Attention aux systèmes de vidéosurveillance, la CNIL s’en préoccupe particulièrement

Photo de profil - BOUNEDJOUM Amira | Avocat | Lettre des réseaux

BOUNEDJOUM Amira

Counsel

Conseils pratiques

La CNIL est depuis l’année dernière particulièrement vigilante et soucieuse quant à la conformité des dispositifs de vidéosurveillance sur le lieu de travail et a ainsi multiplié les contrôles, mises en demeures et sanctions.

Ce qu’il faut retenir :

La CNIL est depuis l’année dernière particulièrement vigilante et soucieuse quant à la conformité des dispositifs de vidéosurveillance sur le lieu de travail et a ainsi multiplié les contrôles, mises en demeures et sanctions.

Ses décisions sont relativement proches car les sociétés commettent systématiquement les mêmes types de manquements : leurs dispositifs de vidéosurveillance sont considérés comme excessifs en raison d’une mise sous surveillance permanente de leurs salariés et de l’absence de toute information préalable.

La clôture de la mise en demeure à l’encontre de l’Institut des techniques informatiques et commerciales (ITIC), le 2 septembre 2019, nous donne l’occasion de rappeler les erreurs à ne plus commettre. 

Pour approfondir :

Il y a un an déjà, dans un communiqué de presse du 19 septembre 2018, la CNIL appelait à la tenue d’un débat démocratique sur les nouveaux usages des caméras vidéo.

Partant du constat que de nouveaux outils de captation associés à des technologies particulièrement invasives se développaient très rapidement, la Commission a fait part de son inquiétude et a rappelé l’urgence de prévoir des garde-fous afin d’encadrer ces dispositifs dans le respect d’un juste équilibre entre les impératifs de sécurisation et la préservation des droits et libertés.

Depuis, la CNIL a réalisé de nombreux contrôles pour vérifier la conformité des dispositifs vidéo (souvent oubliés des travaux de mise en conformité au RGPD) et a prononcé plusieurs mises en demeure et sanctions à l’encontre d’entités publiques et privées cette année.

La plus marquante est sans doute la décision de la CNIL, en juin dernier, prise à l’encontre de la société UNIONTRAD COMPANY, laquelle a été condamnée à payer une amende de 20.000 € car son système de vidéosurveillance n’était pas conforme à la réglementation.

Ce qui rend cette décision marquante n’est pas le montant de la sanction mais ce qu’il représente à l’échelle de la société.

Si beaucoup d’opérateurs se sentaient à l’abri d’une sanction notamment en raison de leur taille, du caractère non sensible de leur(s) activité(s), du fait que leur chiffre d’affaires et bénéfices commerciaux étaient relativement bas ou encore du fait qu’ils n’avaient pas de rayonnement important à l’échelle nationale, cette décision est venue remettre en cause cette pensée.

En effet, la société UNIONTRAD COMPANY est une très petite entreprise (TPE) comptant seulement 9 salariés et ayant réalisé l’année précédant le contrôle de son système vidéo un résultat net négatif de 110.844 €.

Même si la Commission avait tenu compte de la situation économique de la société, une sanction pécuniaire d’un montant représentant plus de 2 % de son chiffre d’affaires lui était tout de même infligée.

Plusieurs autres entités ont fait face aux contrôles de la CNIL.

Toutes sans exception ont fait l’objet de mise en demeure ou de sanction pour les mêmes raisons à savoir principalement :

  • la mise sous surveillance constante de leurs salariés ;
  • le défaut d’information.

Nous constatons tout de même que les dernières mises en demeure publiques prononcées par la CNIL ont été clôturées sans le prononcé d’une sanction dès lors que les sociétés avaient cessé les manquements qui leur étaient reprochés.

A titre d’illustration, le 2 septembre 2019, la CNIL a prononcé la clôture de la mise en demeure à l’encontre de l’Institut des techniques informatiques et commerciales (ITIC).

Cela nous donne l’occasion de rappeler comment s’assurer de la conformité de son système de vidéosurveillance.

Des caméras peuvent être installées sur un lieu de travail à des fins de sécurité des biens et des personnes, à titre dissuasif ou pour identifier les auteurs de vols, de dégradations ou d’agressions à condition que la mise en œuvre du dispositif respecte les principes fondamentaux de la protection des données (principe de finalité, principe de proportionnalité et principe de minimisation).

