Protéger les données personnelles, accompagner l'innovation, préserver les libertés individuelles

Contenu

Délibération n°2010-112 du 22 avril 2010 de la formation restreinte décidant l’interruption d’un traitement mis en œuvre par la Société X…

22 Avril 2010 - Thème(s) : Vidéosurveillance

La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte sous la présidence de M. Alex TÜRK ;

Etant aussi présents M. Emmanuel de GIVRY, vice-président délégué, Mme Isabelle FALQUE-PIERROTIN, vice-présidente, Mme Claire DAVAL, M. Sébastien HUYGHE et M. Jean-Marie COTTERET, membres ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié par le décret n° 2007-451 du 25 mars 2007 ;

Vu la délibération n° 2006-147 du 23 mai 2006 fixant le règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu le rapport de M. CARREZ, commissaire rapporteur, remis en mains propres à la société X… le1er avril 2010 ;

Vu les autres pièces du dossier ;

Après avoir entendu, lors de la réunion du 22 avril 2010 :

  •  M. Jean-François CARREZ, commissaire, en son rapport ;
  • Mme Elisabeth ROLIN, commissaire du Gouvernement, en ses observations ;
  • Mme Y…, directrice technique, représentante de la société X…, en la défense de cette dernière ;

Madame Y… ayant pris la parole en dernier.

I-Faits et procédure

A. Faits

La société X… (ci-après « la société ») a pour principale activité le transport de marchandises par camions. Elle compte 200 salariés répartis sur trois sites. Etablie à B. (93), elle dispose d’une agence principale à M. (77) et d’une agence secondaire à C. (01).

1) La saisine de la CNIL en date du 24 juin 2009

La Commission nationale de l’informatique et des libertés (ci-après « la CNIL » ou « la Commission ») a été saisie le 24 juin 2009 d’une plainte d’un salarié de la société, relative à la mise en œuvre en 2006 d’un dispositif de vidéosurveillance sur le lieu de travail (PL n° …). Le plaignant reprochait notamment à la société de n’avoir pas effectué de formalités préalables auprès de la CNIL concernant ce dispositif, de n’avoir pas informé les institutions représentatives du personnel et de n’avoir mis en place aucun support d’information sur la vidéosurveillance.

A la demande du comité d’entreprise de la société, celle-ci a effectivement mis en place un système de vidéosurveillance sur le site de M. L’installation de ce dispositif répondait à des actes de dégradation et de vols commis sur ce site. Le dispositif installé vise le local de repos des salariés (concernés par les dégradations et le vol précités), ainsi que le parking et un bureau de travail. La société n’a procédé à aucune formalité préalable concernant ce dispositif installé en 2006.

Le 4 mai 2009, la direction départementale du travail de Seine-Saint-Denis a demandé à la société de l’informer sur les formalités accomplies auprès de la CNIL concernant le dispositif de vidéosurveillance ainsi que sur la consultation préalable des institutions représentatives du personnel.

Le 22 juin 2009, la société a effectué une déclaration auprès de la CNIL concernant le système de vidéosurveillance mis en œuvre depuis 2006 sur le site de M. (déclaration n° …). La déclaration mentionne une finalité de sécurité du personnel, du parc et du matériel roulant et indique une durée de conservation des données d’un mois.

2) L’instruction de la plainte

Par un courrier du 26 juin 2009, la Commission a interrogé la société sur le dispositif mis en œuvre. Elle a notamment attiré son attention sur l’obligation de limiter le dispositif à une finalité de sécurité des biens ou des personnes, de consulter les institutions représentatives du personnel, d’informer individuellement les salariés concernés, d’assurer la sécurité et la confidentialité des images enregistrées ainsi que de limiter la durée de conservation à une durée maximum d’un mois.

Par un courrier du 1er juillet 2009, la société a indiqué que la caméra installée dans la salle de repos de ses salariés n’enregistrait pas le son. Elle a précisé que cette caméra avait été installée à la demande du comité d’entreprise.

Elle a par ailleurs confirmé que les caméras installées dans le bureau d’exploitation filmaient les salariés de manière continue et indiqué que le comité d’entreprise en avait été informé lors de l’assemblée des représentants du personnel du 31 octobre 2006. Elle a précisé que des affichettes d’information sur le dispositif de vidéosurveillance étaient apposées dans les lieux concernés.


Le 17 novembre 2009, la Commission a adressé à la société un courrier lui rappelant le caractère a priori disproportionné de la mise sous surveillance d’un employé déterminé ou d’un groupe d’employés, au regard de la finalité de lutte contre des dégradations matérielles. Elle a par ailleurs demandé à la société de préciser les personnes ayant accès aux images.

