La Présidente de la Commission nationale de l'informatique et des libertés,
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, abrogée par le règlement (UE) 2016/679 du Parlement européen et du conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;
Vu le Code pénal ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 45 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;
Vu la décision n° 2018-027C du 2 février 2018 de la Présidente de la Commission nationale de l’informatique et des libertés de charger le Secrétaire général de procéder ou de faire procéder à une mission de vérification auprès de X ;
Vu le procès-verbal de contrôle n° 2018-027 du 15 février 2018 ;
Vu la saisine n°[…] ;
Vu les autres pièces du dossier ;
Les faits constatés
X (ci-après x ou la société ) est une SARL sise […]. C’est une école privée d’enseignement supérieur qui délivre des formations de niveau bac +2 à bac +5 dans le secteur économique tertiaire (comptabilité, informatique, ressources humaines, commerce, etc.).
L’école compte entre 600 et 800 étudiants inscrits chaque année et emploie entre 10 et 15 salariés (personnel administratif), outre 60 enseignants intervenants. Elle a réalisé un chiffre d’affaires d’environ [… ] euros en 2016, pour un résultat en bénéfice d’environ […] euros.
Les locaux de l’entreprise sont répartis sur deux sites : […] et […] (salle de cours, cafétéria, bureaux administratifs).
En application de la décision no 2018-027C du 2 février 2018 de la Présidente de la Commission nationale de l’informatique et des libertés (ci-après CNIL ou la Commission ), une délégation de la CNIL a procédé à une mission de contrôle sur place auprès des deux sites de X le 15 février 2018. La mission a notamment eu pour objet de vérifier la conformité à la loi du 6 janvier 1978 modifiée (ci-après Loi informatique et libertés ) de l’ensemble des traitements de données à caractère personnel mis en œuvre par la société.
La délégation a constaté que vingt-quatre caméras ont été installées dans les locaux de la société situés […], filmant notamment des bureaux, les salles de cours, les salles de vie commune et la cour de la copropriété. Seize caméras ont été installées dans les locaux de la société situés […], filmant notamment la cafétéria et les salles de cours. Les caméras sont fixes, filment en couleur sans prise de son et sur détection de mouvement.
Le dispositif de vidéosurveillance a été déclaré à la CNIL le 12 mai 2009 sous le numéro 1361738.
La délégation a constaté qu’un panneau d’information relatif à la vidéosurveillance était installé à l’entrée des locaux sis […] et qu’aucun panneau n’était apposé au […], ni dans la cour de la copropriété du […]. Le directeur de la société a également informé la délégation que les élèves sont informés de la présence d’un système de vidéosurveillance par le biais des conditions générales jointes au contrat d’inscription. Les salariés (personnel administratif et enseignants) ne font l’objet d’aucune information particulière relative au système de vidéosurveillance.
Il a été constaté que les images issues des systèmes de vidéosurveillance sont enregistrées et peuvent être consultées, en direct ou non, depuis le bureau de la direction pour les caméras du […], et depuis le bureau du personnel administratif pour les caméras du […]. La délégation a également constaté que l’accès au logiciel de visionnage ne nécessite aucun mot de passe pour se connecter au compte administrateur du logiciel. Elle a également été informée que la session Windows du poste de travail du directeur ne nécessite pas de mot de passe et n’est jamais déconnectée.
À l’occasion de son contrôle, la délégation a constaté la présence d’enregistrements issus de la vidéosurveillance remontants au 28 décembre 2017.
Les manquements au regard des dispositions de la loi du 6 janvier 1978 modifiée
Un manquement à l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données
La société a justifié la mise en œuvre de son dispositif par la protection des biens et des personnes (vols, agressions, dégradations) et pour éviter les débordements des étudiants. Elle a également précisé à la délégation que le système de vidéosurveillance n’était pas utilisé pour effectuer une surveillance des salariés ni des étudiants.
