CNIL, 16 décembre 2011, n° 2011-036

La Présidente de la Commission nationale de l'informatique et des libertés,

Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés et, notamment ses articles 44 et 45 ;

Vu la loi n° 95-73 du 21 janvier 1995 modifiée d'orientation et de programmation relative à la sécurité ;

Vu l'article L. 1121-1 du code du travail ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78¬17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2006-147 du 23 mai 2006 de la Commission nationale de l'informatique et des libertés fixant son règlement intérieur ;

Vu la saisine n° 11019558 du 27 juillet 2011 ;

Vu la décision n° 2011-268C du 7 octobre 2011 de la présidente de la Commission nationale de l'informatique et des libertés de procéder à une mission de contrôle auprès de la société X ;

Constate les faits suivants :

La société X (ci-après la "société") a pour activité la fourniture de matériel et d'applications aux professionnels de santé. Elle emploie huit salariés. Le siège de la société se situe [...].

La Commission nationale de l'informatique et des libertés (ci-après la "CNIL" ou la "Commission") a été saisie, le 27 juillet 2011, d'une plainte d'un salarié, attirant son attention sur la mise en oeuvre d'un dispositif de vidéosurveillance qui serait situé dans les locaux de la société et au moyen duquel le responsable de la société surveillerait les salariés et écouterait leurs conversations.

En application de la décision n° 2011-268C du 7 octobre 2011 de la présidente de la CNIL, une délégation de la CNIL a procédé à une mission de contrôle sur place le 12 octobre 2011 au siège de la société.

La délégation s'est attachée à vérifier la conformité du dispositif vidéo aux dispositions de la loi du 6 janvier 1978 susvisée et de la loi du 21 janvier 1995 susvisée.

Le dispositif comporte huit caméras, chacune équipée d'un microphone permettant l'écoute sonore et d'un haut-parleur.

Sept caméras filment des lieux non ouverts au public :

- 4 caméras (dont une inactive au jour du contrôle) filment l'entrée, l'atelier et un bureau ; celles-ci permettent notamment de visualiser les postes de travail des salariés.

- 1 caméra filme la salle de réunion, qui, d'après le règlement intérieur, fait également fonction de réfectoire ;

- 1 caméra filme le couloir qui dessert les différents bureaux ;

- 1 caméra (inactive au jour du contrôle) filme la cuisine (caméra disposée au-dessus du plan de travail et dirigée vers la porte donnant accès à l'extérieur).

Une caméra filme des lieux ouverts au public :

- cette caméra, située dans le bureau du gérant, filme le chemin privé qui dessert la société et d'autres entreprises, chemin dont l'accès est libre la journée (cet accès est fermé au public par portail électrique seulement la nuit).

Par ailleurs, les abords de la société sont également filmés par un autre dispositif vidéo mis en oeuvre par la copropriété.

Le gérant peut accéder à la visualisation des images en temps réel et aux enregistrements par une connexion de type terminal serveur. Une connexion à distance est possible, le gérant l'utilise notamment pour accéder aux images depuis son domicile.

La délégation a été informée que les images en temps réel, contrairement aux enregistrements, étaient accompagnées du son. Les enregistrements peuvent être déclenchés manuellement à tout moment. Par ailleurs, la délégation a constaté que des enregistrements sont programmés pour se déclencher sur détection de mouvement, pendant une durée d'environ 45 secondes, du lundi au vendredi entre 19 heures et 8 heures et le samedi et le dimanche toute la journée.

En ce qui concerne la finalité du dispositif de vidéosurveillance, la déclaration, adressée par la société à la CNIL le 13 septembre 2011 (dossier n° 1531538), indique la finalité : "sécurité des biens et des personnes". En revanche, deux courriers envoyés par la société en recommandé avec accusé de réception à deux salariés le 5 juillet 2011, et fournis par la société lors du contrôle, indiquent une finalité différente.

En effet, après avoir rappelé les griefs des deux salariés, voisins de bureaux, l'un envers l'autre (par exemple : "A de nombreuses reprises, il vous a demandé de cesser de mâcher votre chewing-gum et d'arrêter de faire claquer des bulles". (..) "Vous lui aviez dit que de mettre ses cartes de visites dans sa poche de veste faisait ringard"), les courriers indiquent la finalité ci-après pour le dispositif de vidéosurveillance : "Afin de déterminer les responsabilités de chacun, un système d'enregistrement audio et vidéo sera mis en place prochainement".

En ce qui concerne la durée de conservation des enregistrements, la déclaration précitée du 13 septembre 2011 précitée indique la durée : "1 mois". La délégation de la CNIL a constaté, lors du contrôle sur place effectué le 12 octobre 2011, la présence, au sein du dispositif de vidéosurveillance, de 4076 fichiers vidéo, dont le plus ancien date du 11 juillet 2011. Aucune purge automatisée des enregistrements n'est prévue.

La société n'a pas demandé ni obtenu d'autorisation préfectorale préalablement à la mise en oeuvre du dispositif.

