Options Mon compte Next INpact
Affichage
Modifications sauvegardées
  • Smileys
  • Images
  • Commentaires par actu
  • Commentaires sous les news
  • Désactiver la version mobile
  • Taille de police
Close

Vous consultez la version mobile de ce contenu.

Cliquez ici pour être redirigé vers la version complète, ou attendez 5 secondes. Fermez ce pop-up pour continuer sur la version mobile.

5
secondes
Vidéosurveillance : la CNIL épingle une entreprise qui filmait ses salariés en permanence
Justice Crédits : jtairat/iStock

Vidéosurveillance : la CNIL épingle une entreprise qui filmait ses salariés en permanence

How do you say RGPD... ?
7 min

La CNIL vient d’infliger une amende de 20 000 euros à une agence de traduction qui avait mis en place un système de vidéosurveillance filmant en permanence certains salariés. La société épinglée, Uniontrad, avait pourtant fait l’objet de multiples avertissements de la part de la CNIL.

Des employés placés « sous une surveillance constante » pendant plusieurs années, « sans motif valable et sans qu’aucune mesure ne soit prise », en dépit de multiples avertissements de la gardienne des données personnelles. Voilà ce qui a provoqué le courroux de la CNIL, acté au travers d’une décision rendue publique mardi 18 juin.

La gardienne des données personnelles avait été alertée dès 2013 par certains salariés de l’agence parisienne d’Uniontrad Company. La société, installée sur la prestigieuse avenue des Champs-Élysées, s’en était alors sortie avec de simples courriers – rappelant notamment que les dispositifs de vidéosurveillance ne doivent pas porter une « atteinte excessive » au respect de la vie privée des employés.

À chacun de ces courriers, envoyés en 2013 puis en 2016, Uniontrad a répondu à la CNIL que ses caméras visaient à assurer la sécurité des biens et des personnes, et qu’elles n’étaient en aucun cas utilisées pour surveiller les activités du personnel.

Multiples avertissements et contrôles restés infructeux

Après avoir reçu quatre nouvelles plaintes, en 2017, la CNIL décide d’organiser un contrôle dans les locaux de l’agence.

En février 2018, ses agents constatent ainsi que trois caméras sont effectivement installées, dont une, située dans le bureau des traducteurs, non accessible au public. « Cette caméra filmait six postes de travail et une armoire contenant des documents de travail de l’entreprise », explique l’autorité indépendante.

Grâce à ces yeux électroniques, l’entreprise pouvait notamment « visualiser en continu les postes de travail ». Autre problème : « le dispositif de vidéosurveillance n’a fait l’objet d’aucune information formelle à destination des salariés », déplore la CNIL.

Les agents de la commission remarquent au passage que la gestion des mots de passe est loin d’être idéale... Et pour cause : « les postes informatiques n’étaient pas sécurisés par un mot de passe et les traducteurs accédaient à une messagerie professionnelle partagée avec un mot de passe unique ».

En juillet 2018, la CNIL adresse une mise en demeure à Uniontrad. La société est priée de procéder sous deux mois à différentes améliorations, concernant notamment son dispositif de vidéosurveillance : cesser de filmer des salariés en continu, ne pas conserver d’images au-delà d’un délai de quinze jours, etc.

Par lettre datée du 10 septembre 2018, l’agence de traduction répond à la gardienne des données personnelles que la caméra installée dans le bureau des traducteurs ne permet plus d’observer « que deux salariés », « sans que les postes de travail soient filmés en continu ». L’entreprise annonce également avoir revu sa durée de stockage des images capturées, qui sont dorénavant détruites au bout de quinze jours.

Une caméra qui ne permet plus d'observer que deux salariés, puis un...

Mais l’affaire ne s’en arrête pas là... Au regard de certaines contradictions et de la faiblesse des justificatifs brandis par Uniontrad, la CNIL procède à un second contrôle sur place, en octobre 2018. « Lors de cette mission, la délégation a constaté que la caméra présente dans le bureau des salariés filmait de manière constante des salariés, sans modification depuis le contrôle initial du 16 février 2018 », raconte l’autorité.

Cette dernière a également constaté « qu’aucune information matérialisée à destination des salariés n’avait été effectuée, précisant notamment la finalité du traitement, la durée de conservation, les personnes destinataires des données, l’identité du responsable de traitement et les modalités d’exercice des droits. La délégation a enfin constaté qu’aucune politique de gestion des mots de passe n’avait été mise en œuvre s’agissant de l’accès aux postes informatiques des salariés ou à la messagerie électronique de la société. »

À la suite de cette nouvelle visite, l’agence de traduction a spontanément informé la CNIL, par courrier, qu’elle avait procédé à une « obstruction partielle de la caméra filmant le bureau des traducteurs, avec du ruban adhésif », et qu’elle avait « redirigé la caméra vers l’armoire comportant les documents (bons de commande et traductions assermentées) à protéger. Elle a également indiqué avoir établi une note d’information à destination du personnel relative à l’installation de caméras dans les locaux. La société a affirmé avoir créé des mots de passe sur tous les postes informatiques respectant le nombre et les catégories de caractère recommandés ».

