés ou loi du 6 janvier 1978 modifiée ), à la conformité de ce dispositif de vidéosurveillance et/ou vidéoprotection à la législation. Ils lui ont, par ailleurs, demandé d’apporter des précisions, dans un délai d’un mois, sur les dispositifs mis en œuvre et de joindre les pièces justificatives.
En l’absence de réponse, les services de la CNIL ont réitéré leur demande à deux reprises par courriers recommandés avec avis de réception des 22 juillet et 21 septembre 2015. Ils ont, par ailleurs, rappelé à la société les termes de l’article 21 de la loi Informatique et Libertés qui dispose que les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s’opposer à l’action de la Commission ou de ses membres et doivent prendre toutes mesures utiles pour faciliter sa tâche .
Ces courriers sont restés sans réponse.
En application de la décision de la Présidente de la CNIL n° 2016-111C du 8 avril 2016, une délégation de la Commission a procédé à une mission de contrôle sur place le 14 avril 2016 auprès de la société BDE. Le procès-verbal n° 2016-111 dressé le même jour a été notifié à la société le 18 avril 2016.
Au vu des manquements constatés, la Présidente de la CNIL a mis en demeure la société BDE, par décision n° 2016-068 du 3 octobre 2016, de se mettre en conformité avec la loi Informatique et Libertés. Elle lui a ainsi enjoint, dans un délai d’un mois, de :
procéder à une déclaration normale auprès de la CNIL du dispositif de vidéosurveillance installé dans les locaux de la société ;
collecter et ne conserver que les données non excessives et pertinentes en prenant les mesures nécessaires afin que la mise en œuvre du système de vidéosurveillance ne conduise pas à placer les personnes travaillant pour la société sous une surveillance permanente et constante, par exemple en cantonnant la surveillance vidéo aux horaires de fermeture du local durant lesquels le dispositif est susceptible de sécuriser les lieux sans attenter à la vie privée des personnes ;
prendre toute mesure nécessaire pour garantir la sécurité et la confidentialité des données à caractère personnel traitées, notamment en veillant à définir une politique de mots de passe robuste (huit caractères minimum dont au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial) et un renouvellement régulier (par exemple tous les six mois).
Cette décision a été notifiée à la société le 6 octobre 2016 par courrier recommandé avec avis de réception.
Le 3 novembre 2016, la société a effectué une déclaration normale à la CNIL relative à la caméra de surveillance installée dans le bureau . Elle n’a toutefois apporté aucune réponse à la mise en demeure.
Un courrier de relance lui a donc été adressé le 8 décembre 2016. Elle l’a réceptionné une semaine plus tard mais n’y a pas répondu.
En l’absence de réponse et de preuve de mesures correctives sur les autres manquements, la Présidente de la Commission a désigné Mme Marie-France MAZARS en qualité de rapporteur, le 15 février 2017, sur le fondement de l’article 46 de la loi du 6 janvier 1978 modifiée.
A l’issue de son instruction, le rapporteur a notifié à la société, par porteur, le 17 mars 2016, un rapport détaillant les manquements à la loi Informatique et Libertés qu’il estimait constitués en l’espèce. Ce rapport proposait à la formation restreinte de la CNIL de prononcer une sanction pécuniaire rendue publique.
Etait également jointe au rapport une convocation à la séance de la formation restreinte du 27 avril 2017 indiquant à la société qu’elle disposait d’un délai d’un mois pour communiquer ses observations écrites.
Le 21 avril 2017, des observations écrites sur le rapport ont été adressées à la CNIL par courrier simple à en-tête de la société.
M. Y, gérant de la société BDE, a par ailleurs formulé des observations orales lors de la séance de la formation restreinte du 27 avril 2017.
Motifs de la décision
Sur le manquement à l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données
L’article 6-3° de la loi du 6 janvier 1978 modifiée dispose qu’un traitement de données à caractère personnel ne peut porter que sur des données qui sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs .
La société BDE a été mise en demeure de ne collecter et ne conserver que les données non excessives et pertinentes en prenant les mesures nécessaires afin que la mise en œuvre du système de vidéosurveillance ne conduise pas à placer les personnes travaillant pour la société sous une surveillance permanente et constante, par exemple en cantonnant la surveillance vidéo aux horaires de fermeture du local durant lesquels le dispositif est susceptible de sécuriser les lieux sans attenter à la vie privée des personnes.
En défense, la société a fait valoir, dans ses observations écrites, que le système de vidéosurveillance n’était pas activé pendant les heures de travail et qu’il avait été programmé pour enregistrer uniquement les images de 18h à 8h, ainsi que le week-end sauf en période de vacances scolaires. Elle a joint à l’appui de ses observations plusieurs copies d’écran du dispositif dont l’une montrant une femme assise à son poste de travail le 18 avril 2017 à 14h33 ainsi qu’une copie d’écran des paramétrages d’enregistrement du système.
La société a, par ailleurs, affirmé qu’il avait été constaté lors du contrôle que le gérant de la société n’avait pas accès aux images du dispositif, que ce soit sur son ordinateur ou sur son téléphone.