Les deux panneaux d'information relatifs au dispositif de vidéosurveillance et vidéoprotection visibles au moment du contrôle, situés sur la porte d'entrée à l'extérieur des locaux et dans l'atelier de travail des techniciens, comportent le pictogramme d'une caméra. Le panneau d'information situé sur la porte d'entrée à l'extérieur des locaux comporte la mention surveillance caméra. Ces deux panneaux, ainsi que le règlement intérieur de la société et les trois contrats de travail signés fournis lors du contrôle, ne comportent pas l'ensemble des mentions exigées par l'article 32 de la loi du 6 janvier 1978 précitée, notamment les droits d'opposition, d'accès et de rectification que les personnes concernées tiennent des articles 38 à 40 de la loi.

Les faits précités doivent être qualifiés

- d'une part, au regard de la loi du 6 janvier 1978 précitée, s'agissant des sept caméras qui filment des lieux non ouverts au public ;

- d'autre part, au regard de la loi du 21 janvier 1995 précitée, s'agissant de la caméra qui filme des lieux ouverts au public.

Sur la qualification juridique des faits au regard de la loi du 6 janvier 1978 précitée

Un manquement à l'obligation de définir une finalité déterminée, explicite et légitime du traitement

Alors que la déclaration effectuée auprès de la CNIL concernant le dispositif de vidéosurveillance le 13 septembre 2011 (dossier n° 1531538) indique comme finalité "la sécurité des biens et des personnes", les deux courriers du 5 juillet 2011 adressés à deux salariés indiquent une finalité effective différente de la finalité déclarée : "Afin de déterminer les responsabilités de chacun, un système d'enregistrement audio et vidéo sera mis en place prochainement".

Cette finalité effective, différente de la finalité sécurité des biens et des personnes, est corroborée par le nombre, la disposition, l'orientation des caméras et la possibilité d'écoute du son, constatés lors du contrôle sur place effectué le 12 octobre 2011. En particulier, chacune des caméras situées au-dessus des espaces de travail des employés permet de visualiser, en permanence, aussi bien les écrans des ordinateurs des employés que les employés eux-mêmes et d'écouter le son.

Les faits précités constituent un manquement aux obligations découlant du 2° de l'article 6 de la loi n° 78-17 du 6 janvier 1978 qui dispose que "les données sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités".

Ces faits sont également susceptibles de constituer des infractions à l'article 226-21 du code pénal, aux termes duquel "le fait, par toute personne détentrice de données à caractère personnel à l'occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, de détourner ces informations de leur finalité telle que définie par la disposition législative, l'acte réglementaire ou la décision de la Commission nationale de l'informatique et des libertés autorisant le traitement automatisé, ou par les déclarations préalables à la mise en œuvre de ce traitement, est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende".

Un manquement à l'obligation de veiller à l'adéquation, à la pertinence et au caractère non excessif des données

Il ressort du nombre, de la disposition, de l'orientation des caméras et de la possibilité d'écoute du son que le dispositif de vidéosurveillance mis en oeuvre conduit à placer les salariés sous la surveillance constante et permanente de leur employeur.

Les faits précités constituent un manquement aux obligations découlant du 3° de l'article 6 de la loi n° 78-17 du 6 janvier 1978 qui dispose que "les données à caractère personnel collectées doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs".

A ce titre, l'article L. 1121-1 du code du travail dispose que "Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché".

Un manquement à l'obligation de définir une durée de conservation des données

Bien que la déclaration précitée du 13 septembre 2011 relative à ce dispositif de vidéosurveillance indique comme durée de conservation "1 mois", la délégation de la CNIL a constaté, lors du contrôle sur place effectué le 12 octobre 2011, la présence, au sein du dispositif de vidéosurveillance, de 4 076 fichiers vidéo, dont le plus ancien date du 11 juillet 2011. Aucune purge automatisée des enregistrements n'est prévue.

Ces faits constituent un manquement aux obligations découlant du 5° de l'article 6 de la loi n° 78-17 du 6 janvier 1978 qui dispose que "les données à caractère personnel sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées".

Ces faits sont susceptibles de constituer des infractions à l'article 226-20 du code pénal, qui punit de cinq ans d'emprisonnement et de 300 000 euros d'amende, le fait de conserver des données à caractère personnel au-delà de la durée prévue par la loi ou le règlement, sauf si cette conservation est effectuée à des fins historiques, statistiques ou scientifiques dans les conditions prévues par la loi.

Un manquement à l'obligation d'informer les personnes

Les deux panneaux d'information visibles au moment du contrôle n'informent pas les clients et les visiteurs :

- de l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ;

- de la finalité poursuivie par le traitement auquel les données sont destinées ;

- des droits d'opposition, d'accès et de rectification qu'ils tiennent des articles 38 à 40 de la loi du 6 janvier 1978 précitée.

Par ailleurs, ni le règlement intérieur de la société ni aucun des trois contrats de travail signés, fournis lors du contrôle, n'informent les salariés des droits d'opposition, d'accès et de rectification qu'ils tiennent des articles 38 à 40 de la loi du 6 janvier 1978 modifiée.

