Faits : La société Boutique.Aéro est spécialisée dans le commerce de gros de fournitures et équipement aéronautiques (7 salariés 1.7M€ de CA en 2017)
Elle fait l’objet en octobre 2018 d’un signalement par la DIRECCTE (Occitanie) auprès de la CNIL concernant la présence dans un de ses magasins de caméras qui filmeraient en continue les postes de travail des salariés.
Elle est donc contrôlée, sur place, par la CNIL qui constate la présence, notamment de deux caméras filmant en continu un poste de travail (caisse du magasin) et un emplacement pour la préparation de commandes, non ouvert au public et d’une autre caméra filmant une zone non ouverte au public correspondant à un couloir desservant plusieurs bureaux de salariés.
Elle constate également que les images des caméras de vidéosurveillance sont accessibles à partir d’un protocole http, en temps réel, depuis une connexion au logiciel de gestion accessible, en interne et en externe, par l’ensemble des salariés, à partir de chaque poste informatique du magasin au moyen de mots de passe préenregistrés depuis un compte générique et un compte individuel ou depuis une connexion à partir d’un poste informatique extérieur au moyen d’identifiants.
A l’occasion du contrôle, la société confirme que :
-elle a mis en place en 2010, dans sa boutique, un système de vidéosurveillance comportant 14 caméras
-la finalité du traitement consiste à prévenir les atteintes aux salariés et aux biens ainsi qu’à localiser les salariés
-aucun registre des traitements n’était tenu.
-le prestataire en charge de la maintenance informatique a connaissance des identifiants de connexion à ce logiciel et peut accéder aux images à distance.
-l’information relative à la présence d’un dispositif de vidéoprotection était délivrée aux salariés par une mention inscrite dans leur contrat de travail.
Manquement à l’obligation de minimisation
Un dispositif de vidéosurveillance destiné à la localisation et la surveillance permanente des salariés par le gérant n’est pas légitime ni proportionnée.
Manquement à l’obligation d’informer les personnes
L’information qui délivrée dans le contrat de travail des salariés est incomplète en ce qu’elle ne porte que sur la présence du dispositif de vidéoprotection à des fins de protection contre le vol et ne contient pas l’ensemble des mentions d’information prévues au RGPD.
Manquement à l’obligation de veiller à la sécurité des données personnelles traitées par un sous-traitant
La société n’a pas conclu de contrat, comprenant les obligations prévues au RGPD, avec le prestataire informatique (ayant connaissance des identifiants de connexion au logiciel permettant d’accéder aux images vidéo à distance.
Un manquement à l’obligation d’établir un registre des activités de traitement
L’obligation de tenir un registre de ses activités de traitement ne s’applique pas à une entreprise comptant moins de 250 employés, sauf si le traitement n’est pas occasionnel, ce qui n’est pas le cas ici.
Un manquement à l’obligation d’assurer la sécurité et la confidentialité des données
L’ensemble des salariés n’a pas à accéder aux images vidéo en temps réel.
Le pré-enregistrement de mots de passe et identifiants équivaut à une absence de mot de passe et d’identifiants.
L’accès aux images vidéo des caméras par la connexion au logiciel de gestion de la société doit se faire par une connexion chiffrée (protocole https).
Décision : Une mise en demeure de :
– Sous 10 jours : cesser de traiter les images issues vidéo pour localiser les salariés et ne traiter que des données pertinentes, adéquates et limitées à ce qui est nécessaire au regard de la protection des biens et des personnes (donc adapter le dispositif pour ne pas filmer en continu les salariés sur leur poste de travail, en supprimant ou réorientant les caméras) et sécuriser le traitement / l’accès aux flux vidéo des caméras, avec une restriction de connexion à des comptes individuels (via des identifiants et mots de passe qui ne soient pas pré-enregistrés) ayant des habilitations en fonction de leurs missions) et un protocole de chiffrement
– Sous 2 mois : établir un registre des activités de traitement, informer les personnes concernées, par exemple, via un document annexé au contrat de travail ou une note de service remise contre émargement ou le règlement intérieur mis à jour ; établir un contrat adéquat avec la société de prestation informatique ; justifier de ces démarches auprès de la CNIL dans les délais impartis.
Publication de la décision : Compte-tenu de la gravité des manquements (caractère excessif du système de vidéosurveillance et insuffisance de l’information délivrée aux salariés) et à des fins de pédagogie.
Ce qu’il faut retenir : Le fait de filmer en continu le poste de travail d’un salarié est disproportionné, sauf circonstance particulière tenant, par exemple, à la nature de la tâche à accomplir (ex. Lorsqu’un employé manipule des objets de grande valeur ou lorsque le responsable de traitement est à même de justifier de vols ou de dégradations commises sur ces zones).
Le responsable de traitement doit fournir, au moment où les données sont collectées, les informations relatives à son identité et ses coordonnées, celles du délégué à la protection des données, les finalités du traitement et sa base juridique, les destinataires des données à caractère personnel, le cas échéant les transferts de données à caractère personnel, la durée de conservation des données à caractère personnel, les droits dont bénéficient les personnes ainsi que le droit d’introduire une réclamation auprès d’une autorité de contrôle.
Il est impératif d’encadrer la relation entre un responsable de traitement et son sous-traitant par une clause contractuelle conforme aux dispositions prévues par le RGPD.
L’absence de définition de profils d’habilitation afin de limiter les accès des utilisateurs aux seules données dont ils ont besoin ne permet pas d’assurer la confidentialité et la sécurité des données.
Pour en savoir plus : https://bit.ly/36Ocj9t
Charlotte URMAN – Conseil en Propriété Industrielle – Inlex IP Expertise