Par une décision du 6 avril 2020, la Cnil vient d’annoncer la clôture totale de la mise en demeure qu’elle avait prononcée (et rendue publique) à l’encontre de la société Boutique.Aéro le 5 novembre 2019 et relative au dispositif de vidéosurveillance déployé par cette dernière.
*
* *
Les manquements relevés par la Cnil
Manquement à l’obligation de minimisation des données
Pour rappel, la société Boutique.Aéro avait été mise en demeure après constatation par la Cnil d’une utilisation excessive d’un dispositif de vidéosurveillance de ses salariés, de mettre ce dispositif en conformité à la réglementation applicable en matière de protection des données à caractère personnel (étant précisé qu’une mise en demeure n’est pas une sanction mais une injonction de se mettre en conformité).
En effet, l’article 5.1 c) du RGPD consacre le principe selon lequel la collecte des données doit être réalisée de manière adéquate, pertinente et limitée à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Autrement dit, le responsable d’un traitement de données à caractère personnel se doit minimiser les données collectées à ce qui est strictement nécessaire au traitement. L’utilisation d’un dispositif de vidéosurveillance doit donc, comme tout traitement de données à caractère personnel, répondre au principe de minimisation des données collectées. A ce titre, la Cnil considère par principe qu’un tel dispositif peut être mis en œuvre aux fins de prévention des atteintes aux biens et aux personnes, à titre dissuasif ou pour identifier les auteurs de vols, de dégradations ou d’agressions. Néanmoins, il ne peut avoir pour conséquence la mise en place d’une surveillance constante des salariés. Cela porterait nécessairement atteinte au droit au respect de la vie privée de ces derniers sur leur lieu de travail.
Or, la Cnil avait constaté que le dispositif de vidéosurveillance mis en place par la société Boutique.Aéro permettait au gérant de celle-ci de localiser ses salariés en temps réel afin de pouvoir les surveiller lorsque celui-ci n’était pas présent dans les locaux. La finalité du traitement n’était donc pas de prévenir une atteinte aux biens et aux personnes, mais bien la surveillance des salariés.
La Cnil avait ainsi considéré que le dispositif vidéo mis en oeuvre était attentatoire à la vie privée des salariés, et ce d’autant plus que l’un d’eux était filmé en permanence à son poste de travail. C’est pourquoi elle avait mis en demeure la société précitée de :
- “cesser de traiter les images issues du dispositif vidéo à des fins de localisation des salariés et ne traiter que des données pertinentes, adéquates et limitées à ce qui est nécessaire au regard des finalités de protection des biens et des personnes dans les conditions prévues à l’article 5-1 du règlement (UE) 2016/679 ; en particulier adapter le dispositif vidéo déployé afin de ne pas filmer en continu les salariés sur leur poste de travail, par exemple en supprimant ou réorientant les caméras”.
Manquement à l’obligation d’assurer la sécurité des données
Par ailleurs, la Cnil ayant relevé lors de son contrôle plusieurs manquements en matière de sécurité des données collectées, elle avait également mis en demeure la société Boutique.Aero de :
- “prendre toute mesure de sécurité pour l’ensemble des traitements de données à caractère personnel mis en œuvre dans les conditions prévues à l’article 32 du règlement (UE) 2016/679 , en particulier pour l’accès aux flux vidéo des caméras, de manière à préserver la sécurité de ces données et empêcher que des tiers non autorisés y aient accès, notamment :
- s’agissant de l’accès en interne via le logiciel de gestion de la société, en restreignant la connexion à celui-ci à des comptes individuels au moyen d’un identifiant et d’un mot de passe qui ne soient pas pré-enregistrés ;
- en définissant des habilitations pour accéder aux flux vidéo aux seules personnes pour lesquelles cela est strictement nécessaire à l’accomplissement de leurs missions ;
- en sécurisant la connexion au logiciel de gestion de la société via l’utilisation d’un protocole de chiffrement (par exemple HTTPS).”
Autres manquements relevés
Enfin, la société Boutique.Aéro avait également été mise en demeure :
- d’informer ses salariés qu’un dispositif de vidéosurveillance était mis en place afin de répondre à l’obligation légale imposée par l’article 1222-4 du Code du travail et l’article 14 du RGPD ;
- de mettre en place un registre des activités de traitement tel qu’énoncé à l’article 30 du RGPD ; et
- d’élaborer un contrat avec ses sous-traitants en matière de données à caractère personnel au regard des dispositions de l’article 28 du RGPD.
Le processus de mise en conformité
La société Boutique.Aéro disposait d’un délai de 10 jours pour se mettre en conformité s’agissant des aspects relatifs à la minimisation des données et à la sécurité de ces données.
Considérant que la société Boutique.Aéro s’était mise en conformité s’agissant du dimensionnement de son dispositif de vidéosurveillance (cf. réajustement du dimensionnement et de l’orientation des prises de vue notamment afin de ne plus filmer les salariés en permanence à leur poste de travail) et des mesures de sécurité, la Présidente de la Cnil avait décidé le 20 février 2020 de procéder à la clôture partielle de la mise en demeure.
Après avoir satisfait à ce “premier palier” dans le délai imparti, il restait à la société mise en cause à répondre à la mise en conformité pour le second palier (cf. les autres manquements rappelés ci-dessus).
La Cnil ayant relevé que des mesures ont été prises par la société pour se mettre en conformité (elle a élaboré un registre des activités de traitement, a procédé à l’information des salariés quant à la vidéosurveillance et a conclu des chartes de protection des données personnelles avec ses sous-traitants), la Présidente de la Cnil a décidé le 6 avril 2020 de procéder à la clôture totale de la mise en demeure.
