La Présidente de la Commission nationale de l’informatique et des libertés a prononcé plusieurs mises en demeure pour vidéosurveillance excessive.
Le 10 décembre 2019, la Cnil a rendu publique la mise en demeure prononcée à l’encontre d’une société spécialisée dans le secteur aéronautique portant notamment sur divers manquements. Parmi ces derniers, un manquement au principe de minimisation des données défini à l’article 5, 1, c) du RGPD a été relevé par l’autorité de contrôle au regard d’une utilisation du système de vidéosurveillance jugée disproportionnée.
Par un communiqué en date du 18 décembre 2019 publié sur son site Internet, la Cnil a annoncé avoir prononcé des mises en demeure à l’encontre de plusieurs établissements scolaires de mette leur système de vidéosurveillance en conformité avec le RGPD.
Bref rappel des faits
S’agissant de la mise en demeure prononcée à l’encontre de la société spécialisée, un signalement avait été adressée par la Direction régionale des entreprises, de la concurrence, de la consommation, du travail et de l’emploi en Occitanie (DIRECCTE) à la Cnil. Ce signalement faisait état de la présence de plusieurs caméras de vidéosurveillance filmant en continu les postes de travail de salariés.
Sur décision de Madame la Présidente de la Cnil, un contrôle sur place avait été réalisé dans les locaux de cette société. Au cours de ce contrôle, les agents de la Cnil ont pu constater qu’un dispositif de vidéosurveillance était installé dans les locaux de la société.
En outre, ils ont notamment :
- relevé que le dispositif comportait quatorze caméras (trois désactivées le jour du contrôle, huit filmant l’espace de vente ouvert au public, une filmant la caisse, une au niveau de la zone de préparation des commandes lequel n’est pas ouvert au public, une au niveau d’un couloir non ouvert au public et desservant plusieurs bureaux de salariés).
- été informés qu’une autorisation préfectorale avait été réalisée par la société pour une finalité de prévention des atteintes aux salariés et aux biens et de localisation des salariés.
- relevé qu’une habilitation d’accès aux images issues du dispositif de vidéosurveillance avait été donnée au gérant de la société et à l’ensemble des salariés.
- relevé que les images étaient accessibles à partir de chaque poste informatique du magasin au moyen de mots de passe préenregistrés depuis un compte générique et un compte individuel.
- constaté que l’accès au logiciel susmentionné est effectué à partir d’un protocole http.
- été informés que les salariés avaient reçu une information sur l’existence du dispositif par une mentions dans leur contrat de travail.
- été informés qu’aucune registre des activités de traitements n’était tenu.
S’agissant de la mise en demeure des établissements scolaires, le communiqué de la Cnil mentionne uniquement le fait que « dans le cadre de ses échanges avec ces établissements, la CNIL a eu confirmation [des faits portés à sa connaissance dans les plaintes qu’elle a reçu.] ». Les élèves étaient effectivement placés sous une surveillance systématique au long de leur journée. De même, le personnel (surveillants, personnel de cantine, certains professeurs) était filmait « de manière quasi-constante ».
Vidéosurveillance excessive : un manquement au principe de minimisation
Cinq manquements ont conduit au prononcé d’une mise en demeure à l’encontre de la société spécialisée dans le secteur aéronautique (absence de registre des activités de traitement, absence de contrat conclu avec le prestataire en charge de la maintenance informatique, absence d’information des personnes).
Dans le cadre de l’utilisation par cette société du dispositif de vidéosurveillance, un manquement au principe de minimisation des données (RGPD, article 5, 1., c)). A cet égard, les conditions dans lesquelles les salariés étaient placés au regard du dispositif ont d’abord été analysées. Sur ce point, la mise en demeure relève que le salarié placé au poste de préparation des commandes était placé sous surveillance permanente.
Les finalités d’utilisation du dispositif et leurs conséquences pour les salariés ont également été analysées. A ce titre, il a été retenu que l’utilisation d’un dispositif de vidéosurveillance pour localiser les salariés lorsque le gérant n’est pas sur place n’est pas légitime.
Plus spécifiquement, il résulte de la mise en demeure que « La Commission considère avec constance que les employés ont droit au respect de leur vie privée sur leur lieu de travail. Or le placement sous surveillance permanente des salariés à des fins de localisation est attentatoire à leur vie privée. ».
En conséquence, la Présidente de la Cnil rappelle que sauf circonstance particulière tenant à la nature de la tâche à accomplir par les salariés (manipulation d’objets de grande valeur telle que la manipulation de fonds) ou tenant à la commission d’infractions (vols, dégradations, agressions, etc.), ils ne peuvent pas être placés sous surveillance continue sur leur lieu de travail.
En l’espèce, la société contrôlée n’a fait état d’aucune circonstance particulière permettant de justifier la localisation des salariés au moyen du dispositif de vidéosurveillance.
Dans ce contexte, la société contrôlée a été mise en demeure de cesser le traitement des images issues du dispositif de vidéosurveillance à des fins de localisation des salariés. Pour ce faire, la mise en demeure indique que le dispositif doit être adapté (suppression ou réorientation de caméras par exemple) dans un délai de dix jours à compter de la notification de la mise en demeure.
