Vidéosurveillance,CNIL,RGPD, Sécurité des données, Sanction et amende

1)PROPOS INTRODUCTIFS :

Dans une délibération n° SAN 2019-006 du 13/06/19, la CNIL prononce une sanction à l’encontre de la société « Uniontrad COMPANY » en application du RGPD pour une utilisation excessive d’un système de vidéosurveillance de salariés sur leur lieu de travail et pendant l’exécution de celui-ci.

La sanction est classique et attendue au regard de la position historique de la CNIL à cet égard, par contre à bien y regarder l’analyse de la décision n’est pas sans intérêt pour construire à destination des « responsables de traitement –  employeurs » une petite méthodologie de rappel sur le bon usage des formalités à respecter versus RGPD en matière de vidéosurveillance.

L’intérêt de cette nouvelle décision de la CNIL va au-delà de l’impact sur les normes formelles à respecter pour la vidéosurveillance car elle se prononce aussi sur les manquements aux principes du RGPD pour l’obligation d’assurer la sécurité et la confidentialité des données au regard de l’utilisation par les salariés :

        De leur ordinateur au travail,

        De l’accès à la messagerie centrale de l’entreprise,

La CNIL constatera sur les 2 éléments constitutifs de l’atteinte à la sécurité un non-respect de l’article 32 du RGPD par une motivation qu’il importe de bien intégrer pour comprendre que le RGPD constitue un texte transversal qui concerne toute l’organisation de l’entreprise, et que le responsable de traitement qui est aussi par ailleurs un employeur, doit toujours aborder la sécurité de son traitement à un double niveau pour « en même temps » :

        Sécuriser l’exercice de son pouvoir de direction si nécessaire à des fins disciplinaires,

        Et surtout salariés compris et au-delà : ne pas nuire aux tiers.

Enfin la CNIL prononce une amende de 20 000 €, on est donc bien loin du montant maximum prévu par les dispositions de l’article 83 § 4,( pour mémoire les amendes administratives peuvent s’élever jusqu’à 10 000 000 d’euros ou jusqu’à 2 % du chiffre d’affaire annuel mondial total de l’exercice précédent le montant le plus élevé étant retenu).

La CNIL dans cette décision prononce une sanction en exerçant son pouvoir d’appréciation pour fixer l’amende en posant des critères qu’il n’est pas sans intérêt d’examiner.

2)BRIÈVEMENT LES FAITS :

La formation restreinte qui a délibéré dans cette affaire était présidée par Monsieur Alexandre Linden, longtemps conseiller à la chambre sociale de la Cour de cassation qui y a siégé dans la décennie 2000, et qui a participé à la construction par cette honorable juridiction sous l’impulsion de son président d’alors Monsieur Philippe Waquet , à l’émergence des nouveaux  « Droits Fondamentaux » du «  salarié » , par la  redynamisation du lien contractuel entre le salarié et son entreprise, ou il y est devenu à part entière un « sujet de droit » et non plus « un objet de droit » ; notions qui ne sont sans doute pas pour rien presque 20 ans après, avec les motivations du législateur sur la Loi Pacte portant la redéfinition dans l’article 1833 du Code Civil de « l’intérêt social » de l’entreprise. 

Où l’on voit l’aspect avant-gardiste du droit social qui a l’égal du RGPD constitue lui aussi une technique d’organisation transversale de l’entreprise, et comme l’avait fort bien qualifié Jean-Jacques Dupeyroux c’est par et dans  ce Droit Vivant que sont apparues d’abord  les grandes évolutions de notre société et en cela, la technique de construction de l’explicabilité du droit social ,rejoint on aura l’occasion certainement d’y revenir, la construction actuelle du « nouvel humanisme numérique » dont le RGPD est la cheville ouvrière, et dont on ne rappellera jamais assez qu’il passe par la notion de respect de la « Dignité Numérique  de la personne concernée ou Data subject» qui n’a pas fini de faire parler d’elle.