Les précautions à prendre pour déployer un système de vidéosurveillance
Si la mise en oeuvre d’un dispositif de vidéosurveillance n’est certainement pas interdit par principe, sa mise en place requière de porter une attention toute particulière aux finalités poursuivies, à l’orientation des caméras et au dimensionnement des prises de vue de ces dernières, étant précisé en tout état de cause que :
- un employeur ne peut pas installer des caméras dans ses locaux sans définir un objectif, qui doit être légal et légitime. Par exemple, des caméras peuvent être installées sur un lieu de travail à des fins de sécurité des biens et des personnes, à titre dissuasif ou pour identifier les auteurs de vols, de dégradations ou d’agressions ;
- un tel dispositif ne peut filmer de manière constante que les zones de circulation (entrées, sorties, issues de secours, voie de circulation, etc) et les zones où des biens de valeur ou de la marchandise sont entreposés. Les caméras ne doivent pas filmer les employés sur leur poste de travail, sauf circonstances particulières (employé manipulant de l’argent par exemple, mais la caméra doit davantage filmer la caisse que le caissier ; entrepôt stockant des biens de valeurs au sein duquel travaillent des manutentionnaires). Les caméras ne doivent pas non plus filmer les zones de pause ou de repos des employés, ni les toilettes. Si des dégradations sont commises sur les distributeurs alimentaires par exemple, les caméras ne doivent filmer que les distributeurs et pas toute la pièce. Enfin, elles ne doivent pas filmer les locaux syndicaux ou des représentants du personnel, ni leur accès lorsqu’il ne mène qu’à ces seuls locaux ;
- en termes de sécurité, si les images sont accessibles à distance, depuis internet sur son téléphone mobile par exemple, il convient de sécuriser cet accès. La possibilité de regarder les images sur tablette ou téléphone ne doit pas conduire à surveiller ses employés pour leur faire des remarques sur la qualité du travail. L’accès à distance doit être sécurisé (mot de passe robuste, connexion https, etc). Enfin, l’enregistrement du son, en plus des images, est réservé à des situations particulières et ne doit pouvoir être déclenché qu’à l’initiative de l’employé en cas d’événement le justifiant (en cas d’agression par exemple) ;
- s’agissant des destinataires des données, seules les personnes habilitées par l’employeur, dans le cadre de leurs fonctions, peuvent visionner les images enregistrées (par exemple : le responsable de la sécurité de l’organisme). Ces personnes doivent être particulièrement formées et sensibilisées aux règles de mise en œuvre d’un système de vidéosurveillance. L’accès aux images doit être sécurisé pour éviter que tout le monde ne puisse les visionner ;
- en termes de durée de conservation des images issues des caméras, celle-ci doit être définie et être en lien avec l’objectif poursuivi par les caméras. En principe, cette durée ne doit pas excéder pas un mois. En règle générale, conserver les images quelques jours suffit, sauf circonstances exceptionnelles à effectuer les vérifications nécessaires en cas d’incident et permet d’enclencher d’éventuelles procédures disciplinaires ou pénales. Si de telles procédures sont engagées, les images sont alors extraites du dispositif (après consignation de cette opération dans un cahier spécifique) et conservées pour la durée de la procédure. La durée maximale de conservation des images ne doit pas être fixée en fonction de la seule capacité technique de stockage de l’enregistreur ;
- les personnes concernées (employés et visiteurs) doivent être informées, au moyen de panneaux affichés en permanence (complétés par une notice tenue à disposition des personnes concernées), de façon visible, dans les lieux concernés, qui comportent, outre le pictogramme d’une caméra indiquant que le lieu est placé sous vidéosurveillance, l’ensemble des mentions obligatoires prévues par les dispositions applicables en matière de protection des données à caractère personnel. Sur ce point, voir également les récentes guidelines du CEPD à ce sujet ;
- enfin, en termes de formalités à accomplir, il convient de rappeler que cela peut varier en fonction des lieux qui sont filmés. Si les caméras filment un lieu non ouvert au public (lieux de stockage, réserves, zones dédiées au personnel comme le fournil d’une boulangerie), il s’agit d’un dispositif de vidéosurveillance ne nécessitant aucune formalité auprès de la Cnil (sous réserve de la réalisation, le cas échéant, d’une analyse d’impact sur la protection des données si telle est nécessaire. L’employeur doit toutefois inscrire tout de même ce dispositif de vidéosurveillance dans le registre des traitements de données qu’il doit tenir. Si les caméras filment un lieu ouvert au public (espaces d’entrée et de sortie du public, zones marchandes, comptoirs, caisses), il s’agit d’un dispositif de vidéoprotection et il doit être autorisé par le préfet du département (le préfet de police à Paris). Dès lors qu’un dispositif de vidéoprotection conduit à la « surveillance systématique à grande échelle d’une zone accessible au public », une analyse d’impact sur la protection des données doit être effectuée. Elle permettra notamment d’évaluer la nécessité et la proportionnalité du dispositif envisagé, au regard des finalités poursuivies. Enfin, les instances représentatives du personnel doivent être informées et consultées avant toute décision d’installer des caméras.
*
* *
Le pôle IT & Data protection d’Agil’IT accompagne ses clients dans la mise en conformité de l’installation de leur dispositif de vidéosurveillance ou de vidéoprotection.
Par AGIL’IT – Pôle IT & Data protection
Laure LANDES-GRONOWSKI, Avocate associée