Par un courrier du 11 décembre 2009, la société a indiqué que les caméras n’enregistreraient à l’avenir des images qu’entre 21h à 7h du matin du lundi au jeudi et du vendredi à 21h jusqu’au lundi à 7h du matin, afin d’assurer la sécurité des salariés « isolés » la nuit et le week-end. Elle a précisé que les images pouvaient être visionnées au niveau du poste de gardiennage de l’agence de M. ainsi que par la direction, au siège de B.

La société a également précisé que la caméra visionnant la salle de repos des salariés ne permettrait plus, prochainement, d’enregistrer des images et que seul le poste de gardiennage de l’agence de M. permettrait de visualiser les images en temps réel. La direction ne pourrait plus y accéder depuis le siège social.

Enfin, elle a indiqué qu’elle remplaçait la mention de ses affichettes d’information sur l’existence du dispositif de vidéosurveillance par la mention préconisée par la CNIL.

3) Les contrôles sur place diligentés par la Commission le 2 mars 2010

En application de la décision n° 2010-036C du 19 février 2010 du président de la Commission, une délégation de la CNIL a procédé à un contrôle sur place auprès de la société le 2 mars 2010, successivement dans les locaux de l’agence principale à M. puis dans les locaux du siège social à B. Ce contrôle avait notamment pour objet de vérifier les conditions de mise en œuvre du système de vidéosurveillance installé en 2006, et la mise en œuvre des engagements pris par la société dans son courrier en date du 11 décembre 2009.

* Les constats effectués à l’agence principale de M.

La délégation a constaté la présence de quatre caméras dans ces lieux. Deux caméras filment le bureau « exploitation », comprenant des postes de travail de salariés, et deux caméras sont installées sur le parking de la société.

La société a indiqué que la finalité du dispositif était de protéger les salariés travaillant la nuit et le week-end, ainsi que de sécuriser l’accès au bureau. Cependant, lors de ce contrôle, la délégation de la CNIL a  constaté que les caméras fonctionnaient en permanence, et non seulement la nuit.

La délégation a également constaté que, telles qu’orientées, les deux caméras situées dans le bureau « exploitation » filmaient l’ensemble des postes de travail des salariés de ce bureau.

Elle a par ailleurs relevé qu’aucune note d’information individuelle n’avait été communiquée aux salariés et que les affichettes consistaient en un simple autocollant comportant le dessin d’une caméra et le mot « vidéo ».

Trois personnes ont accès aux images transmises par le dispositif de vidéosurveillance :

  • Le gardien du site de M. qui dispose d’une console, située dans le poste de gardiennage, qui permet de visualiser et d’enregistrer les images transmises par les caméras,
  • Le président de la société, qui peut accéder aux images depuis son bureau à B., les données étant également enregistrées sur un serveur au siège social
  • Enfin, la directrice technique de la société, qui peut visualiser les images par le biais d’un navigateur internet.

Les images transmises par les caméras du bureau « exploitation » peuvent en effet être visualisées à distance en temps réel, depuis le réseau local de la société. L’accès, qui nécessite simplement la saisie de l’adresse IP de la caméra dans le navigateur internet, n’est pas limité par la saisie d’un identifiant et d’un mot de passe.

La délégation, qui a accédé à la console du poste de gardiennage, a constaté que la société conservait des enregistrements vidéo datant du 25 décembre 2009, soit de plus de deux mois. La société a en revanche précisé que depuis le début de l’année, les images des caméras du bureau « exploitation » n’étaient plus enregistrées sur le serveur situé à B.

Au terme du contrôle, la directrice technique de la société s’est engagée à modifier les paramètres de son dispositif de vidéosurveillance de manière à masquer les zones correspondant aux postes de travail des salariés du bureau « exploitation ».

* Les constats effectués au siège social de B.

La délégation a constaté dans ces lieux la présence d’un poste informatique dédié à la vidéosurveillance dans le bureau du président de la société. Un logiciel installé sur ce poste informatique permet de gérer le dispositif de vidéosurveillance et d’accéder aux images. Aucune authentification n’est nécessaire pour accéder au système d’exploitation et au logiciel de gestion de la vidéosurveillance.

La délégation a également constaté qu’au moment du contrôle, la fonction « enregistrement » des deux caméras installées dans le bureau « exploitation » de M. était désactivée et qu’aucun enregistrement d’images captées par ces deux caméras n’apparaissait sur le serveur de B.