Ceci étant posé, les faits de cette affaire sont pour le moins atypiques et l’on retient  la patience de la CNIL vis-à-vis d’un responsable de traitement ou la genèse des faits reprochés remontait aux mois d’octobre 2013 et juin 2016, ou à 2 reprises elle est saisie de 4 plaintes de salarié concernant un système de vidéosurveillance portant une atteinte excessive au respect de leur vie privée sur le lieu de travail puisque :

Alors que l’activité économique de l’entreprise était la traduction de documents, et que la finalité du traitement avait été déclarée par l’employeur comme visant à la sécurité des biens et des personnes, mais non pas la surveillance des activités du personnel :

Tout autant ce souci de sécurité avait été poussé si loin qu’en définitive les caméras avaient été placées dans l’espace de travail pour placer 6 postes en état de surveillance constante ainsi « qu’une armoire » contenant des documents de travail (des traductions de grande valeur !).

Sur ces premières plaintes, la CNIL va donc initialement attirer l’attention du responsable de traitement sur le fait que peut-être la mise en place du système de vidéosurveillance s’avérait excessive et demandait des aménagements qu’à priori le responsable de traitement s’était engagé à faire !

En 2017 la CNIL sera saisie de 4 nouvelles plaintes pour les mêmes faits (Sic !)

La nouvelle plainte déclenchera en février 2018 une mission de contrôle dans l’entreprise, ou les contrôleurs délégués par l’autorité administrative vont constater la persistance du maintien du système de vidéosurveillance dans la même configuration que celle considérée comme excessive en 2016 !..

Le contrôle ayant eu lieu en février 2018, à quelques mois de la mise en application obligatoire du RGPD la CNIL contrôlera aussi les modalités de la mise en œuvre du traitement pour constater que :

  • Les salariés n’avaient pas reçu d’information formelle sur ce traitement et ses modalités,
  • La durée de conservation des images avérait excessive,

Les contrôleurs relevaient également un élément nouveau concernant l’organisation de la sécurité des données de l’entreprise dans un contexte qui sera décrit ci-après qui n’est pas sans intérêt aujourd’hui au regard de la jurisprudence des sanctions CNIL de ce début d’année 2019 que nous avons commenté sur ce site pour les décisions :

        Sergic (décision du 28/05/19), ADEF et Optic Center (décisions du Conseil d’Etat du 17/04/2019).

La CNIL après ce contrôle de février 2018, et une procédure d’instruction, rendra une mise en demeure d’avoir dans un délai de 2 mois à compter de sa décision du 26/07/18 de :

        Modifier le dispositif de vidéosurveillance afin qu’il soit proportionné à la finalité poursuivie dans le cadre des dispositions désormais applicables de l’article 5§c du RGPD.

La CNIL dans le contexte de la mise en œuvre du nouveau règlement sur la protection des données assortira sa décision de « conseils » de méthode à l’égard du responsable de traitement en le renvoyant le à :

        1)Cesser de placer les salariés sous surveillance constante en réorientant et déplaçant les caméras, ou en procédant la mise en œuvre de masques dynamiques lors de la visualisation des images pour la caméra située dans le bureau des traducteurs,

        2)Mettre en œuvre une politique de durée de conservation des données à caractère personnel qui soit en accord avec les finalités pour lesquelles elles étaient collectées, ce qui par rapport à la nature du traitement impliquait de ne pas conserver les enregistrements du dispositif de vidéosurveillance au-delà d’une période de 15 jours,

        3) Réviser les modalités de l’information des personnes concernées par l’imposition de panneaux indiquant la mise en œuvre du traitement avec l’indication de la finalité, (respectant le principe de minimisation) l’indication des personnes destinataires des données, de l’identité du responsable de traitement, et des modalités d’exercice des droits des personnes concernées par le traitement.

        Le signal ici pour les « Responsables de traitement-employeur » est de les inviter à réviser l’information à délivrer à la personne concernée ici en l’occurrence le salarié.

Il s’agit de respecter les dispositions combinées des articles 12 et 13 du RGPD, en plus des indications précisées ci-dessus et nous soulignons l’importance de l’information à délivrer aux salariés mis à disposition par l’employeur d’origine chez un client qui peut être amené à demander à l’employeur d’origine du salarié de prendre une sanction par rapport à des faits détectés par la vidéosurveillance.

