DELIBERATION n°2013-377 du 5 décembre 2013

Délibération n° 2013-377 du 5 décembre 2013 portant refus d’autorisation de mise en œuvre par la société Renault Trucks d'un traitement automatisé de données à caractère personnel en matière d’infractions pédopornographiques

(Demande d’autorisation n° 1634906)
La Commission nationale de l'informatique et des libertés,
Saisie par la société Renault Trucks d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la mise en œuvre d’un logiciel de lutte contre la pédopornographie ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le Code du travail, notamment son article L. 1121-1 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 9 et 25-I-3° ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Après avoir entendu M. Emmanuel de GIVRY commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
La société Renault Trucks, société française filiale du groupe Volvo, développe, assemble et vend des véhicules industriels et utilitaires. Elle a saisi la Commission d’un dossier de demande d’autorisation de mise en œuvre d’un logiciel dénommé « NET CLEAN », destiné à protéger les salariés et le matériel de l’entreprise contre la pédopornographie.
Le logiciel est installé de façon centralisée sur des serveurs du groupe Volvo situés en Suède. Il télécharge le fichier de signatures contenant les empreintes numériques des images incriminées à partir de la base de données d’Interpol. Un autre logiciel est déployé sur chacun des postes des salariés et scanne en temps réel les images et vidéos présentes dans les ordinateurs connectés au réseau de l’entreprise. La recherche s’effectue sur tout matériel connecté au réseau de l’entreprise : disques durs internes et externes, clés USB, CD Rom, DVD Rom, navigateurs web, courriels, etc. Si le logiciel détecte une image à partir de son empreinte numérique, il envoie un message d’alerte auprès des serveurs centralisés et fournit des informations détaillées sur l’incident. Si des fautes étaient constatées, des sanctions disciplinaires pouvant aller jusqu’au licenciement pourraient être prises à l’encontre des salariés concernés. Des poursuites pénales pourraient également être engagées.
La Commission considère qu’il y a lieu de faire application des dispositions de l’article 25-I-3° de la loi du 6 janvier 1978 modifiée qui soumet à autorisation les traitements, automatisés ou non, portant sur des données relatives aux infractions, condamnations ou mesures de sûreté, sauf ceux qui sont mis en œuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées.
La finalité du traitement est l’installation d’une application informatique sur tous les ordinateurs de l’entreprise dans le but d’éviter la consultation notamment sur internet et la possession de photos et de vidéos à caractère pédopornographique.
La société Renault Trucks SAS justifie la mise en œuvre de ce traitement par la volonté du groupe Volvo, auquel elle appartient, de renforcer sa responsabilité sociétale en participant activement à la lutte internationale contre la diffusion d’images ou vidéos à caractère pédopornographique.
Ce traitement s’inscrit donc dans le cadre de la politique éthique du groupe qui a pour but d’assurer le respect par les salariés de l’ensemble des règles d’origine légale, réglementaire, interne et déontologique, afin de garantir à ses sociétés un fonctionnement conforme aux règles de conduite applicables en la matière.
La Commission observe que les entreprises peuvent légitimement être amenées à mettre en œuvre des traitements visant à s’assurer que le matériel mis à la disposition de leurs salariés ne soit pas utilisé à des fins illégales. Elle considère par ailleurs que la lutte contre la pédopornographie est légitime dans son principe.
En l’espèce, le traitement projeté vise à éviter que le matériel professionnel ne soit utilisé à des fins de consultation ou de circulation de fichiers pédopornographiques.
Les données susceptibles d’être traitées dans le cadre d’une procédure interne sont les suivantes :

  • Les données d’identification de l’utilisateur en cas de procédure interne (matricule, nom, prénom) ;
  • Les données de connexion (identifiants des terminaux, adresse IP) ;
  • Les données d’infractions (ce sont plus précisément les données remontées, susceptibles de constituer des infractions) ;
  • Les données de l’alerte (nom et chemin du fichier détecté, date de détection, date de dernière modification, date du dernier accès au fichier, nom du propriétaire du fichier, nom de l’utilisateur de l’application qui y a accédé, ordinateur sur lequel il a été détecté, adresse IP de l’ordinateur lors de la détection, adresse physique de la carte réseau de l’ordinateur, type du disque sur lequel le fichier a été détecté, référence fournisseur du disque, numéro de série du disque, identifiant unique (MDS checksum), volume du disque, numéro de série du disque).

Le traitement envisagé permettrait de détecter et de collecter de manière automatisée des données relatives à des infractions pénales.
La Commission rappelle que l’article 9 de la loi du 6 janvier 1978 modifiée dispose que « les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté ne peuvent être mis en œuvre que par :
1° Les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales ;
2° Les auxiliaires de justice, pour les stricts besoins de l'exercice des missions qui leur sont confiées par la loi ;
3° [Dispositions déclarées non conformes à la Constitution par décision du Conseil constitutionnel n° 2004-499 DC du 29 juillet 2004 ;]
4° Les personnes morales mentionnées aux articles L. 321-1 et L. 331-1 du code de la propriété intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d'atteintes aux droits prévus aux livres Ier, II et III du même code aux fins d'assurer la défense de ces droits. ».
En l’espèce, s’il apparaît légitime que la société informe les autorités compétentes sur des faits qu’elle considèrerait comme répréhensibles, elle ne saurait enregistrer et traiter des données d’infractions que si elle peut invoquer l’une des exceptions visées à l’article 9 précité. Or d’une part, la société Renault Trucks ne justifie pas de la qualité de personne morale gérant un service public agissant dans le cadre de ses attributions légales, notamment au regard de la jurisprudence administrative en la matière (CE 28 juin 1963 Narcy, CE 20 juillet 1990 Ville de Melun, CE 22 février 2007 APREI) et de la nécessité d’avoir accès à ce type de données. D’autre part, la Commission estime qu’en l’espèce, le principe d’interdiction de collecter des données d’infractions énoncé à l’article 9, tel qu’interprété par le Conseil Constitutionnel, est applicable à la société Renault Trucks dès lors qu’il ne la prive pas de son droit d’exercer un recours juridictionnel s’agissant des infractions dont elle serait victime.
En l’espèce la société Renault Truck ne justifie pas être habilitée à traiter de données d’infractions en application de l’article 9 de la loi du 6 janvier 1978 modifiée.
Dans ces conditions, la Commission n’autorise pas la société Renault Trucks à mettre en œuvre un traitement de données à caractère personnel ayant pour finalité la mise en œuvre d’un logiciel de lutte contre la pédopornographie.
La Présidente
Isabelle FALQUE-PIERROTIN

Retourner en haut de la page