Toutefois, après avoir exécuté un logiciel de récupération de données à partir d’une clé USB, sans installation sur le poste informatique dédié à la vidéosurveillance, la délégation a constaté que des fichiers émanant des caméras précitées avaient été effacés. En particulier, elle a constaté l’effacement d’un enregistrement vidéo datant du jour même à 10h25, soit 25 minutes après le début du contrôle sur le site de M.

La délégation a ainsi non seulement pu constater que les enregistrements d’images n’avaient pas cessé au début de l’année, mais aussi que la société avait effacé des enregistrements en cours de contrôle.

4) Les éléments communiqués par la société à la suite du contrôle

A la suite du contrôle, par un courrier du 12 mars 2010, la société a indiqué à la Commission avoir mis en place, sur le poste informatique dédié à la vidéosurveillance dans le bureau de son président, à B, des carrés noirs masquant l’image des salariés à leurs postes de travail. Elle a communiqué des images prises depuis les deux caméras installées dans le bureau « exploitation », comportant de tels carrés, et indiqué qu’elle reprenait l’enregistrement des images captées par ces deux caméras.

Elle a précisé que la console du poste de gardiennage de M. ne permettait pas d’insérer de tels masques et qu’elle avait donc débranché les caméras de la console, dans l’attente du remplacement de la console.

B. Procédure      

A la suite de ce contrôle, il a été décidé d’engager une procédure sur le fondement du 1° du II de l’article 45 de la loi du 6 janvier 1978 modifiée.

A cette fin, le rapport de M. Jean-François CARREZ, rapporteur, proposant à la formation restreinte de la CNIL de prononcer une mesure d’interruption du traitement de vidéosurveillance mis en œuvre, a été remis en mains propres à la société le 1er avril 2010.

Le 1° du II de l’article 45 de la loi du 6 janvier 1978 modifiée dispose :

« En cas d’urgence, lorsque la mise en œuvre d’un traitement ou l’exploitation des données traitées entraîne une violation des droits et libertés mentionnés à l’article 1er, la Commission peut, après une procédure contradictoire :

1° Décider l’interruption de la mise en œuvre du traitement, pour une durée maximale de trois mois, si le traitement n’est pas au nombre de ceux qui sont mentionnés au I de l’article 26 ou de ceux mentionnés à l’article 27 mis en œuvre par l’Etat ».

La société X… étant une société de droit privé, les exceptions précitées ne lui sont pas applicables. La Commission est dès lors fondée à envisager de lui appliquer la mesure d’interruption prévue à l’article ci-dessus.

Au soutien de sa demande et au vu des constats précités, le rapporteur a fait valoir l’urgence qui caractérise la situation, en rappelant que, s’agissant de la défense de libertés individuelles, il n’est pas besoin de constater péril imminent ou dommages irréparables et irréversibles pour juger de l’application de cette notion.

En outre, le rapporteur a relevé les éléments suivants pour caractériser les manquements à la loi du 6 janvier 1978 modifiée :

  • En premier lieu, le dispositif ne serait pas justifié par la nature des tâches accomplies par les salariés et disproportionné par rapport à l’objectif de sécurité, dès lors qu’il apparaît que ce dispositif place les salariés sous la surveillance constante de leur employeur ;
  • En second lieu, au jour du contrôle, la société n’avait pas mis en œuvre de mesures collectives et individuelles d’information des personnes concernées par ce dispositifconformément aux recommandations de la CNIL, et contrairement à l’engagement pris par la société dans son courrier du 11 décembre 2009 ;
  • En troisième lieu, le contrôle a permis de constater que la console du poste de gardiennage permettait d’accéder à des enregistrements vidéo conservés depuis plus de deux mois au jour du contrôle sur place, durée a priori excessive au regard de la finalité du traitement, et en tout état de cause contraire aux engagements pris par la société dans sa déclaration effectuée auprès de la CNIL le 22 juin 2009 (déclaration n° …), qui prévoit une durée de conservation d’un mois.
  • Par un courrier en date du 13 avril 2010, la société a adressé à la Commission ses observations sur le rapport. Ces observations sont les suivantes :
  • D’une part, la société réfute l’allégation du salarié à l’origine de la plainte précitée, selon lequel les salariés se seraient régulièrement plaints des conditions d’installation des caméras de vidéosurveillance ;
  • D’autre part, elle indique que la non-suppression des données au début de l’année, puis l’effacement des enregistrements en cours de contrôle, résultaient de l’initiative du responsable informatique de la société, qui n’aurait pas respecté les consignes qui lui avaient été données de procéder à cette suppression dès le mois de décembre 2009. Cette initiative individuelle ne saurait être imputée à la direction de la société, qui aurait par ailleurs pris des sanctions disciplinaires à l’encontre du salarié concerné ;
  • Enfin, la société confirme que les caméras sont orientées sur les accès comme le comptoir et non vers les postes des salariés, mais qu’elle est disposée à changer les caméras de place, tout en souhaitant conserver la surveillance de l’accès au bureau pour la protection des personnes.