 Donc à destination des entreprises prestataires de services comme le nettoyagela sécuritél’ingénieriel’informatique, cette énonciation ici n’étant pas exhaustive, une grande vigilance impose sur la révision des politiques d’information « spécifiques RGPD » à délivrer aux salariés.

        Un traitement de vidéosurveillance ne respectant pas la mise en œuvre des 3 principes rappelés ci-avant par la CNIL par une jurisprudence classique en droit du travail emporterait que toute mesure disciplinaire dont les faits s’appuieront sur une collecte de données illégales du point de vue du RGPD sera considéré comme illégitime et infondée, ce qui s’il s’agit d’un licenciement, en ces temps incertains sur le devenir des nouveaux barèmes d’indemnisation du licenciement sans cause réelle sérieuse peut faire peser sur le responsable de traitement employeur un risque supplémentaire tout aussi inutile que gênant ; sans compter la double peine de l’amende CNIL.

Car en effet, le salarié dans l’entreprise à la double qualité de « salarié et de personne concernée au sens du RGPD », en cela il cumule donc 2 protections savoir :

        La protection par le droit du travail,

        La protection par le RGPD.

Alors que le responsable de traitement avait reçu par une mise en demeure CNIL du 26/07/18, une marche à suivre particulièrement claire comme résumé ci-dessus pour se mettre en règle la « saga » de la mise en conformité va durer tout au long de l’année 2018 pour se terminer en 2019 par la sanction prononcée le 13 juin dernier.

En octobre 2018 des contrôleurs de la CNIL retourneront sur place pour vérifier les déclarations de conformité du responsable de traitement pour constater que :

        Suite à du ruban adhésif placé sur une des caméras (Resic !), selon ce dernier seule l’armoire comportant des documents importants (bon de commande et traduction assermentée) était surveillée !!

        Pour autant les contrôleurs constateront que néanmoins 2 salariés restaient surveillés et que finalement l’adhésif sur le champ de la caméra placé directement dans le bureau relevait davantage du « cache-misère » que de la recherche loyale d’un procédé d’éradication d’une surveillance pas trop par trop invasive.

Au regard du contexte particulier et de la multiplication des contrôles la CNIL ne va pas sanctionner sur le point particulier de la non-conformité du traitement de vidéosurveillance considérant que jusqu’à l’audience en chambre restreinte le responsable de traitement avait travaillé à se mettre en conformité et qu’à la date de la délibération en chambre restreinte le fonctionnement du système de vidéosurveillance était devenu conforme, (Il était temps !).

Mais c’est le résumé de tout le débat entre la CNIL et le responsable de traitement qui est intéressant pour constituer pour les responsables de traitement un « Vademecum » des bonnes pratiques du système de vidéosurveillance conforme au RGPD  : 

                1)Respecter le principe de minimisation de la collecte telle que précisé par l’article 5 § C (RGPD)soit :

Des données adéquatespertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées,

        2)Le personnel est informé :

        De la finalité du traitement et de ses conditions d’exercice ainsi que du rappel des droits des salariés considérés en l’occurrence sur ce point comme des personnes concernées par un traitement,

        Conservation des données :

Un traitement pour de la vidéosurveillance ne doit pas conserver les données au-delà d’un délai maximum de 15 jours.

Concernant justement la finalité : le RGPD se vit comme une matière vivante et pratique où le responsable de traitement est engagé par sa parole et ses écrits donc une finalité de traitement ne doit pas être une déclaration creuse et vide de sens.

        Une finalité correcte au sens du RGPD particulièrement dans un système de vidéosurveillance emporte que le responsable de traitement s’engage à rechercher d’abord depréférence à la surveillance des procédés alternatives telles que la sécurisation des accès sur le lieu de travail.

        La vidéosurveillance doit s’envisager de manière secondaire si les procédés alternatifs de sécurisation n’empêchent pas les vols ou la dégradation dans les locaux car on ne le répétera jamais assez la vidéosurveillance ne sert pas à surveiller l’efficience ou la qualité du travail mais tout à fait autre chose qui se décline sous le concept de sécurité.