A ce titre, avant toute mise en œuvre d’un dispositif vidéo sur un lieu de travail (espaces privés non ouvert au public), il est important de s’assurer du respect, a minima, des règles suivantes :

  • Les caméras ne peuvent avoir pour effet de filmer des employés sur leur poste de travail de manière continue et permanente, sauf circonstances particulières. Il faut donc bien choisir l’emplacement et le nombre de caméras à installer et se limiter à une installation des caméras dans des zones qui échappent à la surveillance humaine ou la rendent difficile comme par exemple les entrées et sorties des bâtiments, les issues de secours et les voies de circulation.
  • L’orientation de chaque caméra du dispositif de vidéosurveillance doit être particulièrement réfléchie de sorte que les caméras ne puissent filmer que des zones de « risques » et sans porter atteinte à la vie privée des salariés. Ainsi, les caméras peuvent filmer les zones où de la marchandise ou des biens de valeur sont entreposés, mais aucun lieu de vie, espace personnel, espace de pause ou locaux syndicaux ne doivent entrer dans leur champ de vision. De plus, lorsque des caméras sont installées dans des salles où des postes de travail existent, il convient d’orienter les caméras sur les marchandises et/ou machines uniquement et non sur les bureaux/postes de travail.
  • Les finalités poursuivies via l’installation d’un tel dispositif doivent être légitimes. Lorsque le seul but recherché est de veiller à la sécurité du personnel et des biens dans la mesure où les caméras ont un effet dissuasif en permettant de prévenir les incidents de sécurité (agressions, vols, dégradation) mais également probatoires car en cas d’incident, les images pourront être transmises aux autorités compétentes et des mesures pourront être prises à l’encontre d’auteurs d’infractions, la légitimité du dispositif est rarement remise en cause. Toutefois, dès lors qu’on souhaite affecter d’autres finalités à son dispositif, la CNIL se montre plus stricte.
  • Les instances représentatives du personnel doivent être informées et consultées avant toute mise en route d’un tel système.
  • Les salariés – et de manière générale l’ensemble des personnes concernées – doivent être informés de l’existence du dispositif. Cette information est généralement délivrée en deux temps. D’abord via des panneaux d’information affichées de manière visible dans les locaux et à l’entrée des zones filmées, puis via une information individuelle de chaque salarié via une note de service, une disposition du contrat de travail ou encore du règlement intérieur.
  • Les images enregistrées ne peuvent être conservées, en règle générale, que quelques jours, sauf circonstances exceptionnelles (comme par exemple effectuer les vérifications nécessaires en cas d’incident, suivi et enclenchement d’éventuelles procédures disciplinaires ou pénales). Si des procédures sont engagées alors les images doivent être extraites du dispositif afin d’être conservées isolément pour la durée de la procédure.
  • Dans les limites de leurs attributions, peuvent seules avoir accès aux images filmées, les personnes habilitées par l’employeur, comme par exemple un(e) responsable de la sécurité. La CNIL insiste sur le fait que ces personnes doivent être formées et sensibilisées aux règles à respecter. Par ailleurs, l’accès aux images doit être particulièrement sécurisé pour éviter que tout le monde ne puisse les visionner.

A rapprocher : Règlement Général sur la Protection des Données Personnelles n°2016/679 du 27 avril 2016 ; Décision de la CNIL du 2 septembre 2019 portant clôture de la mise en demeure n°2018-024 du 2 juillet 2018 à l’encontre de l’établissement ITIC ; Délibération de la formation restreinte n°SAN-2019-006 du 13 juin 2019 prononçant une sanction à l’encontre de la société UNIONTRAD COMPANY

Sommaire

Autres articles

some
Le rapport de la CNIL pour l’année 2021 met en lumière la prise de conscience du citoyen dans la protection de leurs données personnelles
42e rapport d’activité de la CNIL (année 2021) « Protéger les données personnelles, Accompagner l’innovation, Préserver les libertés individuelles » Madame Marie-Laure Denis, présidente de la CNIL affirmait que « plus que jamais, c’est le respect d’un équilibre entre accompagnement…
some
Sanction de 1.5 million d’euros pour un éditeur-intégrateur de progiciel à destination des laboratoires d’analyse médicale
Délibération de la CNIL du 15 avril 2022 Article rédigé par Eve-Anne Dujardin et Valentine Quiniou.
some
Du Big Data à la Smart Data : les 3 clefs d’évaluation pour que les données rentrent dans les actifs des entreprises
Qu’il s’agisse de données à caractère personnel, y compris des données ouvertes, voire les données industrielles leur valorisation devient un enjeu économique. Ainsi, tout jeux de données recèle une valeur, à condition qu’il soit composé de données qualifiées. Après l’époque…
some
L’autorité de protection des données irlandaise, cible de nombreuses controverses
Irish Council for Civil Libertie’s 2021 report on the enforcement capacity of data protection authorities Plusieurs organisations font état de défaillances de la Data Protection Commission (DPC), l’autorité de protection des données irlandaise, et estiment que cette dernière freine la…
some
La valorisation de la donnée restera-t-elle l’apanage des G.A.F.A.M. ?
Journal du Management Juridique n°84 L’explosion du volume des données informatiques, du fait du développement de l’Internet et des nouvelles technologies de l’information, a ouvert de nouveaux horizons aux entreprises. Certaines utilisent déjà une partie de ces données pour prédire…
some
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque Communiqué de presse du Gouvernement, 20 juillet 2021 Le contexte de crise sanitaire a largement contribué à la multiplication d’attaques informatiques visant…