Une entreprise vient de se faire épingler par la Commission nationale de l’informatique et des libertés en raison de son système de vidéosurveillance. Jugé disproportionné de par son fonctionnement permanent, ce dispositif a conduit l’entreprise à se faire taper sur les doigts par la CNIL. Après trois contrôles, l’autorité administrative a finalement décidé d’infliger une sanction de 10 000 euros à la société fautive.
Le 15 décembre 2010, un salarié de l’entreprise PS Consulting alerte la CNIL sur ses conditions de travail. Huit caméras de surveillance viennent d’être installées, notamment dans les bureaux et salles de réunion, sans que les employés aient été prévenus. L’homme se plaint en outre d’un usage abusif de ce dispositif.
Début 2011, la CNIL se rapproche de la société afin de clarifier la situation. Suite à des échanges de courriers s'étant poursuivis jusqu’en décembre 2011, les responsables de PS Consulting sont alors priés d’apporter des modifications à leur dispositif de vidéosurveillance, afin que celui-ci soit conforme aux dispositions de la loi Informatique et Libertés.
Un premier avertissement en 2012
Pour vérifier que l’entreprise est bien rentrée dans le droit chemin, l'autorité administrative effectue le 2 février 2012 un contrôle dans les locaux de PS Consulting. Problème : différents manquements à la loi de 1978 sont alors constatés puis consignés dans un procès verbal. La CNIL fait alors les gros yeux. Au travers d’une délibération en date du 13 avril 2012, elle ordonne à la société de « mettre en œuvre un dispositif proportionné et ne conduisant pas à une mise sous surveillance constante de ses salariés ». Elle l'enjoint aussi à « procéder à l’information des personnes » sur cette vidéosurveillance. L’institution lui donne alors un délai d’un mois pour se plier à ses exigences.
Deux, puis trois contrôles
Suite à ce premier avertissement, PS Consulting s’engage à effectuer des modifications. Quelques mois plus tard, en octobre 2012, la CNIL effectue alors un second contrôle. L’institution découvre alors que plusieurs engagements pris par la société ne sont pas respectés. Le dirigeant de l’entreprise affirme toutefois à la Commission qu’il va faire supprimer le dispositif de vidéosurveillance par son prestataire.
Deux mois plus tard, en décembre 2012, la CNIL opère un troisième contrôle. Résultat : non seulement les caméras n’ont pas été désinstallées, mais en plus, plusieurs manquements visés par la mise en demeure initiale persistent. L'autorité administrative transmet alors un rapport écrit au responsable de PS Consulting, et convoque l’intéressé dans ses locaux le 21 février 2013. Sauf que l’homme ne s’est pas présenté, et n’a pas non plus adressé d’observations écrites à la gardienne des données personnelles.
Deux ans et demi plus tard, la sanction tombe
Dans une décision rendue le 30 mai 2013 (PDF), la CNIL condamne finalement PS Consulting à une sanction pécuniaire de 10 000 euros. L’institution a d’ailleurs choisi de rendre cette décision publique.
Au final, l’entreprise est tout d’abord punie pour ne pas avoir respecté l’obligation de proportionnalité de son dispositif de vidéosurveillance. « Il n’existe pas de justification à cette mise sous surveillance permanente et constante » retient ainsi la Commission. D’autre part, PS Consulting a manqué à son obligation d’avertir ses salariés et candidats à l’embauche sur l’existence de ce dispositif de vidéosurveillance, ainsi que de leurs droits relatifs à ce traitement, observe la CNIL. Enfin, c’est sur le plan de la sécurisation des images ainsi capturées que la société a été mise à l'index. « La brièveté des mots de passe [la CNIL parle de suites de 5 caractères, ndlr], leur déductibilité, leur simplicité et l’absence de renouvellement font encourir un risque certain aux données traitées » s’élève ainsi l’autorité administrative dans sa décision, regrettant au passage que certains des mots de passe permettant d’accéder aux ordinateurs de l’entreprise ainsi qu'aux données personnelles qu’ils contenaient n’aient été changés depuis 2011.
