La Commission nationale pour l’informatique et les libertés n’aime pas se faire marcher sur les pieds. Voilà en substance le message que tente actuellement de faire passer l’institution, cette dernière ayant annoncé hier qu’elle venait d'adresser plusieurs amendes de 10 000 euros à des entreprises qui avaient (entre autre) manifestement refusé de coopérer, par exemple en ne répondant pas à ses demandes de mise en conformité.
Au total, ce sont quatre sociétés qui ont été épinglées fin 2013 par la CNIL. Trois ont écopé d’une amende de 10 000 euros, tandis qu’une quatrième fut condamnée à payer 3 000 euros. « Dans les quatre cas, explique la gardienne des données personnelles, ces sanctions font suite à des plaintes de salariés de ces sociétés. À la suite de ces plaintes, la CNIL a rappelé aux organismes par divers courriers leurs obligations au titre de la loi "Informatique et Libertés" et n'a obtenu aucune réponse. Des mises en demeure ont alors été adressées aux organismes qui n'ont, soit apporté aucune réponse, soit répondu en dehors du délai imparti ».
La caméra filmait les toilettes en continu
La société AOCT est la première a avoir fait l’objet, le 24 octobre dernier, d’une sévère remontrance de la part de l’autorité administrative (voir la décision). Et pour cause : elle n’a pas réceptionné quatre lettres recommandées expédiées par la CNIL entre fin 2011 et début 2012. Alors que l’entreprise faisait l’autruche, l’institution a cependant fini par se rendre sur place, afin d’effectuer un contrôle. Sauf que le responsable des lieux s’est opposé à toute investigation. La gardienne des données personnelles fut alors contrainte de saisir la justice. Un magistrat a finalement ordonné ce contrôle, en dépit de l’opposition du responsable.
Assistée par les forces de l’ordre, la CNIL a donc pu inspecter en novembre 2012 le dispositif de vidéosurveillance de l’entreprise. Les équipes de la Commission constatent alors que « la caméra litigieuse filmait en continu les toilettes, les vestiaires, un bureau et la réserve du magasin ». Et ce sans avoir effectué les formalités de rigueur (déclaration du système de vidéosurveillance) ni informé correctement les personnes concernées par ce dispositif... Un mois après avoir mis en demeure AOCT de régulariser sa situation, la CNIL n’avait encore eu aucun retour de la société. Même convoquée par l’autorité administrative, la société n’a pas montré le bout de son nez... Ce « refus manifeste de coopération » a donc largement influencé la décision de l’institution, qui lui a infligé une amende de 10 000 euros, tout en choisissant de rendre publique sa délibération.
La CNIL sanctionne le « refus manifeste de coopération »
La seconde sanction concerne la société NCT, dirigée par le même gérant qu’AOCT selon la CNIL. Le circuit est ici le même : plusieurs lettres recommandées non réceptionnées, refus du responsable de laisser l’autorité administrative contrôler ses locaux, inspection finalement décidée par le juge des libertés et de la détention, refus d’effectuer la régularisation dans le délai d’un mois imparti par la Commission suite aux différents manquements constatés... Le litige portait ici sur un dispositif de vidéosurveillance ainsi que sur un appareil de gestion des accès aux locaux, qui fonctionnait d’après des données biométriques.
Encore une fois, aucune déclaration n’avait été faite auprès de la CNIL s’agissant de ces deux dispositifs. Les personnes filmées n’étaient pas non plus informées correctement. De plus, il s’est avéré que le logiciel permettant de visualiser les images capturées était « accessible sans identifiant ni mot de passe au jour du contrôle ». Pour ces trois manquements, de même que pour son « refus manifeste » de coopérer avec l’autorité administrative, NCT a écopé d’une amende de 10 000 euros, assortie de la publication de la décision correspondante (disponible ici).
Trois amendes de 10 000 euros
La troisième affaire concerne la société ASC Groupe, qui avait bien répondu à un courrier de la CNIL après une relance, mais de manière trop partielle selon la gardienne des données personnelles. Le litige portait encore une fois sur un dispositif de vidéosurveillance qui n’était pas déclaré et à propos duquel les informations des personnes concernées se révélaient insuffisantes. En outre, la Commission n’a pas apprécié que l’entreprise refuse de donner suite à sa mise en demeure dans les délais impartis. À nouveau, même sanction : 10 000 euros d’amende et publication de la décision (disponible ici).
Une amende de 3 000 pour la société s'étant partiellement mis en conformité
Dans le quatrième et dernier cas, l’entreprise visée s’était montrée (un peu) moins récalcitrante que les précédentes. Le litige portait sur un dispositif de géolocalisation installé par l’employeur sur des véhicules de fonction. La CNIL avait tout d’abord écrit trois courriers à la société ABERS Protection Incendie, tous restés lettre morte. Après avoir reçu une nouvelle plainte d’un salarié qui affirmait que l’employeur s’était servi de ce système non désactivable (y compris en dehors du temps de travail) pour le sanctionner pour non-respect de ses horaires, la Commission a de nouveau contacté le responsable, qui a cette fois répondu, en indiquant que tout était en règle et qu’il ne s’agissait pas de surveiller les salariés.
Suite à des échanges aux réponses jugées « insuffisantes » par la CNIL, une mise en demeure a été adressée à l’entreprise. Mais cette dernière n’y a répondu que tardivement (plus d’un mois après le délai imparti, lui aussi d’un mois), et de manière incomplète aux yeux de l’autorité administrative. La Commission a alors demandé par courrier et à plusieurs reprises des éléments de réponse supplémentaires, en vain. Après la transmission du rapport d’investigation de la CNIL, l’entreprise s’est néanmoins manifestée. Elle a par ailleurs répondu à une convocation de l’institution, mais cela n’a pas empêché la sanction de tomber.
« La formation restreinte [de la CNIL] considère que la société a persévéré dans son refus de coopération en persistant à ne lui présenter que des réponses incomplètes, ne répondant pas à l’ensemble des éléments demandés, pendant plus de deux ans » peut-on lire ainsi dans la décision. Ayant pris en compte le fait qu’ABERS Protection Incendie s’était mise en conformité sur plusieurs manquements lui ayant été reprochés, la Commission a limité l’amende à 3 000 euros. C’est finalement pour non-respect des obligations relatives à l’information des salariés concernés par le dispositif de géolocalisation que l’entreprise s’est vue sanctionner, de même que pour le « refus manifeste » de coopérer avec l’autorité administrative - ce qui lui vaut la publication de la décision.
L'avertissement de la CNIL aux organismes récalcitrants
En mettant en avant ces quatre sanctions, la CNIL envoie un message clair aux organismes avec lesquels elle discute actuellement, ainsi qu’à ceux avec qui elle pourrait avoir à traiter dans le futur : l’institution ne se laisse pas faire face à un interlocuteur refusant de coopérer ou traînant manifestement des pieds. Elle rappelle au passage que c’est le droit qui exige cette soumission, puisque l’article 21 de la loi « Informatique et Libertés » prévoit que :
« Les ministres, autorités publiques, dirigeants d'entreprises publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s'opposer à l'action de la commission ou de ses membres et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche. »
Néanmoins, pour aucun de ces cas la CNIL n’a sanctionné uniquement le refus de répondre à ses demandes. Il y avait effectivement toujours d’autres manquements pour pousser la gardienne des données personnelles à sortir le bâton. Il ne serait quoi qu’il en soit pas surprenant de voir ce reproche ressortir à l’occasion de la future décision contre Google, la Commission ayant déjà manifesté son agacement à l’égard de l’imprécision des réponses de la firme de Mountain View.