Ces différents pas en direction de la CNIL n’ont toutefois pas convaincu l’institution, qui a donc enclenché une procédure de sanction. En effet, en dépit de l’apposition de ruban adhésif sur la caméra, « au moins un salarié était encore filmé en continu à son poste de travail », explique la commission.

Une surveillance « manifestement disproportionnée et excessive »

Dans sa délibération, adoptée le 13 juin, la commission retient tout d’abord qu’Uniontrad a manqué à son obligation de « veiller à l’adéquation, à la pertinence et au caractère non excessif » des images capturées au sein de son agence parisienne.

« Ce n’est qu’en mars 2019 que la société a procédé au retrait de la caméra litigieuse, une fois la procédure de sanction engagée », regrette la CNIL, « alors que cela lui était demandé depuis le 18 octobre 2013 ». « La société ne peut donc se prévaloir d’avoir mis en place des moyens visant à limiter l’atteinte subie par les salariés, dès lors que la caméra a été retirée très tardivement, plusieurs mois après l’expiration du délai de mise en demeure. »

Alors que l’entreprise plaidait la bonne foi, la commission lui rétorque qu’elle « ne peut (...) se prévaloir d’une quelconque confusion du cadre légal applicable », au vu des échanges qui ont eu lieu avec ses services, « lui enjoignant de cesser de placer ses salariés sous une surveillance constante ».

La CNIL souligne au passage que « la finalité du traitement invoqué – la sécurité des biens s’agissant de la protection des documents confidentiels à traduire – ne requiert pas que les traducteurs assermentés soient filmés en continu » :

« Si la nature des documents peut justifier la mise en place de mesures particulières de protection, il convient d’envisager, préalablement à l’utilisation d’un dispositif de vidéosurveillance conduisant à filmer de manière constante les salariés, des procédés alternatifs tels que la sécurisation des accès sur le lieu de travail. Or de tels procédés alternatifs n’ont pas été envisagés par la société, qui ne fait d’ailleurs pas état de vols ou de dégradations survenus dans ses locaux, susceptibles de justifier la mise en place d’un tel dispositif. »

Une amende ramenée à 20 000 euros

Deuxièmement, la CNIL estime qu’en dépit de la mise en demeure qui lui a été adressée, Uniontrad n’a pas suffisamment informé ses salariés quant au traitement mis en œuvre à leur encontre : durée de conservation des images, finalités du traitement, droit d’introduire une réclamation auprès d’une autorité de contrôle, etc.

Enfin, il s’avère que l’agence a manqué à son obligation d’assurer la sécurité et la confidentialité des données personnelles traitées par ses soins. La CNIL explique que pour pouvoir déterminer l’origine d’un incident de sécurité, « il convient de procéder à la détermination des personnes habilitées à accéder aux données et de tracer les actions effectuées sur le système informatique en vue notamment d’identifier les accès illicites et les risques d’atteinte à l’intégrité des données ».

Or ce n’est que le 10 avril 2019 qu’Uniontrad s’est mise en conformité, « en mettant en place un identifiant personnel et un mot de passe pour chaque salarié pour l’accès aux postes informatiques ainsi qu’à la session Windows du dirigeant ». Pire : Uniontrad n’avait toujours pas pris de mesure destinée à « assurer la traçabilité des accès individuels à la boîte de messagerie professionnelle générique » au moment de la délibération de la CNIL.

La société est ainsi enjointe de remédier sous deux mois à cette situation, sous astreinte de 200 euros par jour de retard. Il lui faudra plus précisément faire en sorte que « seules les personnes habilitées puissent accéder à la boîte de messagerie et que les opérations effectuées soient tracées. À cette fin, les utilisateurs se connectant à la boîte de messagerie devront être préalablement authentifiés avec un compte individuel et les accès à la messagerie générique devront faire l’objet d’une journalisation afin de garantir leur traçabilité. »

Alors que le rapporteur proposait d’infliger une amende de 75 000 euros à Uniontrad, la formation restreinte de la CNIL a finalement opté pour une sanction de 20 000 euros. L’institution explique avoir tenu compte « des mesures que la société a prises au cours de l’instruction de la procédure de sanction pour se mettre en conformité, du fait qu’il s’agit d’une microentreprise et de sa situation financière » (885 000 euros de chiffre d’affaires en 2017).

L’autorité a néanmoins voulu que sa sanction soit « dissuasive », au regard de « la pluralité des manquements en cause ainsi que leur persistance et leur gravité, en particulier s’agissant du caractère disproportionné du dispositif de vidéosurveillance ». Le « comportement réticent » de la société et son « manque de diligence » sont tout particulièrement pointés du doigt par la CNIL, qui a en outre décidé de rendre sa décision publique.

Publiée le 18 juin 2019 à 16:25


Chargement des commentaires