CNIL, 15 janvier 2014, n° 2014-001
CNIL
Décision
COMPOSITION DE LA JURIDICTION
Présidente :
Mme Falque-Pierrotin
La Présidente de la Commission nationale de l'informatique et des libertés,
Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code pénal, notamment ses articles 121-2 et suivants, 131-13 et suivants, 226-16 et suivants et R. 625-10 et suivants ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 45 ;
Vu la loi n°95-73 du 21 janvier 1995 modifiée d'orientation et de programmation relative à la sécurité, notamment son article 10 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la délibération n° 2013-1757 du 4 juillet 2013 fixant le règlement intérieur de la Commission nationale de l'informatique et des libertés ;
Vu la décision n° 2013-254C du 27 août 2013 de la présidente de la Commission nationale de l'informatique et des libertés de procéder à une mission de contrôle auprès de la société X ;
Vu le procès-verbal de contrôle n° 2013-272 ;
Vu la saisine n °12014234 ;
Constate les faits suivants :
La société par actions simplifiées X (ci-après la "société") exploite un centre commercial de 14 000 m² sous l'enseigne Y à Saint Médard en Jalles. Elle exploite également le drive situé sur la commune de Saint Jean d'Illac, ouvert en novembre 2012.
La société X détient deux autres sous filiales : la société qui gère l'espace culturel et celle qui gère l'agence de voyage de la galerie commerciale.
Elle emploie environ 500 salariés.
Au 31 janvier 2012, la société a réalisé un chiffre d'affaires annuel de plus de 150 millions d'euros pour un résultat net supérieur à 4,5 millions d'euros.
La Commission nationale de l'informatique et des libertés (ci-après "CNIL" ou la "Commission") a été saisie, le 27 avril 2012, d'une plainte dénonçant la mise en œuvre par la société X d'un dispositif d'accès biométrique sans utilisation de support individuel.
Par courrier du 4 juin 2012, la Commission a porté cette plainte à la connaissance de la société et lui a rappelé le cadre légal permettant la mise en œuvre des dispositifs biométriques.
La société lui a indiqué, par courrier du 22 juin 2012, avoir déclaré ce traitement de données à caractère personnel auprès des services de la Commission et a joint à sa lettre la copie du récépissé de déclaration d'engagement de conformité à la norme simplifiée n°42.
En réponse, la Commission a précisé, dans un courrier du 18 septembre 2012, que la mise en œuvre d'un dispositif biométrique n'était pas couverte par la norme simplifiée n°42, laquelle correspond à la mise en œuvre de badges sur les lieux de travail pour la gestion des contrôles d'accès aux locaux, des horaires et de la restauration.
Par un courrier daté du 25 octobre 2012, la société a indiqué une nouvelle fois qu'elle considérait que son dispositif entrait dans le champ d'application de la norme simplifiée n°42.
En réponse, la CNIL lui a de nouveau rappelé par courrier du 19 novembre 2012, qu'il lui incombait de procéder aux formalités préalables adéquates, à savoir, un engagement de conformité à l'autorisation unique n°008 ou une demande d'autorisation.
Dans un courrier du 24 décembre 2012, la société a affirmé être dans l'impossibilité de compléter la demande d'autorisation en ligne.
Le 25 juillet 2013, elle a précisé à la Commission tester un nouveau système avec stockage des empreintes sur une carte magnétique sur le site du Drive de Saint-Jean D'Illac.
En application de la décision n° 2013-254C du 27 août 2013 de la Présidente de la Commission, une délégation de la CNIL a procédé à une mission de contrôle le 12 septembre 2013 auprès de la société X.
La délégation s'est attachée à examiner les différents traitements mis en œuvre au sein de la société.
Concernant le dispositif biométrique
La délégation de la Commission a constaté que différents dispositifs d'accès biométrique sont mis en œuvre par la société, l'un au sein du centre commercial de Saint Médard en Jalles, l'un au sein de l'espace drive situé sur la commune de Saint Jean d'Illac.
