Rappel des faits
La société Uniontrad Company est une TPE spécialisée dans la traduction assermentée et libre de documents.
Entre 2013 et 2015, plusieurs salariés ont porté plainte devant la CNIL afin de dénoncer la mise en place d’un dispositif de vidéosurveillance dans les locaux de la société. La CNIL contacta alors l’entreprise afin de lui rappeler les règles encadrant la mise en place d’un tel dispositif et que cela ne doit en aucun cas porter atteinte au respect de la vie privée des employés sur le lieu de travail. La société a par la suite communiqué à la CNIL que ce dispositif était légitimé par un souci de sécurité des biens et des personnes et que leur finalité n’était pas de surveiller les activités du personnel.
Cependant, en 2017, de nouvelles plaintes ont été adressées à la CNIL par les salariés de la société afin de l’avertir sur la présence de caméras les surveillant constamment.
Dès lors, la CNIL procéda à une mission de contrôle dans les locaux de la société le 16 février 2018. La Commission constata la présence de multiples caméras dans les locaux dont une non-accessible au public, filmant les postes de travail ainsi qu’une armoire contenant des documents de travail de l’entreprise.
La première réaction de la CNIL
Soulignant alors qu’aucune information formelle de ce dispositif de vidéosurveillance n’ait été mis en place par l’entreprise, qu’il y avait effectivement une surveillance constante des employés, que la durée de conservation des images excédait celle nécessaire à la finalité indiquée par la société et l’accès aux postes informatiques et à la boîte de messagerie professionnelles n’étaient pas assez sécurisés, la CNIL décida par la suite de mettre en demeure la société le 30 juillet 2018, dans un délai de 2 mois afin de :
Cesser de surveiller constamment les salariés, en déplaçant les caméras par exemple;
Informer toute personne de la mise ne oeuvre d’un système de vidéosurveillance;
Mettre en place des mesures de sécurité suffisantes afin de protéger l’accès aux postes informatiques et pour la traçabilité des accès à la messagerie professionnelle.
Le 10 septembre 2018, la société Uniontrad Company avait indiqué à la CNIL avoir répondu à la mise en demeure en ayant cessé la visualisation constante des salariés et modifié la durée de conservation des images Cependant, elle a confirmé par ailleurs que l’accès aux postes de travail sans mot de passe était justifié “afin que chaque salarié puisse avoir accès aux fichiers des projets des autres salariés en cas d’absence” et que l’information des salariés sur ce dispositif était visible par un panneau affiché à l’entrée des locaux.
La seconde réaction de la CNIL
Suite à la réponse apportée par l’entreprise, la CNIL décida de procéder à une nouvelle mission de contrôle le 10 octobre 2018 car les justificatifs apportés étaient jugés comme étants insuffisants. Toutefois, lors de cette mission, la Commission découvrit non seulement que les salariés étaient toujours filmés de manière constate, qu’aucune information matérialisée à destination des salariés n’avait été effectuée, mais également que la politique de gestion des mots de passe demandée par la CNIL n’avait pas été mise en oeuvre.
Face à l’absence de conformité au RGPD, même après la mise en demeure prononcée par la CNIL, cette dernière prononça une amende administrative de 20 000 euros envers la société, en prenant en compte la taille de l’entreprise, mais également sa situation financière, dont le résultat net était négatif en 2017. La CNIL a également enjoint la société à assurer la traçabilité des accès à la messagerie professionnelle dans un délai de 2 mois, avec une astreinte de 200 euros par jour de retard. Enfin, la CNIL a décidé de rendre publique sa décision.
Une sanction dissuasive malgré un accompagnement vers une conformité au RGPD
La CNIL vient ici une nouvelle fois condamner une société pour non-conformité au RGPD. Cependant, cette sanction se veut avant tout dissuasive non seulement envers la société fautive, mais également envers toute autre société utilisant un dispositif de vidéosurveillance non réglementé.
En sanctionnant une TPE, la CNIL affirme une nouvelle fois son pouvoir de sanction en démontrant que peut importe la taille de l’organisme, tout non-respect aux droits et libertés des personnes concernées doit être réprimé.
Toutefois, la volonté de la CNIL de mettre en demeure au préalable la société exprime ici sa volonté d’accompagner les PME à se mettre en conformité, en leur laissant un délai préalable pour mettre en oeuvre des mesures de sécurité techniques et organisationnelles, et ainsi éviter toute sanction qui pourrait mettre à mal ces entreprises.
Finalement, ce sera le refus prononcé par la société d’effectuer ces mesures qui poussera la CNIL à engager une procédure de sanction.
Source : Site officiel de la CNIL