Lors de la séance de la formation restreinte de la CNIL du 22 avril 2010, Mme Y…, directrice technique de la société, a également présenté ses observations orales. Sans contester la matérialité des faits, Mme Y… a de nouveau exposé à la Commission les conditions dans lesquelles le dispositif de vidéosurveillance a été installé dans les locaux de la société, et notamment le fait que cette décision d’installation a été prise de manière concomitante avec celle de la présence constante d’un salarié la nuit sur le site. Elle insiste sur les besoins particuliers de sa société en matière de sécurité, du fait des caractéristiques sociologiques des salariés opérant dans le secteur du transport routier.

Reconnaissant la suppression des données lors du contrôle effectué par la délégation de la CNIL, elle rappelle encore une fois que ces faits ne relève que d’une initiative individuelle d’un salarié, depuis lors sanctionné.

Enfin, Mme Y… indique que la société souhaite se mettre en conformité, et qu’à ce titre il serait possible de repositionner les caméras pour se conformer aux préconisations de la Commission. Elle estime en revanche qu’elle ne saurait envisager de supprimer le dispositif de vidéosurveillance, sans lequel elle se retrouverait démunie pour protéger ses salariés.

II- Motifs de la décision 

Sur l’urgence à interrompre la mise en œuvre du traitement de vidéosurveillance

Sans qu’il y ait nécessairement péril imminent ou dommages irréparables et irréversibles, l'urgence est caractérisée dès lors qu’une circonstance est susceptible d’entraîner, s’il n’y est porté remède à bref délai, un préjudice grave et immédiat aux droits et libertés mentionnés à l’article 1er de la loi du 6 janvier 1978 modifiée. Une telle situation d’urgence s’apprécie au regard des intérêts qui sont en cause, de la gravité de leur atteinte ainsi que du nombre de personnes concernées.

Relevant la gravité des manquements constatés lors de la mission de contrôle, et notamment la mise en œuvre persistante par la société X… d’un dispositif ne répondant pas aux engagements pris par elle dans le courrier adressé à la Commission le 11 décembre 2009, lequel était encore en place au jour de l’audience, la Commission considère que la condition d’urgence requise par le 1° du I de l’article 45 est qualifiée dans les faits, et qu’il lui appartient dès lors d’agir sans délai pour la conservation d’un droit ou la sauvegarde des libertés consacrées par la loi « informatique et libertés ».

Sur la violation des droits et libertés mentionnés à l’article 1er de la loi du 6 janvier 1978 modifiée

Aux termes de l’article 1er de la loi n° 78-17 du 6 janvier 1978 modifiée, « l’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

Or, il apparaît que les manquements constatés constituent une atteinte aux droits et libertés précités, s’agissant en particulier du droit au respect de la vie privée.

La Commission relève en premier lieu les faits suivants, tels qu’ils ont été constatés lors du contrôle :

  • Contrairement à ce qui avait été indiqué par la société à la Commission dans le cadre de l’instruction de la plainte reçue en juin 2009, le dispositif fonctionne non seulement la nuit mais aussi dans la journée,
  • Contrairement aux engagements pris par la société dans son courrier du 11 décembre 2009, celle-ci continuait d’enregistrer les images des salariés du bureau « exploitation » depuis le début de l’année 2010.

En deuxième lieu, la Commission constate que la mise en place de caches sur les deux caméras du bureau « exploitation » ne fait pas obstacle à l’identification permanente des déplacements des salariés. En effet, ces caches aux dimensions extrêmement réduites ont été placés sur les zones correspondant strictement aux postes informatiques occupés par les salariés. Dans l’hypothèse prévisible où les salariés concernés ne resteraient pas dans la zone strictement délimitée par ces carrés noirs, ils se trouveraient de nouveau placés sous surveillance. Ainsi, le simple fait pour un salarié de s’écarter - ne serait-ce que très légèrement - de son poste informatique conduirait en effet ce dernier à se trouver dans le champ des caméras. Dès lors, la mise en place de ces caches n’apparaît pas de nature à faire cesser la surveillance constante des salariés visés et permet au contraire à l’employeur de détecter les mouvements des salariés s’écartant de leurs postes de travail.