Ces faits constituent ainsi un manquement à l'article 32 de la loi n° 78-17 du 6 janvier 1978 quant à l'obligation pour le responsable du traitement de fournir à la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant des informations sur l'identité du responsable du traitement, la finalité de ce traitement, les destinataires, leurs droits d'accès, de rectification et, le cas échéant, d'opposition aux données les concernant.

En outre, il convient de rappeler qu'aux termes du 1° de l'article R. 625-10 du code pénal,

"est puni de l'amende prévue pour les contraventions de la cinquième classe le fait, pour le responsable d'un traitement automatisé de données à caractère personnel :

1° De ne pas informer la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant :

a) De l'identité du responsable du traitement et, le cas échéant; de celle de son représentant ;

b) De la finalité poursuivie par le traitement auquel les données sont destinées ;

(..)

e) Des destinataires ou catégories de destinataires des données ;

f) De ses droits d'opposition, d'interrogation, d'accès et de rectification".

Sur la qualification juridique des faits au regard de la loi du 21 janvier 1995 précitée

Un manquement à l'obligation d'obtenir une autorisation préfectorale préalablement à la mise en oeuvre d'un dispositif de vidéoprotection

La société n'a pas obtenu, ni même demandé, d'autorisation préfectorale préalablement à la mise en oeuvre du dispositif de vidéoprotection.

Ces faits sont de nature à constituer un manquement aux obligations découlant du III de l'article 10 de la loi du 21 janvier 1995, aux termes duquel "l'installation d'un système de vidéoprotection dans le cadre du présent article est subordonnée à une autorisation du représentant de l'Etat dans le département (...), donnée, sauf en matière de défense nationale, après avis d'une commission départementale présidée par un magistrat du siège ou un magistrat honoraire. (...) L'autorisation préfectorale prescrit toutes les précautions utiles, en particulier quant à la qualité des personnes chargées de l'exploitation du système de vidéoprotection ou visionnant les images et aux mesures à prendre pour assurer le respect des dispositions de la loi".

Ces faits sont également susceptibles de constituer des infractions au VI de l'article 10 de la loi du 21 janvier 1995, aux termes duquel "le fait d'installer un système de vidéoprotection ou de le maintenir sans autorisation, de procéder à des enregistrements de vidéoprotection sans autorisation, de ne pas les détruire dans le délai prévu (...) ou d'utiliser ces images à d'autres fins que celles pour lesquelles elles sont autorisées est puni de trois ans d'emprisonnement et de 45 000 curas d'amende (...)".

En conséquence, la Présidente de la Commission met en demeure la société X, sise [...], sous un délai de 6 semaines à compter de la notification de la présente décision, de :

Concernant l'application de la loi du 6 janvier 1978 précitée :

- veiller à ce que le dispositif mis en oeuvre soit strictement limité à la finalité explicite du traitement ("sécurité des biens et des personnes") et ne poursuive aucune autre finalité ;

- veiller à l'adéquation, à la pertinence et au caractère non excessif des données traitées, en mettant fin à la possibilité d'écoute du son et en modifiant le nombre, la disposition et/ou l'orientation des caméras, afin de ne plus placer les salariés sous une surveillance constante et permanente ;

- veiller au respect de l'obligation de définir une durée de conservation des données proportionnée à la finalité du traitement, en mettant en place une purge automatisée des enregistrements compatible avec la durée de conservation indiquée dans la déclaration du 13 septembre 2011 (dossier n° 1531538) ;

- porter à la connaissance de toutes les personnes concernées les mentions prévues par l'article 32 de la loi du 6 janvier 1978 (en particulier la finalité poursuivie par le traitement, les droits d'opposition, d'accès et de rectification que toutes les personnes concernées tiennent des articles 38 à 40 de la loi du 6 janvier 1978), en modifiant les panneaux d'information visibles par les clients, les visiteurs et les salariés et en complétant le règlement intérieur de la société et les contrats de travail des salariés ;

- justifier auprès de la CNIL que l'ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti.

Concernant l'application de la loi du 21 janvier 1995 précitée :

- sauf à supprimer la caméra orientée vers l'extérieur du bâtiment, procéder auprès de la préfecture territorialement compétente à une demande d'autorisation de mettre en oeuvre un dispositif de vidéoprotection, conformément aux prescriptions du III de l'article 10 de la loi du 21 janvier 1995 et suspendre le traitement dans l'attente de cette autorisation ;

- justifier auprès de la CNIL que l'ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti.

À l'issue de ce délai, si la société X s'est conformée à la présente mise en demeure, la Présidente de la Commission considérera que la procédure est close et lui adressera un courrier en ce sens.

À l'inverse, si, au vu de l'ensemble des éléments qui auront été portés à sa connaissance, la Présidente de la Commission constate que la société X ne s'est pas conformée intégralement à la présente mise en demeure :

- concernant l'application de la loi du 6 janvier 1978 précitée, elle désignera un rapporteur qui pourra demander à la formation restreinte de prononcer l'une des sanctions prévues par l'article 45 de la loi du 6 janvier 1978 précitée ;

- concernant l'application de la loi du 21 janvier 1995 précitée, elle demandera au représentant de l'État dans le département d'ordonner la suspension ou la suppression du système de vidéoprotection.