Aussi, la loi « Informatique et Liberté » du 6 janvier 1978 prévoit un cadre légal clair et précis, dont la mission de veiller au respect de ces dispositions a été confiée à la CNIL. Cette autorité dispose de compétences particulièrement étendues pour veiller à la protection des données à caractère personnelles puisqu‘elle peut, outre recevoir des déclarations ou autoriser des traitements de données, mettre en demeure et sanctionner les responsables de traitements non respectueux des dispositions légales, comme l’illustre la présente affaire.
En l’espèce, saisie d’une plainte, la CNIL a procédé à un contrôle dans les locaux d’un centre commercial E. LECLERC en vue de constater si le système de vidéosurveillance répondait à l’ensemble des prescriptions de la loi « Informatique et liberté ».
Dans sa décision du 12 juillet 2013, la Présidente de la CNIL répond par la négative et adopte une mise en demeure, rendue publique, à l’encontre de la société SAS BRESSE DIS, exploitant du centre commercial. Pour statuer ainsi, elle précise que le système de vidéosurveillance, comprenant 53 caméras installées dans des lieux non ouverts au public, notamment aux abords des bureaux, vestiaires et toilettes du personnel, était disproportionné et détourné de sa finalité en ce qu’il a été utilisé en vue de contrôler les horaires des salariés. .
Ainsi, après avoir constaté que le dispositif de vidéosurveillance mis en place par l’exploitant du centre commercial ne répond pas aux dispositions de la loi « Informatique et liberté » relatives aux traitement automatisé de données à caractère personnel, elle conclut que le dispositif est disproportionné et non respectueux de la vie privée des salariés sur leur lieux de travail.
I. Une protection des données à caractère personnel insuffisante
La CNIL, chargée de veiller à la protection des données à caractère personnel est, depuis 2011, compétente pour contrôler l’ensemble des systèmes de vidéosurveillance sur le territoire national dont les dispositifs situés dans les lieux non ouverts au public, notamment les systèmes installés dans les locaux réservés à l’usage exclusif des salariés.
Néanmoins, avant l’exercice d’un tel contrôle, le responsable du traitement doit, au préalable, déclarer ce système de vidéosurveillance à la CNIL au motif que ce dernier constitue un traitement automatisé de données personnelles, définit à l’article 2 de la loi du 6 janvier 1978 comme « toute opération ou tout ensemble d’opérations portant sur toute information relative à une personne physique identifiée ou qui peut être identifiée, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’utilisation, la communication [….] »
En l’espèce, il n’était pas contesté qu’une déclaration ait pu être faite à la CNIL. Toutefois, la difficulté était de savoir si le système installé respectait les prescriptions de la loi du 6 janvier 1978. Aussi, il appartenait à la CNIL, en présence d’un tel traitement de données personnelles des salariés, de vérifier qu’il respectait les dispositions de l’article 6 de la loi Informatique et Liberté.
En effet, cet article dispose qu’ : « un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : 1) les données sont collectées et traitées de manière loyale et licite ; 2) elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités ; 3) elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ; 4) elles sont exactes, complètes et, si nécessaires, mises à jour ; 5) elles sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ».
Or, en l’espèce, la CNIL constate, après avoir relevé que la société a mis en œuvre un dispositif de « vidéoscanning » sans qu’il ait été déclaré au préalable à la CNIL conformément aux exigences de l’article 22-I de la loi du 6 janvier 1978, que la société responsable du traitement n’a pas respecté, à plusieurs égards, les dispositions de l’article 6 de la loi du 6 janvier 1978.
Effectivement, d’une part, la CNIL relève que la société a mis en place ce dispositif de vidéosurveillance à des fins étrangères à celles qu’elle invoque soit pour veiller à la protection des biens de l’entreprise et du personnel et des personnes. Pourtant, ce dispositif a été, en réalité, détourné de sa finalité par le responsable du traitement qui l’utilisait notamment pour contrôler les horaires de travail des salariés et le travail accompli par le personnel.
De même, la CNIL constate que le traitement est excessif et non pertinent au regard du nombre de caméras installées et de leur emplacement, lesquels conduisent à mettre sous surveillance permanente les salariés. En outre, elle constate une violation du droit au respect de la vie privée des salariés en ce qu’elle précise, au regard de l’article 34 de la loi du 6 janvier 1978, que l’employeur a manqué à son obligation d’assurer la sécurité et la confidentialité des données collectées en permettant à des personnes extérieures à l‘entreprise telle que l‘épouse du directeur, d‘accéder aux images et contenus des caméras directement sur leur téléphone portable ou par l’intermédiaire de mots de passe insuffisamment sécurisés.
Enfin, la CNIL constate que certaines images conservées datent de 2010 alors qu’elle préconise une durée de conservation d‘un mois, de sorte que le responsable du traitement a violé l’article 6- 5° de ladite loi.
En raison de ces différents manquements, la Présidente de la CNIL conclu que le dispositif de vidéosurveillance est disproportionné.
II. Un dispositif disproportionné et non respectueux de la vie privée des salariés
Ces manquements conduisent, pour la Présidente de la CNIL, à conclure que le dispositif de vidéosurveillance est disproportionné au regard des principes et dispositions posés par la loi « Informatique et Liberté ». Cette conclusion apparaît parfaitement fondée eu égard au nombre important de caméras disposées à proximité des locaux exclusivement destinés à l’usage des salariés, engendrant une surveillance permanente du personnel sur son lieu de travail.
De surcroit, cette décision apparaît fondée au regard des éléments qui ont motivé la CNIL à statuer en ce sens. En effet, elle justifie sa décision par le fait que le responsable du traitement n’aurait pas du installer un dispositif de vidéosurveillance sans informer les salariés de leur droit à contester ce traitement.
Effectivement, il ressort de l’article 38 de la loi du 6 janvier 1978 que : « les salariés doivent être informés de leur droit de s’opposer à ce que des données à caractère personnel fassent l’objet d’un traitement ». L’article 40 ajoute que les salariés doivent être informés de leur droit d’exiger du responsable du traitement que « soient rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite ». En cas de non-respect de cette disposition, le responsable du traitement peut être sanctionné d’une amende de 7.500€ selon les articles 121-2, 131-&3, 131-’1 et R 625-10 du Code pénal combinés.
En conséquence, la mise en demeure publique prononcée par la CNIL à l’égard de la société exploitant un centre commercial E. LECLERC apparaît parfaitement fondée dès lors qu’est en jeu la protection du droit fondamental au respect de sa vie privée.
Cependant, dans l’hypothèse où le responsable du traitement ne respectait pas cette mise en demeure et refusait de mettre en conformité son dispositif de surveillance avec les prescriptions de la CNIL, celle-ci pourrait user de son pouvoir de sanction pour l’y contraindre.
En effet, la CNIL n’hésite pas à prononcer des sanctions pécuniaires à l’égard des responsables de traitements refusant de se conformer à la loi du 6 janvier 1978. Aussi, à titre symbolique, elle a sanctionné, dans une délibération du 3 janvier 2010 Syndicat des Copropriétaires « ARCADES DES CHAMPS ELYSEES », à un euro le Syndicat pour avoir refusé de réorienter ou de retirer le dispositif avec injonction de mettre un terme au caractère continu du traitement ; et condamné, dans sa délibération du 30 mai 2013, à une amende de 10.000 euros une société qui refusait de modifier son dispositif de vidéosurveillance.