Délibération 2014-307 du 17 juillet 2014

Délibération de la formation restreinte n°2014-307 du 17 juillet 2014 prononçant une sanction pécuniaire à l’encontre de la société X

La Commission nationale de l'informatique et des libertés, réunie en sa formation restreinte composée de M. Jean-François CARREZ, Président, M. Alexandre LINDEN, Vice-président, M. Sébastien HUYGUE et M. Maurice RONAI, membres ;

Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2011-334 du 29 mars 2011, notamment ses articles 45 et 46 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié par le décret n° 2007-451 du 25 mars 2007 ;

Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu la décision n° 2012-046C du 31 janvier 2012 de la présidente de la Commission nationale de l'informatique et des libertés ordonnant une mission de vérification auprès de la société X ;

Vu la décision n°2013-018 du 12 juillet 2013 de la présidente de la Commission nationale de l'informatique et des libertés mettant en demeure la société X ;

Vu le rapport de M. Eric PERES, commissaire rapporteur, adressé par courrier recommandé à la société X, le 28 février 2014;

Vu les observations écrites versées par la société X le 7 avril 2014, ainsi que les observations orales formulées lors de la séance de la formation restreinte;

Vu les autres pièces du dossier ;

Ayant entendu, lors de la séance de la formation restreinte du 10 avril 2014:
- M. Eric PERES, Vice-président, en son rapport ;
- Mme Catherine POZZO DI BORGO, commissaire du Gouvernement adjoint, en ses observations ;
- M. XX de la société X, Me Y, son conseil.

A adopté la décision suivante :

I. FAITS ET PROCÉDURE

La société X (ci-après la société) exerce une activité de commerce en gros de fruits et légumes et de distribution de détail par l'intermédiaire de ses filiales établies sur le territoire Rhône-Alpin.

La Commission nationale de l'informatique et des libertés (ci-après la CNIL) a été saisie d'une plainte de la Direction Régionale des Entreprises, de la Concurrence, de la Consommation, du Travail et de l'Emploi du Rhône-Alpes aux termes de laquelle, celle-ci dénonçait les conditions de mise en œuvre des dispositifs de vidéosurveillance dans les commerces de détail gérés par les filiales du groupe.

Des contrôles ont été réalisés les 2 et 3 février 2012 dans les locaux de la société et dans deux de ses filiales. Ces contrôles portaient sur les dispositifs de vidéosurveillance et vidéoprotection, les équipements de géolocalisation des véhicules assurant l'approvisionnement des magasins et sur les traitements de gestion des ressources humaines. Ils ont été suivis par un courrier d'observations pointant les manquements constatés. Les échanges de courriers intervenus par la suite n'ont pas permis d'obtenir de la société que celle-ci mette un terme aux manquements relevés.

Par décision n°2013-018 du 12 juillet 2013, la présidente de la CNIL a mis en demeure la société d'informer les salariés des dispositifs de vidéo utilisés, de proportionner leur utilisation aux finalités déclarées et de s'assurer qu'ils ne conduisent pas à la mise sous surveillance permanente des salariés, à filmer les accès aux vestiaires et lieux de pause des salariés. La société a également été mise en demeure de ne pas collecter les vitesses instantanées des véhicules, d'assurer la sécurité et la confidentialité des données et de ne pas conserver, aux delà des exigences légales ou réglementaires, des éléments non pertinents du dossier des salariés. Cette mise en demeure visait la société ainsi que ses filiales à qui elle octroyait un délai d'un mois pour se mettre en conformité.

Par échange de courrier des 12 août, 3 septembre et 2 octobre 2013, la société a indiqué avoir procédé à une mise en conformité partielle et en a informé la CNIL qui, après avoir pris note des mesures déployées, a enjoint à la société de mettre en œuvre des mesures complémentaires pour assurer une mise en conformité complète.

De nouveaux contrôles effectués dans la société et ses filiales les 20 et 21 novembre 2013 ont établi la persistance de manquements. Sur la foi de ces éléments, la présidente de la Commission a désigné M. Eric PERES, en tant que commissaire rapporteur, sur le fondement de l'article 46 de la loi du 6 janvier 1978 modifiée.

A l'issue de son instruction, considérant que la société avait manqué à plusieurs obligations lui incombant en application de la loi du 6 janvier 1978 modifiée, le rapporteur a notifié, par courrier du 28 février 2014, un rapport détaillant les manquements à la loi qu'il estimait constitués en l'espèce. Ce rapport proposait à la formation restreinte de prononcer à l'encontre de la société une sanction pécuniaire, dont il sollicitait par ailleurs qu'elle soit rendue publique.