Il ressort donc du plan d’implantation et de l’orientation des caméras, de la taille des caches et du fait que le système se déclenche lorsqu’un mouvement est détecté, permettant ainsi de connaître le moment précis auquel un salarié s’absente de son poste de travail et y revient, que le dispositif de vidéosurveillance ainsi mis en œuvre permet de placer les salariés sous la surveillance constante de leur employeur.

La Commission considère dès lors que ces faits sont constitutifs d’un manquement aux dispositions du 2° de l’article 6 de la loi n° 78-17 du 6 janvier 1978 modifiée, aux termes desquelles des données à caractère personnel ne peuvent être traitées qu’à la condition qu’elles soient collectées pour des finalités déterminées, explicites et légitimes et ne doivent pas être traitées ultérieurement de manière incompatible avec ces finalités.

La Commission relève en troisième lieu que le contrôle diligenté dans les locaux de la société a permis d’établir que, contrairement à l’engagement pris par la société dans son courrier le 11 décembre 2009, celle-ci n’a pas mis en place d’affichettes d’information conformes aux recommandations de la CNIL, la simple apposition d’un autocollant comportant le dessin d’une caméra et le mot « vidéo » étant notoirement insuffisante à cet égard. La Commission relève également qu’aucune mesure individuelle d’information n’a été effectuée en direction des salariés de la société qui ne sont, de ce fait, pas informés de leurs droits.

La Commission considère dès lors que la société n’a pas respecté son obligation d’information des salariés sur l’existence et les caractéristiques du traitement de vidéosurveillance qu’elle met en œuvre, telle qu’elle résulte de l’article 32 de la loi du 6 janvier 1978 modifiée.

La Commission relève en quatrième lieu que le contrôle a permis de constater que la console du poste de gardiennage permettait d’accéder à des enregistrements vidéo datant du 25 décembre 2009, c'est-à-dire conservés depuis plus de deux mois au jour du contrôle sur place. Une telle durée de conservation, outre qu’elle apparaît a priori excessive au regard de la finalité du traitement, constitue une violation des engagements pris dans le cadre de la déclaration effectuée auprès de la CNIL le 22 juin 2009 (déclaration n° …), qui vise une durée de conservation d’un mois.

La Commission considère dès lors que la société n’a pas respecté les obligations qui lui incombent en application de l’article 6-5° de la loi du 6 janvier 1978 modifiée, qui dispose « qu’un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : (…) Elles sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ».

La Commission relève en cinquième lieu que le contrôle précité a permis d’établir que les images captées et enregistrées au moyen du dispositif de vidéosurveillance sont insuffisamment protégées contre des accès par des tiers non autorisés.

En particulier, la société n’a apporté aucune garantie s’agissant de la sécurisation des postes informatiques permettant l’accès aux images. Un accès à distance est notamment possible sur le réseau local de la société, par la saisie de l’adresse IP des caméras de vidéosurveillance.

La Commission considère dès lors que la société n’a pas respecté les obligations de sécurité du traitement qui découlent de l’article 34 de la loi du 6 janvier 1978 modifiée, qui dispose que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

Si la Commission n’a aucune opposition de principe à l’encontre de dispositifs de vidéosurveillance ayant pour vocation de protéger les personnes et les biens, elle ne saurait en revanche tolérer le maintien d’un dispositif portant atteinte aux droits et libertés protégés par la loi. Or elle ne dispose à ce jour d’aucun élément tangible qui serait susceptible de la faire conclure à la cessation des manquements constatés lors du contrôle effectué dans cette affaire.

PAR CES MOTIFS

Conformément au 1° du II de l’article 45 de la loi du 6 janvier 1978 modifiée, la formation restreinte de la CNIL, après en avoir délibéré, décide :

  • d’ordonner l’interruption du traitement de vidéosurveillance mis en œuvre, pris en ses deux caméras situées dans le bureau « exploitation », pour une durée de trois mois à compter de la notification de la présente décision, délai durant lequel il lui appartiendra de se mettre en conformité avec les dispositions de la loi du 6 janvier 1978 modifiée.

La société X… dispose d’un délai de deux mois pour exercer un recours devant le Conseil d’Etat à l’encontre de la présente délibération.

 

Le Président Alex TÜRK

 

Chargement en cours...