S’agissant des établissements scolaires, le communiqué de la Cnil se borne à indiquer qu’ils ne pouvaient invoquer aucunes circonstances particulières. En conséquence, la Cnil leur a demandé de réorienter, retirer, déplacer ou paramétrer les caméras de manière qu’elles ne fonctionnement qu’en dehors des heures d’ouverture. Le délai dans lequel la mise en conformité devait intervenir n’est pas précisé dans le communiqué.
La sécurité des dispositifs de vidéosurveillance en question
La mise en demeure commentée a également été l’occasion pour la Cnil de rappeler les exigences de sécurité relatives au dispositif de vidéosurveillance au regard de l’article 32 du RGPD.
Tout d’abord, la mise en demeure met l’accent sur l’exigence de définition de profils d’habilitation afin de limiter les accès aux images issues du dispositif de vidéosurveillance. Elle rappelle également que tous les salariés d’une entreprise n’ont pas à accéder à ces images.
Ensuite, il est rappelé que le pré-enregistrement de mots de passe et d’identifiants nuit à l’authentification sécurisée des utilisateurs d’un poste de travail. En effet, des tiers peuvent accéder à des données sans autorisation préalable.
Enfin, un protocole de chiffrement devrait être utilisé afin de sécuriser la connexion au logiciel de gestion permettant d’accéder aux images.
Le communiqué de la Cnil n’évoque pas la sécurité des dispositifs utilisés dans les établissements scolaires.
La publicité différenciée des mises en demeure justifiée ?
Le sort différencié du traitement des mises en demeure s’agissant de leur publicité peut attirer l’attention.
Rappelons qu’en application de l’article 20, II, dernier alinéa de la loi Informatique et Libertés modifiée, le président de la Cnil peut demander au bureau de rendre publique la mise en demeure.
A cet égard, à la lecture de la délibération du bureau de la Cnil, la publicité de la mise en demeure de la société spécialisée dans le secteur aéronautique a été justifiée uniquement et seulement au regard de l’utilisation excessive du dispositif de vidéosurveillance.
Ainsi, le bureau de la Cnil souligne t-il que :
« la publicité de la décision de mise en demeure se justifie par la gravité des manquements constatés à savoir le caractère excessif du système de vidéosurveillance qui filme en continu des salariés à des fins de localisation, plaçant ainsi les salariés sous une surveillance constante, et ce y compris en vue d’une consultation des images à distance. Le bureau relève que l’information délivrée aux salariés à ce sujet est incomplète et inadaptée. ».
Or, le communiqué de la Cnil relatif à la mise en demeure d’établissements scolaires souligne que les échanges avec lesdits établissements ont permis de confirmer que :
- « Les élèves étaient ainsi placés sous une surveillance systématique tout au long de leur journée, que ce soit à l’occasion de leurs moments de récréation, lors de leur déjeuner à la cantine ou même pendant leurs temps de classe. ».
- « Ces caméras permettaient également de filmer de manière quasi-constante une partie du personnel, en particulier les surveillants en charge des cours de récréation, le personnel de la cantine et du CDI ainsi que les professeurs d’informatique ou de sport. ».
Ainsi, la différence majeure entre ces mises en demeure tient au fait que dans le premier cas, le dispositif de vidéosurveillance était utilisé pour localiser les collaborateurs. Toutefois, dans les deux cas, les personnes concernées étaient filmées en continu sans justification.
Quels sont les points d’attention en matière de vidéosurveillance ?
La position adoptée par la Cnil à l’occasion de ces mises en demeure n’est pas nouvelle. Par une délibération n°SAN-2019-006, la formation restreinte de la Cnil a prononcé une sanction pécuniaire de 20 000 euros à l’encontre d’une société de traduction pour divers manquements relatifs à la vidéosurveillance excessive des salariés.
Les principaux enseignements de ces mises en demeure sont les suivants :
- les personnes concernées ne doivent pas être placées sous surveillance constante au moyen du dispositif de vidéosurveillance, notamment pour être localisées,
- si l’entité estime pouvoir justifier d’une ou plusieurs circonstances particulières, il convient de les documenter,
- les personnes doivent être informées de l’existence du dispositif de vidéosurveillance,
- la sécurité du dispositif doit être vérifiée lors de son installation, puis au cours de son utilisation. Cela comprend les accès aux données par des collaborateurs de l’entité et des tiers à l’entité tels un prestataire (gestion des habilitations), l’utilisation de comptes individuels et non génériques, l’absence de pré-enregistrement de l’identifiant et du mot de passe, etc.
- si un prestataire informatique intervient et qu’il agit en qualité de sous-traitant, un contrat répondant aux exigences de l’article 28 du RGPD doit être conclu.
- le traitement de données à caractère personnel mis en œuvre au moyen d’un dispositif de vidéosurveillance doit être porté au registre des activités de traitement conformément à l’article 30 du RGPD.