Etait également jointe au rapport une convocation à la séance de la formation restreinte du 10 avril 2014 indiquant à la société qu'elle disposait d'un délai d'un mois pour communiquer ses observations écrites.

La société a produit, par courrier daté du 7 avril 2014, des observations écrites sur le rapport, réitérées oralement lors de la séance de la formation restreinte du 10 avril 2014.

II. MOTIFS DE LA DÉCISION

1. Sur le manquement à l'obligation de veiller à l'adéquation, à la pertinence et au caractère non excessif des données

Le 3° de l'article 6 de la loi du 6 janvier 1978 modifiée dispose que les données à caractère personnel collectées par un responsable de traitement doivent être adéquates, pertinentes et non-excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.

Le déploiement d'un dispositif de vidéosurveillance est susceptible de porter atteinte aux droits des personnes et aux libertés collectives, dès lors, de telles restrictions aux libertés doivent être justifiées par la nature de la tâche à accomplir et proportionnées au but recherché.

Il est établi par procès-verbaux des 20 et 21 novembre 2013 que les accès aux vestiaires, sanitaires ainsi qu'aux locaux affectés, en propre ou non, au repos des salariés étaient filmés dans les établissements de [...] et de [...].

Il a été également constaté lors des contrôles réalisés que plusieurs postes de travail se trouvaient placés sous surveillance constante dans les locaux de l'établissement [...].

Il est constant que le placement sous surveillance continue des postes de travail des salariés n'est possible que s'il est justifié par une situation particulière ou un risque particulier auxquels sont exposées les personnes objets de la surveillance. Il appartient au responsable de traitement de justifier de ces circonstances et de la proportionnalité du traitement.

De même, la collecte systématique des images des salariés dans ou aux abords immédiats des lieux de repos de l'établissement, des sanitaires ou encore dans des vestiaires ne peut être regardée comme proportionnée à la seule finalité de protection des biens et personnes qu'en présence de justifications précises.

Il appartient donc à la formation restreinte d'examiner la proportionnalité du dispositif de vidéosurveillance.

En défense, la société fait valoir que la finalité des dispositifs dont il est argué qu'ils sont disproportionnés est uniquement liée à la sécurisation des biens et personnes et que la surveillance des salariés n'est en rien l'objet des dispositifs. Elle indique que cette finalité est justifiée par le nombre de cambriolages dont ont été victimes les établissements du groupe.

Elle fait valoir que la sécurité des salariés est de la responsabilité du chef d'entreprise, qu'à cet égard les magasins du groupe ne comptent que 1 à 4 salariés par site et sont de dimension très réduite.

L'utilisation de dispositifs de vidéoprotection et vidéosurveillance constitue donc une réponse adaptée au risque de sécurité qui pèse sur les salariés. Elle dément avoir utilisé le dispositif pour surveiller les salariés mais au contraire indique que le dispositif doit être accessible à chacun des salariés des sites concernés pour leur permettre de s'assurer de la sécurité des locaux dans lesquels ils travaillent et dans certains cas manipulent des espèces.

Elle indique ne pas filmer les lieux de repos ou les vestiaires des salariés et conteste le caractère non pertinent. Elle estime que l'exigüité des locaux fait obstacles dans certains cas au repositionnement des caméras et qu'il appartient à la CNIL de lui apporter son conseil pour définir l'emplacement des caméras. Elle estime n'avoir pas bénéficié d'un tel conseil et justifie ainsi l'absence de mise en conformité de tous les établissements dans le délai imparti. Elle estime enfin que la réponse à la demande formulée par la mise en demeure est de nature à mettre en péril la sécurité des salariés. La mise en conformité aurait donc été réalisée chaque fois que cela était possible.

Ces éléments rappelés, la formation restreinte constate qu'à l'issue du délai imparti par la mise demeure les mesures correctives exigées par celle-ci n'avaient été qu'imparfaitement mises en œuvre et que des zones qui ne devraient pas être placées sous surveillance continuaient à l'être. En effet, alors que la mise en demeure visait l'ensemble des établissements du groupe, il a été constaté que des accès aux vestiaires, ainsi qu'aux locaux affectés au repos des salariés faisaient l'objet d'une surveillance. La formation restreinte retient que l'objectif de protection des personnes assigné au dispositif est parfaitement légitime mais que les seules difficultés liées à l'exigüité des locaux ne peuvent justifier une atteinte disproportionnée à la vie privée des salariés ou leur mise sous surveillance constante.

La formation restreinte considère que la société n'a pas respecté les dispositions de l'article 6-3° de la loi du 6 janvier 1978 modifiée.