En premier lieu, la délégation a constaté que le dispositif de vidéosurveillance installé filmait par détection de mouvement, donc en continu dès qu’une ou plusieurs personnes se trouvaient dans une pièce, l’ensemble des salles de classe (également lieu de travail des enseignants intervenants) et des lieux de vie des étudiants (caméras 1 à 14 du dispositif grande centrale et CAM 01 et 04 du dispositif petit écran ).
La CNIL considère de manière constante que si des caméras peuvent filmer les accès de l’établissement (entrées et sorties) et les espaces de circulation, il est exclu de filmer les lieux de vie pendant les heures d’ouverture de l’établissement, sauf circonstances exceptionnelles non démontrées en l’espèce.
En effet, la seule évocation de deux vols par la société n’apparait pas justifier de placer les personnes dans une situation de surveillance constance, pas plus que l’évocation de soucis de violence entre étudiants et entre des enseignants et étudiants avant la mise en place du dispositif, ces derniers n’étant étayés par aucun élément factuel (tel qu’un dépôt de plainte ou un compte rendu d’incident).
La configuration de ce dispositif conduit à lui conférer un caractère excessif en ce qu’il place les étudiants et les enseignants dans une situation de surveillance permanente.
En second lieu, la délégation a été informée que la caméra dénommée CAM 03, installée dans les locaux situés au […], filmait le bureau de la responsable des inscriptions. Ce système permet également de filmer de manière continue le poste de travail d’une salariée.
Or, la CNIL considère de manière constante que le fait de filmer en continu les postes de travail de certains employés est disproportionné, sauf circonstance particulière, par exemple lorsqu’un employé manipule des fonds ou des objets de valeur ou lorsque le responsable de traitement est à même de justifier de vols ou de dégradations commises sur ces zones.
En l’espèce, la délégation a été informée que cette caméra a notamment pour objet de visionner le bureau de la responsable des inscriptions. Dans ces circonstances, la mise sous surveillance constante de la salariée n’apparaît pas justifiée et doit être considérée comme manifestement disproportionnée et excessive au regard de la finalité déclarée.
Il résulte de ce qui précède que l’ensemble de ces faits constitue un manquement aux obligations prévues au 3° de l’article 6 de la loi n°78-17 du 6 janvier 1978 qui dispose que les données à caractère personnel collectées doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs .
Un manquement à l’obligation d’informer les personnes
En premier lieu, la délégation a constaté que les conditions générales d’inscription, annexées au contrat d’inscription signé par l’élève ou son représentant légal s’il est mineur, comprennent une mention relative à la vidéosurveillance. Elle a été informé qu’aucune information n’est en revanche communiquée au personnel administratif de l’école, pas plus qu’aux enseignants, ni dans leur contrat de travail ni dans le règlement intérieur.
Si les conditions générales annexées au contrat d’inscription contiennent une mention relative à la vidéosurveillance, ces informations concernent le droit à l’image, donc le respect de la vie privée tel que posé par l’article 9 du Code civil.
L’article 6 des conditions générales d’inscription (intitulé Sur le droit à l’image de étudiants ) indique simplement que l’établissement est équipé de caméras utilisées dans un but de surveillance du comportement des étudiants et du respect par ces derniers du règlement intérieur . Le reste de la clause est relatif à la cession à la société desdits droits à l’image par l’étudiant ou son représentant légal.
Les personnes concernées ne sont pas informées notamment de l’identité du responsable du traitement, des destinataires, de la durée de conservation des images ou des droits des personnes.
Il en va de même pour les employés administratifs et les enseignants, pour lesquels aucune information n’est communiquée quant au traitement de données déployé.
En second lieu, la délégation a constaté qu’aucun panneau d’information n’était apposé dans la cour de copropriété du […], pourtant filmée en continu par la caméra CAM 06 du dispositif petit écran .