Lors de la séance, le gérant de la société a contesté être à l’origine des observations écrites adressées à la CNIL et a soutenu que la caméra ne fonctionnait pas.
La formation restreinte relève qu’il ressort des pièces transmises par la société à la suite du rapport de sanction que si le dispositif de vidéosurveillance n’est en effet paramétré pour enregistrer les images qu’en dehors des horaires de travail, il est néanmoins activé pendant la journée en mode visualisation. Il place donc toujours l’assistante administrative de la société sous une surveillance permanente et constante. Elle rappelle de surcroît qu’il avait été constaté lors du contrôle que le gérant de la société pouvait accéder en temps réel aux images depuis son téléphone portable et donc exercer cette surveillance à distance.
Sur la base de ces éléments, la formation restreinte considère que la société ne s’est pas conformée à la décision n° 2016-068 du 3 octobre 2016 précitée et que le manquement à l’article 6-3° de la loi janvier du 6 janvier 1978 modifié est constitué.
Sur le manquement à l’obligation d’assurer la sécurité des données
L’article 34 de la loi du 6 janvier 1978 modifiée dispose que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès .
Lors du contrôle effectué dans les locaux de la société, les services de la Commission avaient constaté que l’accès au logiciel de visualisation des images s’effectuait sur deux postes de travail par la saisie de l’identifiant admin et d’un mot de passe composé de six caractères. La société avait en conséquence été mise en demeure de définir une politique de mots de passe robuste c’est-à-dire d’imposer, d’une part, des mots de passe de huit caractères composés d’au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial et, d’autre part, un renouvellement régulier de celui-ci.
En défense, la société n’a apporté aucune réponse sur ce point. Le gérant de la société a néanmoins précisé, lors de la séance, que les mots de passe n’avaient pas été changés.
La formation restreinte relève, en conséquence, que les images du dispositif de vidéosurveillance sont toujours accessibles de manière non sécurisée et pourraient ainsi être consultées par des tiers non autorisés.
Elle considère, ainsi, que la société ne s’est pas conformée à la décision n° n° 2016-068 du 3 octobre 2016 précitée et que le manquement à l’article 34 de la loi du 6 janvier 1978 modifié est constitué.
Sur le manquement à l’obligation de répondre aux demandes de la CNIL
L’article 21 de la loi du 6 janvier 1978 modifiée dispose que Les ministres, autorités publiques, dirigeants d'entreprises publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s'opposer à l'action de la commission ou de ses membres et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche .
Le rapporteur relevait que la société BDE n’avait apporté de réponse ni aux trois courriers des 3 juin, 22 juillet et 21 septembre 2015 qui lui ont été adressés dans le cadre de l’instruction de la plainte, ni aux deux courriers des 18 avril et 27 mai 2016 faisant suite au contrôle du 14 avril 2016, ni à la mise en demeure de la Présidente de la CNIL du 3 octobre 2016 et au courrier de relance du 8 décembre suivant.
La société ne conteste pas cette absence de réponse et n’apporte aucune justification à ce silence.
La formation restreinte relève ainsi que durant un an et demi, la société n’a répondu à aucun des sept courriers qui lui ont été adressés par les services de la Commission et par sa Présidente que ce soit dans le cadre de l’instruction de la plainte, à la suite du contrôle sur place ou au stade de la mise en demeure. Ce n’est qu’à la suite de la notification du rapport de sanction que la société a apporté certains éléments de réponse relatifs aux manquements relevés par le rapporteur.
La formation restreinte considère que ce comportement démontre un défaut manifeste de prise en compte des questions Informatique et Libertés liées au traitement des données à caractère personnel.
La formation restreinte estime, dès lors, que le manquement à l’article 21 de la loi du 6 janvier 1978 modifié est constitué.
Sur la sanction et la publicité
Au regard des éléments ci-dessus développés, les faits constatés constituent un manquement aux dispositions de la loi du 6 janvier 1978 modifiée, notamment à ses articles 6-3°, 34 et 21.
Compte tenu des circonstances de l’espèce, une sanction d’un montant de 1.000 euros apparaît justifiée à l’encontre de la société BDE.
Par ailleurs, au regard de la persistance des manquements formulés à l’encontre de la société durant plus d’un an et malgré les nombreuses diligences effectuées à son égard par les services de la CNIL, la formation restreinte décide de rendre publique sa décision. Elle estime nécessaire de sensibiliser les personnes et les responsables de traitement aux droits et obligations issus de la loi Informatique et Libertés , en particulier, à l’importance de répondre aux demandes de la Présidente et de mettre effectivement en œuvre les mesures requises.
PAR CES MOTIFS
La formation restreinte de la CNIL, après en avoir délibéré, décide :
de prononcer à l’encontre de la société BDE une sanction pécuniaire d’un montant de 1.000 € ;
de rendre publique sa délibération, qui sera anonymisée à l’expiration d’un délai de deux ans à compter de sa publication.
Le Président
Jean-François CARREZ
Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’Etat dans un délai de deux mois à compter de sa notification.
Nature de la délibération: SANCTION
Date de la publication sur legifrance: 13 juillet 2017