2. Sur le manquement à l'obligation de définir une durée de conservation

L'article 6-5° de la loi du 6 janvier 1978 modifiée dispose qu'un traitement ne peut porter que sur des données à caractère personnel qui sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

Il est établi par procès-verbal de constat du 21 novembre 2013 que la société conserve le dossier professionnel de plusieurs salariés ayant quitté l'entreprise depuis plus de cinq ans. Il ressort de la nature des pièces que celles-ci ne sont pas conservées au titre d'une obligation légale ou règlementaire.

En outre par courrier du 12 août 2013 la société avait pris l'engagement de procéder à la destruction des pièces dont la conservation n'était pas justifiée.

En défense la société fait valoir qu'elle n'aurait pas bénéficié de la part des services de la CNIL d'un accompagnement suffisant dans la détermination des documents devant faire l'objet d'une destruction. Elle estime que la modification des durées de prescription rend délicate l'évaluation des documents devant être conservés et que cette tache technique et sensible ne peut être réalisée que par un personnel limité et qualifié. A cet égard, elle estime ne pas disposer des ressources nécessaires pour mener à bien cette tâche. Elle indique n'avoir pas eu le temps de procéder à la destruction des documents alors qu'elle aurait bénéficié d'un délai supplémentaire accordé tacitement par la CNIL. Enfin elle entend faire reconnaître qu'elle n'a pas fait preuve de mauvaise volonté dans sa mise en conformité mais qu'elle a été dépassée par l'ampleur des vérifications à accomplir.

La formation restreinte sur la base des éléments issus du procès-verbal de constat retient que postérieurement à la date d'échéance de la mise en demeure, il n'a pas été satisfait à la demande. Il est indifférent que cette tâche puisse être regardée comme difficile à accomplir dans la mesure où celle-ci relève d'évidence de la gestion normale des dossiers des salariés et que dès lors, il incombe à l'employeur de prendre les mesures nécessaires.

La formation restreinte considère que la société n'a pas respecté les termes de la mise en demeure en ce qu'elle ordonne le respect des dispositions de l'article 6-5° de la loi du 6 janvier 1978 modifiée.

3. Sur le manquement à l'obligation d'informer les personnes

Le I de l'article 32 de la loi du 6 janvier 1978 modifiée prévoit que le responsable de traitement doit fournir à la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant des informations sur l'identité du responsable du traitement, la finalité de ce traitement, le caractère obligatoire ou facultatif des réponses, les destinataires, les droits d'accès, de rectification et, le cas échéant, d'opposition aux données les concernant ainsi que des transferts de données envisagés à destination d'un Etat non-membre de la Communauté européenne.

Il ressort des constations effectuées lors des contrôles de 20 et 21 novembre 2013 que l'information des salariés ne correspond pas à celle prévue par l'article 32-I susvisé. A cet égard, il est établi que les contrats de travail des salariés ne comportent pas systématiquement une information ou que celle-ci ne présente pas le degré de précision attendu. De la même façon les panonceaux d'information placés dans les lieux surveillés et non accessibles au public ne présentent pas les caractéristiques attendues lorsqu'ils existent.

En défense la société fait valoir sa difficulté à comprendre l'articulation des lois relatives aux dispositifs de vidéosurveillance et de vidéo-protection, à la faiblesse de ses moyens humains, aux défaillances de ses prestataires techniques.

Or, il est avéré que l'information délivrée aux salariés présente un caractère incomplet malgré les engagements de la société pris par courrier en réponse à la mise en demeure du 12 juillet 2013. La formation restreinte note que cette situation perdure malgré les indications claires et l'aide apportée par les services de CNIL.

Dans ces conditions, la formation restreinte considère que les obligations d'information prévues par l'article 32 de la loi du 6 janvier 1978 n'ont pas été satisfaites par la société et que celle-ci n'a pas pris les dispositions nécessaires pour faire cesser le manquement au terme du délai de mise demeure.

La formation restreinte considère que la société n'a pas respecté les termes de la mise en demeure en ce qu'elle ordonne le respect des dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée.

4. Sur le manquement à l'obligation d'assurer la sécurité et la confidentialité des données

L'article 34 de la loi du 6 janvier 1978 modifiée dispose que Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès .

Il est établi par procès-verbal de constat que l'accès aux données du dispositif de géolocalisation était permis par une interface utilisant un protocole non sécurisé, il est également avéré que malgré la mise en demeure du 12 juillet 2013 et l'engagement de la société à faire corriger ce défaut de sécurisation par son prestataire, les données restaient accessibles dans les mêmes conditions à l'issue du délai prévu par la mise en demeure.