La Commission a été informée que le dispositif installé en 2004 au sein du centre commercial, a pour finalité le contrôle d'accès et le contrôle des horaires des salariés, qu'il est composé de 28 lecteurs d'empreintes digitales et que la station d'enrôlement est située au bureau des ressources humaines.
Après avoir posé leur index droit et gauche sur la station d'enrôlement, les empreintes des salariés sont enregistrées directement sur les serveurs du système informatique de l'organisme.
La délégation de la Commission a été informée que ce dispositif biométrique ne repose pas sur l'enregistrement des gabarits des empreintes digitales sur un support individuel, comme par exemple une carte à puce. La société a toutefois précisé à la délégation avoir établi un devis avec son prestataire afin d'installer un dispositif qui impliquerait l'utilisation d'un support individuel.
Il a également été indiqué que l'actuel dispositif permet de contrôler l'accès au parking des salariés, aux réserves et zones sensibles (comprenant le matériel électronique, certains produits de droguerie, parfumerie, hygiène et certains alcools).
Par ailleurs, la délégation a été informée que le dispositif biométrique installé dans l'enceinte du drive de Saint-Jean d'Illac dispose, pour sa part, d'une technique prévoyant l'enregistrement du gabarit des empreintes digitales sur un badge.
Il lui a également été précisé que ce badge contenant les empreintes digitales du salarié permet également le pointage des horaires sur une badgeuse.
Après avoir été informée que les empreintes digitales des salariés ayant quitté l'entreprise sont supprimées deux à trois mois après leurs départs, la délégation a constaté qu'en réalité les empreintes de 15 personnes ayant quitté la société au-delà de ce délai, dont l'une en juin 2009, sont toujours conservées par la société.
Le responsable des lieux a précisé n'avoir pas retrouvé de trace de la communication effectuée auprès des salariés en 2004 les informant de la mise en place du dispositif biométrique.
Concernant le dispositif de vidéosurveillance
La délégation a été informée que le centre commercial était équipé de 138 caméras parmi lesquelles une centaine filme des espaces ouverts au public tels que les lignes de caisse, les rayons de l'hypermarché, la galerie marchande ou le parking réservé à la clientèle.
39 caméras filment des lieux non ouverts au public, certaines d'entre elles permettent notamment de filmer des postes de travail ainsi que l'accès aux salles de pause des employés.
La délégation a été informée qu'aucune formalité déclarative n'a été effectuée auprès de la Commission concernant le dispositif de vidéosurveillance.
Elle a constaté qu'une note de service datée du 22 juillet 2004 a été adressée aux employés pour les informer de la mise en place d'un dispositif de vidéosurveillance au sein du parking qui leur est réservé.
En outre, la délégation a relevé la présence d'une caméra de vidéosurveillance placée dans le local d‘interpellation permettant de capter le son et a constaté qu'aucune information n'est fournie aux personnes quant à l'existence de cet enregistrement visuel et sonore.
Sur la qualification de ces faits au regard de la loi du 6 janvier 1978
Un manquement à l'obligation d'accomplir les formalités préalables à la mise en œuvre du traitement
Concernant le traitement des données biométriques
La société a procédé à un engagement de conformité à la norme simplifiée n°42 relative à la mise en œuvre de badges sur les lieux de travail pour la gestion des contrôles d'accès aux locaux, des horaires et de la restauration pour le dispositif fonctionnant au sein du centre commercial de Saint Médard en Jalle.
Aucune formalité préalable n'a été accomplie pour la mise en œuvre du dispositif biométrique mis en œuvre au drive de Saint Jean d'Illac.
Dans ce contexte, il convient de relever, d'une part, que la norme simplifiée n°42 exclut dans son article 1er le recours à des dispositifs d'identification biométrique, d'autre part, que l'utilisation de tels systèmes doit faire l'objet d'une demande d'autorisation à la CNIL, conformément aux dispositions de l'article 25 I°8 de la loi du 6 janvier 1978 modifiée ou, le cas échéant d'un engagement de conformité à l'autorisation unique n°008 relative à la mise en œuvre de dispositifs biométriques reposant sur la reconnaissance de l'empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée et ayant pour finalité le contrôle de l'accès aux locaux sur les lieux de travail.