La délégation a également constaté que la signalisation de la vidéosurveillance à l’entrée des bâtiments était incomplète dans les locaux du […], et inexistante dans les locaux du […]. Le panneau à l’entrée de l’école au niveau du numéro […] se contente d’indiquer l’existence du système de vidéosurveillance, et le directeur de l’établissement en sa qualité de responsable du traitement.
Ces faits constituent un manquement au I de l’article 32 de la loi n°78-17 du 6 janvier 1978 modifiée, applicable au jour des constats, qui imposait de fournir à la personne concernée un certain nombre d’informations quant au traitement de données mis en œuvre et notamment l’identité du responsable de traitement, sa finalité, ses destinataires, l’indication des droit des personnes, ainsi que les données et catégories de personnes concernées.
Il est rappelé qu’en application des articles 131-41 et R625-10 du Code pénal combinés, le fait pour la personne morale responsable d’un traitement de ne pas informer, dans les conditions prévues à l’article 32 de la loi du 6 janvier 1978 modifiée, la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est puni d’une peine d’amende pouvant atteindre 7 500 €.
Un manquement à l’obligation d’assurer la sécurité et la confidentialité des données
La délégation a constaté qu’un poste informatique permettait l’accès aux images en temps réel et aux images enregistrées tant dans les locaux situés […] que ceux situés […]. Dans ce dernier lieu, les images sont retransmises sur un écran présent dans le bureau du personnel administratif.
L’accès à la session Windows du poste informatique dans le bureau de direction situé […] n’est pas protégé par un mot de passe. La session n'est en outre jamais déconnectée. Le bureau est simplement fermé à clef en cas d’absence.
En outre, le logiciel utilisé pour la visualisation des images dans les deux locaux ne nécessite la saisie d’aucun mot de passe au démarrage et se connecte au compte administrateur (intitulé […] ) du logiciel.
L’ensemble de ces mesures ne permet pas au responsable du traitement de s’assurer de la sécurité des données, notamment d’empêcher des tiers non autorisés d’y avoir accès.
Ces faits constituent donc un manquement à l’article 34 de la loi 78-17 du 6 janvier 1978 modifiée disposant que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès .
Il est rappelé qu’en application des articles 226-17 et 131-41 du Code pénal combinés, le fait pour une personne morale de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l’article 34 de la loi 78-17 du 6 janvier 1978 modifiée précitée est puni d’une peine d’amende pouvant atteindre 1 500 000 €.
Un manquement à l’obligation de respecter une durée de conservation des données
La déclaration effectuée auprès de la CNIL le 12 mai 2009 (n° 1361738) concernant ce système de vidéosurveillance indique une durée de conservation des données de 30 jours. Or, il ressort des constatations opérées que des enregistrements datés du 28 décembre 2017 étaient accessibles au jour du contrôle, donc remontant à 49 jours.
Ces faits constituent un manquement aux obligations découlant du 5° de l’article 6 de la loi du 6 janvier 1978 modifiée, applicable au jour des constats, qui prévoit que les données à caractère personnel sont conservées pendant une durée qui n’excède pas celle nécessaire aux finalités pour lesquelles elles sont collectées et traitées.
Il est rappelé qu’en application des articles 226-20 et 131-41 du Code pénal combinés, le fait pour une personne morale, de conserver des données à caractère personnel au-delà de la durée prévue par la loi ou le règlement, par la demande d’autorisation ou d’avis, ou par la déclaration préalable adressée à la Commission nationale de l’informatique et des libertés, est puni d’une peine d’amende pouvant atteindre 1 500 000 €.