Il est établi par constat que l'accès aux images captées par les dispositifs de vidéoprotection et surveillance se faisait à la date des premiers contrôles dans des conditions de sécurité insuffisantes. Cette situation résultait de la mise en place de mots de passe dont la robustesse et le non renouvellement ne permettaient pas d'assurer un niveau de sécurité adéquat. A l'issue des contrôles effectués en novembre 2013 et malgré l'engagement de la société à prendre les mesures préconisées par la mise en demeure du 12 juillet 2013, la situation restait inchangée.

Enfin, et malgré les engagements pris à l'issue de la mise en demeure, il est apparu lors des contrôles réalisés en novembre 2013 que les images captées par les dispositifs restaient accessibles à la totalité du personnel de chaque magasin et que seules des mesures d'effet limité avait pu être prises en ce qui concerne le siège de la société.

En défense la société expose ne pas comprendre la nécessité de verrouiller par mot de passe l'accès à des dispositifs de surveillance destinés à être utilisés tout au long de la journée par les salariés. Elle rappelle les difficultés des entreprises à mettre en œuvre les demandes de la CNIL et notamment l'absence de compétence informatiques des salariés. Elle indique que son prestataire ne dispose pas des connaissances relatives à la sécurisation des dispositifs et ignore la législation applicable, de ce fait elle estime que sa mauvaise volonté ne peut retenue.

En ce qui concerne l'accès au dispositif de captation des images mis en place dans les locaux de son siège social, la société entend faire valoir qu'elle a d'ores et déjà limité le nombre de personnes ayant accès aux images et qu'elle n'est pas en mesure de réduire encore ce nombre en raison de contraintes techniques et de l'organisation interne. Sur la même question relativement aux accès par les personnels des magasins et des tiers partageant le local professionnel de l'un des magasins, la société estime qu'il est nécessaire que l'ensemble du personnel puisse avoir accès aux images car la sécurité est assurée dans les petites structures par chacun des salariés. Elle estime par ailleurs impossible de limiter l'accès aux images par des tiers dans la mesure où ces tiers partagent la surface commerciale avec la société.

Sur les deux premiers points la formation restreinte ne peut que constater que malgré les engagements pris, la société n'a pas mis fin aux manquements comme elle s'y était engagée et que pour partie elle assume la responsabilité du manquement dû à la défaillance de son prestataire de géolocalisation. Les modifications demandées ne présentant pas un caractère de complexité important, notamment en ce qui concerne la simple mise en place de mots de passe robustes, un simple manque de compétence ne suffit pas à justifier l'inaction de la société.

Sur le dernier point, il est constant que des tiers à la société continuent d'avoir accès aux images issues du dispositif de vidéosurveillance et notamment l'accès au vestiaire. Les dispositifs de vidéosurveillance étant destinés à assurer la protection des biens et personnes, rien ne permet de considérer que cet objectif peut être atteint par le fait que des tiers non habilités accèdent aux dites images. Dès lors en ne prenant pas les mesures nécessaires pour limiter cet accès par des tiers, la société a manqué à ses obligations et ne s'est pas conformée à la mise en demeure sur ce point sans justifier d'une impossibilité matérielle suffisante.

Sur la base de ces éléments, la formation restreinte constate que la société n'a pas respecté les dispositions de l'article 34 de la loi du 6 janvier 1978 modifiée et les termes de la mise en demeure.

5. Sur la sanction et la publicité

La formation restreinte retient que la société n'a pas respecté les termes de la mise en demeure qui lui avait été notifiée et notamment de ne pas respecter les dispositions prévues aux articles 6-3°, 6-5°, 32 et 34 de la loi n°78-17 du 6 janvier 1978 modifiée.

Par conséquent, la formation restreinte décide de prononcer à son encontre la sanction pécuniaire prévue à l'article 45 de la loi n°78-17 du 6 janvier 1978 modifiée.

Si la bonne foi de la société et son souci constant de préserver la sécurité des salariés ne peuvent qu'être notés, il est également observé que la société malgré un accompagnement constant de la CNIL ne s'est pas mise en conformité à l'issue du délai fixé par la mise en demeure, en conséquence la formation restreinte décide de rendre cette décision publique.

PAR CES MOTIFS

La formation restreinte de la CNIL, après en avoir délibéré, décide :
- De prononcer une sanction pécuniaire de cinq mille euros à l'encontre de la société X ;
- De rendre publique sa décision sur le site Internet de la CNIL et sur le site Légifrance.

Le Président

Jean-François CARREZ

Cette décision est susceptible de faire l'objet d'un recours devant le Conseil d'Etat dans un délai de deux mois à compter de sa notification.

Retourner en haut de la page