Concernant le dispositif de vidéosurveillance
Il ressort des constatations établies que la société n'a pas déclaré ce traitement de données à caractère personnel auprès de la Commission, contrairement aux prescriptions de l'article 22-I de la loi du 6 janvier 1978 modifiée.
L'ensemble de ces faits constituent un manquement aux obligations du chapitre IV de la loi du 6 janvier 1978 modifiée prévoyant l'accomplissement de formalités préalables auprès de la CNIL avant la mise en œuvre d'un traitement automatisé de données à caractère personnel.
Il est rappelé qu'en application des articles 121-2, 131-37, 131-38 et 226-16 du code pénal combinés, le fait pour une personne morale, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de 1 500 000 euros d'amende.
Un manquement à l'obligation de veiller à l'adéquation, à la pertinence et au caractère non excessif des données
Concernant le dispositif d'accès biométrique
Lors de la mission de contrôle, le responsable des lieux a indiqué à la Commission que les finalités de ce traitement de données à caractère personnel sont le contrôle des accès et le contrôle des horaires.
Or, la Commission considère que les dispositifs biométriques ne peuvent être mis en œuvre afin de gérer les horaires et le temps de présence des employés, sauf circonstances exceptionnelles liées à des impératifs de sécurité, ce dont la société n'a pas justifié en l'espèce.
Concernant la vidéosurveillance
Il a été constaté que les caméras installées dans le laboratoire de la boulangerie permettent de visualiser de manière constante les salariés sur leurs postes de travail.
Aux termes du compte rendu de la réunion du Comité d'entreprise du 14 novembre 2012, ce dispositif a été mis en œuvre à la suite d'un incident survenu dans un laboratoire boulangerie (une vis tombée dans le pétrin des baguettes). Il y est notamment indiqué que ce dispositif vise à éviter les interprétations malheureuses et les malentendus.
Or, la Commission considère qu'un dispositif permettant de filmer en continu les postes de travail de certains salariés ne peut être mis en œuvre qu'en présence de circonstances particulières liées à la prévention des atteintes aux biens et aux personnes. Or, la finalité avancée par la société, à savoir éviter les interprétations malheureuses et les malentendus, ne fait pas faire partie des finalités permettant de recourir légitimement à la vidéosurveillance constante des postes de travail des employés.
En outre, il ressort des constatations établies lors des missions de vérification qu'une caméra filme l'accès aux salles de pause des salariés.
Le placement sous vidéosurveillance de cet accès apparait excessif et non pertinent dans la mesure où il permet de surveiller les entrées et sorties de cet espace dédié au temps libre des salariés et ainsi d'exercer, notamment, un contrôle sur leurs horaires.
L'ensemble des faits constatés constituent un manquement à l'article 6-3° de loi Informatique et Liberté selon lequel les données à caractère personnel faisant l'objet d'un traitement doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.
Un manquement à l'obligation de définir une durée de conservation des données
La mission de contrôle a révélé que les empreintes de certains salariés sont conservées plus de trois mois après leur départ de l'entreprise, depuis juin 2009 pour l'une des anciennes employées.
La Commission considère que l'empreinte digitale d'une personne ne peut être conservée que le temps strictement nécessaire pour atteindre la finalité poursuivie par le dispositif.
Celui-ci visant en l'espèce à sécuriser des zones réservées au personnel, il n'apparait pas justifié de conserver les données d'anciens employés qui n'ont plus accès à ces zones.
Ces faits sont de nature à constituer un manquement aux dispositions de l'article 6-5° de la loi n° 78-17 du 6 janvier 1978 qui dispose que les données à caractère personnel sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées .
Il est rappelé qu'en application des articles 121-2, 131-37, 131-38 et 226-20 du code pénal combinés, le fait pour une personne morale, de conserver des données à caractère personnel au-delà de la durée prévue par la loi ou le règlement, par la demande d'autorisation ou d'avis, ou par la déclaration préalable adressée à la Commission nationale de l'informatique et des libertés, est puni de 1 500 000 € d'amende.
Un manquement à l'obligation d'informer les personnes
Concernant le dispositif biométrique
La société n'a pu apporter à la Commission les éléments attestant que les salariés ont été informés de leurs droits afférents à la collecte de leurs empreintes digitales.
Concernant le dispositif de vidéosurveillance
Seule la note d'information du 22 juillet 2004 adressée aux salariés a été communiquée à la Commission. Cette note de service ne fait pas mention des dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée. En tout état de cause, cette information est insuffisante dans la mesure où elle ne concerne que la vidéosurveillance mise en œuvre au sein du parking des salariés et ne fait donc pas état de l'ensemble du dispositif installé au sein des locaux non ouverts au public du centre commercial.
En outre, aucune mesure n'a été entreprise afin d'informer les personnes de la mise en œuvre d'un dispositif, permettant de collecter tant l'image que le son, installé au sein du local d'interpellation.
Les faits précités constituent donc un manquement à l'article 32 de la loi n° 78-17 du 6 janvier 1978 modifiée mettant à la charge du responsable du traitement l'obligation de fournir à la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant des informations sur l'identité du responsable du traitement, la finalité de ce traitement, les destinataires, leurs droits d'accès, de rectification et, le cas échéant, d'opposition aux données les concernant.
Il est également rappelé qu'en application des articles 121-2, 131-13, 131-41 et R. 625-10 du code pénal combinés, le fait pour la personne morale responsable d'un traitement de ne pas informer, dans les conditions prévues à l'article 32 de la loi du 6 janvier 1978 modifiée, la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est puni notamment d'une peine d'amende pouvant atteindre 7 500 euros.
En conséquence, la Présidente met en demeure la société X, sise [...], sous un délai de deux mois à compter de la notification de la présente décision, de :
- sauf à y renoncer, accomplir les formalités préalables adéquates auprès des services de la Commission concernant les dispositifs biométriques mise en œuvre, soit en procédant une demande d'autorisation, soit, le cas échéant, en effectuant un engagement de conformité à l'autorisation unique n°008 ;
- procéder à une déclaration normale auprès de la CNIL concernant la mise en œuvre des dispositifs de vidéosurveillance dans les espaces non ouverts au public ;
- ne plus filmer l'accès aux salles de pause des salariés, ainsi que les postes de travail du laboratoire de la boulangerie, par exemple en réorientant les caméras ou en masquant les zones concernées ;
- sauf à justifier de circonstances exceptionnelles, cesser d'utiliser des dispositifs biométriques pour gérer les horaires et les temps de présence des salariés ;
- ne pas conserver les empreintes digitales des salariés au-delà du temps strictement nécessaire à la finalité du dispositif, notamment en supprimant les données des salariés dès qu'ils ne sont plus habilités à pénétrer dans les zones dont le dispositif contrôle l'accès ;
- informer les salariés, dans les conditions prévues à l'article 32 de la loi du 6 janvier 1978 modifiée, de la mise en œuvre des dispositifs d'accès biométriques et de l'ensemble du dispositif de vidéosurveillance, y compris de la sonorisation du local d'interpellation ;
- justifier auprès de la CNIL que l'ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti.
À l'issue de ce délai, si la société X s'est conformée à la présente mise en demeure, la Présidente de la CNIL considérera que la procédure est close et lui adressera un courrier en ce sens.
À l'inverse, si, au vu de l'ensemble des éléments qui auront été portés à sa connaissance, la Présidente constate que la société X ne s'est pas conformée à la présente mise en demeure, elle désignera un rapporteur qui pourra demander à la formation restreinte de prononcer une sanction à l'encontre de cette société, dans les conditions prévues par l'article 45 de la loi du 6 janvier 1978 modifiée.