En conséquence, X, sis […], est mis en demeure sous un délai de deux (2) mois à compter de la notification de la présente décision et sous réserve des mesures qu’il aurait déjà pu adopter, de :
modifier le dispositif de vidéosurveillance afin qu’il soit proportionné au regard de la finalité poursuivie, conformément aux dispositions du c) de l’article 5 du Règlement (UE) 2016/679 désormais applicable, et en particulier :
cesser de filmer les salles de classe ainsi que les espaces de pause, cafétérias, et espaces autorisés pour le déjeuner pendant les heures d’ouverture de l’école ;
cesser de placer des salariés sous surveillance constante, par exemple, en réorientant ou en déplaçant les caméras ou encore en procédant à la mise en œuvre de masques dynamiques lors de la visualisation des images, notamment concernant la caméra CAM 03 du bureau de l’accueil ;
procéder à l’information des personnes dont les données sont traitées, notamment s’agissant du dispositif de vidéosurveillance, conformément aux dispositions des articles 12 et 13 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, désormais applicable, et en particulier :
compléter les mentions d’information dans les conditions générales d’inscription en ajoutant notamment l’identité du responsable du traitement, la durée de conservation des données, l’indication des droits des personnes et de la manière de les exercer ;
informer le personnel de l’identité du responsable du traitement, la finalité du traitement, la durée de conservation des données, l’indication des droits des personnes et de la manière de les exercer ;
informer toute personne, par exemple par l’apposition de panneaux d’information à chacune des entrées des deux locaux de la société et dans la cour de copropriété, de la mise en œuvre d’un système de vidéosurveillance, en précisant la finalité du traitement, la durée de conservation et les personnes destinataires des données, l’identité du responsable du traitement et les modalités d’exercice des droits ;
prendre toute mesure, pour l’ensemble des traitements de données à caractère personnel mis en œuvre, permettant de préserver la sécurité de ces données et d’empêcher que des tiers non autorisés y aient accès en application de l’article 32 du Règlement (UE) 2016/679 désormais applicable, notamment :
veiller à ce que chaque utilisateur soit doté d’un compte individuel à l’utilisation du logiciel de consultation des images issues de la vidéosurveillance ;
mettre en place un système de verrouillage automatique des cessions Windows au bout d’un certain temps d’inactivité ;
mettre en œuvre une politique de gestion des mots de passe contraignante, tant au niveau du logiciel de consultation des images issues de la vidéosurveillance que du compte Windows des ordinateurs où sont consultables les images, selon l’une des modalités suivantes :
les mots de passe sont composés d’au minimum 12 caractères, contenant au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial ;
les mots de passe sont composés d’au moins 8 caractères, contenant 3 des 4 catégories de caractères (lettres majuscules, lettres minuscules, chiffres et caractères spéciaux) et s’accompagnent d’une mesure complémentaire comme la temporisation d’accès au compte après plusieurs échecs, (suspension temporaire de l’accès dont la durée augmente à mesure des tentatives), la mise en place d’un mécanisme permettant de se prémunir contre les soumissions automatisées et intensives de tentatives (ex : captcha ) et/ou le blocage du compte après plusieurs tentatives d’authentification infructueuses (au maximum 10) ;
configurer le logiciel de vidéosurveillance et les sessions Windows afin que les mots de passe ne soient plus enregistrés par défaut ;
cesser de diffuser les images issues de la vidéosurveillance dans des locaux accessibles à l’ensemble du personnel administratif de l’école ;
mettre en œuvre une politique de durée de conservation des données à caractère personnel conforme aux dispositions du e) de l’article 5 du Règlement (UE) 2016/679, désormais applicable, et qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées, notamment en ne conservant pas les enregistrements des images du dispositif de vidéosurveillance au-delà d’un mois ;
justifier auprès de la CNIL que l’ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti.
À l’issue de ce délai, si X s’est conformé à la présente mise en demeure, il sera considéré que la présente procédure est close et un courrier lui sera adressé en ce sens.
À l’inverse, si X ne s’est pas conformé à la présente mise en demeure, un rapporteur sera désigné qui pourra demander à la formation restreinte de prononcer l’une des sanctions prévues par l’article 45 de la loi du 6 janvier 1978 modifiée.