L’Institut des techniques informatiques et commerciales (ITIC) a été mis en demeure par la CNIL pour ses excès en matière de vidéosurveillance. C’est lors d’un contrôle sur place que la commission a pu identifier un florilège de problèmes au travers de ces yeux électroniques.
Cette vidéosurveillance, censée protéger les biens et éviter les débordements d’étudiants, avait été déclarée en mai 2009. Les 700 inscrits chaque année en moyenne étaient bien avertis dans les conditions générales attachées au contrat d’inscription, mais non les 10 à 15 salariés administratifs outre les 60 enseignants. Un panneau était certes placardé au 190 bis boulevard de Charonne, mais non au numéro 133 du même boulevard, là où elle dispose d’autres locaux. En tout, 40 caméras étaient réparties dans ces deux établissements, activées dès détection de mouvement.
La CNIL, après son contrôle sur place, a repéré plusieurs contrariétés aux dispositions encadrant la vidéosurveillance. D’abord un défaut d’information patent puisque « les personnes concernées ne sont pas informées notamment de l’identité du responsable du traitement, des destinataires, de la durée de conservation des images ou des droits des personnes ». S’agissant des salariés, l’information est tout simplement absente.
Ces faits peuvent être en contrariété avec les articles 131-41 et R625-10 du Code pénal combinés, qui sanctionnent ces défaillances d’une peine d’amende pouvant atteindre 7 500 euros.
Pas de videosurveillance sur les lieux de vie, sauf circonstances exceptionnelles
Les caméras filmaient en continu, dès qu’un mouvement était détecté dans toutes les salles de classe et des lieux de vie des étudiants, tels la cafétéria ou les espaces consacrés au déjeuner libre. Or, pour la commission, « si des caméras peuvent filmer les accès de l’établissement (entrées et sorties) et les espaces de circulation, il est exclu de filmer les lieux de vie pendant les heures d’ouverture de l’établissement, sauf circonstances exceptionnelles non démontrées en l’espèce ». La société a bien évoqué des violences entre étudiants, parfois avec les enseignants, mais il n’y a eu aucun élément tangible tel qu’un dépôt de plainte ou un compte rendu d’incident. Selon la CNIL, ce système est donc excessif puisqu’il place les sujets dans le cadre d’une surveillance permanente.
L’une des caméras permettait également de filmer le bureau de la responsable des inscriptions et même « de manière continue le poste de travail d’une salariée ». « Manifestement disproportionné », conclut là encore la CNIL, alors que la loi exige des « données adéquates, pertinentes et non excessives au regard des finalités ».
Un logiciel et un Windows sans mot de passe
Autre constat : « l’accès au logiciel de visionnage ne nécessite aucun mot de passe pour se connecter au compte administrateur du logiciel ». De plus, « la session Windows du poste de travail du directeur ne nécessite pas de mot de passe et n’est jamais déconnectée ». Elle voit cette fois un manquement aux obligations de l’article 34 de la loi de 1978 qui exige des précautions utiles « pour préserver la sécurité des données ». Des faits susceptibles d’être sanctionnés cette fois d’une amende pouvant atteindre 1,5 million d’euros.
Ce n’est pas tout. Les enregistrements les plus anciens remontent au 28 décembre 2017, soit vieux de 49 jours lors du contrôle. Or, dans sa déclaration, l’ITIC avait affiché une durée de conservation de 30 jours. Les données ont donc été stockées pour une durée excessive. Le Code pénal prévoit là aussi une amende maximale de 1,5 million d’euros.
Deux mois pour rectifier le tir
La société a désormais deux mois pour rectifier le tir, sous peine de voir engager une procédure de sanction. Elle devra en particulier cesser de filmer les classes et lieux de vie pendant les heures d’ouvertures de l’école, et de placer sous surveillance constante ses salariés.
Il doit procéder également à l’information des personnes concernées, en application du règlement général sur la protection des données personnelles : identité du responsable du traitement, durée de conservation des données, rappel des droits des personnes et de la manière de les exercer, etc. Des données qu’il faudra apposer également sur les panneaux d’information placés à chacune des entrées.
Sur le terrain informatique, chaque utilisateur aura à disposer d’un compte individuel. Les sessions Windows seront verrouillées au bout d’un certain temps d’inactivité. Les mots de passe devront être « composés d’au minimum 12 caractères, contenant au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial ». Ceux composés d’au moins 8 caractères contiendront 3 des 4 catégories de ces caractères. La commission demande aussi un système pour se protéger des soumissions automatisées et intensives, par exemple avec un système de captcha.
Des images conservées un mois, non au-delà
Enfin, l’ITIC devra « mettre en œuvre une politique de durée de conservation des données à caractère personnel » conforme au RGPD, « qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées, notamment en ne conservant pas les enregistrements des images du dispositif de vidéosurveillance au-delà d’un mois ».
La délibération, rendue publique par la CNIL, est importante car elle scelle le nouvel encadrement de ces caméras de surveillance après la mise en application du règlement général sur la protection des données. La commission a d’ailleurs publié une note qui fait le point sur les règles en vigueur dans les établissements scolaires.
