Blog Données personnelles
La vidéosurveillance constante des salariés est contraire aux principes de protection des données : la CNIL le rappelle à nouveau
La CNIL a prononcé le 13 juin 2019 une amende de 20 0000 euros à l’encontre de la société UNIONTRAD COMPANY pour avoir mis en place un dispositif de vidéosurveillance excessif (délibération n° SAN-2019-006).
La CNIL ayant reçu plusieurs plaintes de salariés de la société, elle a réalisé deux contrôles successifs, lesquels ont permis d’identifier notamment une surveillance constante des salariés et l’absence d’information appropriée. La CNIL a prononcé, au mois de juillet 2018, une mise en demeure de :
- « déplacer la caméra pour ne plus filmer les salariés de manière constante ;
- procéder à l’information des salariés sur la présence des caméras ;
- mettre en œuvre des mesures de sécurité pour l’accès aux postes informatiques et pour la traçabilité des accès à la messagerie professionnelle. »
La société n’ayant pas procédé aux changements demandés par la CNIL, un contrôle en octobre 2018 a confirmé la persistance des manquements et a abouti à la sanction prononcée le 13 juin 2019.
En effet, l’article 5 du RGPD impose un principe de proportionnalité de la collecte des données au regard de la finalité poursuivie. Le salarié bénéficie du droit au respect de sa vie privée (article L. 1121-1 du code du travail) qu’il convient de concilier avec la sécurité des locaux. Ainsi, la doctrine constante de la CNIL considère comme disproportionnée la surveillance constante des salariés (voir par exemple la délibération n° 2013-139 du 30 mai 2013).
En outre, les salariés n’étaient pas correctement informés du traitement mis en œuvre. Or, l’article 13 du RGPD impose l’information des personnes concernées par un traitement de données personnelles et a renforcé le contenu de cette information. Il convient de souligner que si la caméra a été retirée, et donc ne nécessite plus une information à ce jour, le retrait tardif malgré la mise en demeure de la CNIL, justifie la sanction.
Enfin, il est intéressant de constater que la délibération porte également sur la mise en œuvre de mesures de sécurité pour l’accès aux postes informatiques et pour la traçabilité des accès à la messagerie professionnelle. En effet, la sécurité et la confidentialité des données n’étaient pas respectées dans la mesure où les salariés faisaient usage d’une boite email commune, accessible à l’aide d’un mot de passe commun. La CNIL impose à la société de prévoir une authentification propre à chaque utilisateur et des mesures de traçabilité des accès à la boite de messagerie professionnelle générique. La CNIL rappelle à cette occasion que la mise en place de mesures de traçabilité des accès permet de réaliser un historique des accès et actions effectuées par les personnes qui se connectent à la boite de messagerie et permet ainsi d’assurer la sécurité des données.
Le montant de la sanction de 20 000 euros, s’il peut parait moins élevé que certaines sanctions prononcées récemment (50 millions contre Google pour manquement aux obligations de transparence et d’information notamment, 400 000 contre SERGIC pour atteinte à la sécurité des données et non-respect des durées de conservation ou encore 400 000 euros contre Uber pour atteinte à la sécurité des données) doit être apprécié au regard de la taille de la structure et du résultat net négatif sur l’année 2017 souligné par la CNIL. La société UNIONTRAD COMPANY étant une très petite entreprise (TPE), le montant de 20 000 euros reste important au regard du faible nombre de salariés et du secteur visé. La CNIL qualifie le montant de l’amende de « dissuasif mais proportionnée ».