Par contre, dès lors que l’impératif de sécurité est caractérisé dans la déclaration de finalité du traitement le curseur de l’intensité de la surveillance peut effectivement justifier si nécessaire un placement sous surveillance permanente mais à condition de justifier de circonstances exceptionnelles tenant notamment :

 À la localisation géographique (zone sensible bien sûr à caractériser !)

Et/ou à la nature de la tâche à accomplir.

Mais selon la formule célèbre du psychanalyste Jacques Lacan : « l’inconscient est structuré comme un langage » , l’employeur sera tenu par sa déclaration dont il devra justifier les éléments.

On retrouve par ailleurs dans la rédaction du § 9 de la page 4 de la décision CNIL « l’inclinaison sociale » de l’ancien conseiller à la chambre sociale de la Cour de cassation, Monsieur Linden qui rappelle fort à propos concernant pour la finalité, du système de vidéosurveillance au travail, une justification impérative de proportionnalité entre le risque et la mesure de protection par la formulation suivante : « Au demeurant, l’article L. 1121-1 du code du travail prévoit que nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives des restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionné au but recherché ».

La CNIL relèvera donc que pour surveiller en continue plusieurs salariées le responsable de traitement n’avait pas justifié de circonstances exceptionnelles justifiant de placer des traducteurs mêmes assermentés sous surveillance permanente ainsi que les documents traduits !

Mais de toute façon les caméras ayant été réorientées « conformément aux indications de la CNIL » au jour de l’audience de la formation restreinte, le problème ne se posait plus ce qui a compté dans la modulation du montant de l’amende.

Donc le premier réflexe de tout « responsable de traitement- employeur » avisé qui utilise un système de vidéosurveillance, sera d’appeler son « délégué à la protection des données » ou « DPO » favori à l’aide pour vérifier l’intégralité dans toutes les phases de la conformité de son traitement spécifique de vidéosurveillance, car chaque cas est un cas d’espèce.

Second enseignement de cette très intéressante décision CNIL sur la constatation d’une atteinte à la sécurité du traitement par application de l’article 32 du RGPD :

C’est lors du contrôle sur place en juillet et octobre 2018 que les contrôleur CNIL vont constater entre autres que :

        Le responsable de traitement n’avait pas pris les mesures prévues par l’article 32 du RGPD qui l’invite à garantir un niveau de sécurité adapté aux risques et notamment par rapport au §« d .

Le manquement à l’article 32 § en son §d était que :

        1)Les salariés pour accéder à leur poste informatique n’étaient pas soumis à une procédure d’authentification avec une politique de gestion de mots de passe conforme à l’état de l’art de la sécurité informatique.

        2)Et tous les salariés avaient par ailleurs accès à la messagerie professionnelle générique sans mesure de protection.

La CNIL pour caractériser le manquement à l’article 32 ans §d a une rédaction très pédagogique en faisant une approche par la « technique du risque » :

        Ce n’est pas par rapport aux droits des salariés qu’elle va sanctionner, mais par rapport aux risques de divulgation ou d’atteinte aux données des tiers en possession de l’entreprise car :

        Une absence de traçabilité des accès individuels à la boîte de messagerie professionnelle particulière, est pour la CNIL une omission grave car elle ne permet pas au responsable de traitement d’assurer la sécurité et la confidentialité des données personnelles, ou de déterminer l’origine d’un incident de sécurité.

Se trouve bien réaffirmé par la CNIL que Le responsable de traitement dès lors qu’il gère des données personnelles doit procéder à la détermination d’habilitation afin que chaque utilisateur, notamment de la messagerie professionnelle partagée, puisse être authentifié au moyen de comptes individuels avant d’accéder aux données, et que surtout tous les accès à la messagerie générique devaient faire l’objet d’une journalisation,

En effet ces mesures de prévention permettent d’identifier les accès illicites et les risques d’atteinte à l’intégrité des données.

Où l’on comprend que le RGPD se conçoit bien pour le responsable du traitement aussi comme une analyse du risque qui doit être envisagé dès la conception du traitement (Privacy by design et by default), et que les mesures de protection du départ doivent être documentées en permanence et révisées c’est la pratique de l’Accountability.

La CNIL dans cette décision vient là encore de donner un signal fort aux responsables de traitement par application des dispositions de l’article 32 du RGPD pour :

 Un défaut d’organisation des bases de données internes par l’absence de la sécurisation des accès, 

Et 

Une omission de politiques spécifiques d’habilitation d’accès à la base.

Cette réflexion doit s’inscrire dans une démarche spécifique pour le responsable de traitement, qui relève autant de la collaboration des informaticiens que d’une démarche juridique assurée notamment par le « délégué à la protection des données » ou DPO, qui doit respecter entre autres les principes qui ont été dégagés par la jurisprudence très récente de la CNIL et que nous avons commenté sur ce site soit :

Décision de condamnation société Sergic du 28/05/2019,

Décisions de confirmation des décisions CNIL par le conseil d’État dans 2 arrêts du 17 avril 2019 pour l’association ADEF et Optical Center, ce responsables de traitement ayant vu réduire son amende de 50 000 e en regard de la rapidité de sa réaction pour éradiquer le risque de la mauvaise qualité de l’écriture de son adresse URL.

Très brièvement sur ce point particulier de la sécurisation des bases de données et des conditions d’accès on reviendra sur le droit du travail pour rappeler au responsable de traitement qu’ il ne peut envisager à priori, mais tout est toujours un cas d’espèce, de reprocher à un salarié une insuffisance professionnelle ou toute faute d’exécution dans le cadre de son travail à propos de l’utilisation des bases de données notamment même si le « geste » du salarié est à l’origine d’une faille de sécurité si, dès l’origine et de la conception l’employeur n’a pas mis en place des mesures techniques et organisationnelles (Privacy By Design et par Default) appropriées  et portées à la connaissance du salariéafin de garantir le niveau de sécurité et de résilience du système informatique.

3)Enfin concernant le débat entre la CNIL et le responsable du traitement sur la publicité de la mesure de sanction et la fixation de l’amende.

La CNIL contrairement à la demande du responsable de traitement décidera de rendre public sur son site et le site de Légifrance sa délibération qui ne sera anonymisée qu’à l’expiration d’un délai de un an à compter de sa publication en considérant qu’ au regard de la pluralité des manquements cause, ainsi que de leur persistance et de leur gravité s’agissant du caractère disproportionné du système de vidéosurveillance et du nombre particulièrement élevé de plainte à l’origine de la procédure de mise en demeure et  de la durée de la procédure nécessitait une mesure de publicité

Et enfin concernant la fixation de l’amende, alors qu’effectivement l’article 83 du RGPD prévoit maintenant des amendes particulièrement élevées, la formation restreinte ne prononcera qu’une amende administrative à hauteur de 20 000 € au regard de 2 critères savoir :

1)L’attitude de la société pour collaborer avec la CNIL au cours de la dernière instruction pour se mettre en conformité,

 2)et du fait qu’il s’agissait d’une micro-entreprise et de sa situation financière,

 Ces 2 critères doivent se cumuler pour être dissuasif par l’exemple.

Par ailleurs le responsable de traitement se voit prononcer une injonction de se mettre en conformité avec les dispositions de l’article 32 du RGPD et la CNIL à fixé la nature des mesures devant être mis en place pour s’assurer que seules les personnes habilitées puissent accéder à la boîte de messagerie et que les opérations effectuées soient tracées :

 Les utilisateurs se connectant à la boîte de messagerie devront être préalablement authentifiés avec un compte individuel, et  les accès à la messagerie générique devront faire l’objet d’une journalisation afin de garantir leur traçabilité.

Le responsable de traitement à 2 mois pour se mettre en conformité en adressant à la formation restreinte la documentation en procédant et si la mise en conformité n’est pas faite dans le délai prescrit la décision prévoit une astreinte de 200 € par jour de retard à l’issue de ce délai.

Où l’on voit que la mise en œuvre du RGPD nécessite une mise à jour constante des procédures internes notamment en lien avec l’évolution des positions de la CNIL qui par ses décisions fixe des référentiels de comportement qui ne sont pas à négliger.

Véronique Rondeau- Abouly

Avocat-délégué à la protection des données (DPO externe)

cabinet@rondeau-abouly.com