La Commission Nationale Informatique et Libertés a rendu deux décisions importantes (le 18 mars 2010), mettant en oeuvre son pouvoir de police pour suspendre, dans l'urgence, un mécanisme de vidéosurveillance de ses salariés par une entrerpise de transport routier et un autre s'appuyant sur un contrôle biométrique pour contrôler l'accès aux locaux d'une société de commercialisation d'habillement militaire.

Les deux affaires doivent être distinguées, la première naissant à la suite de plainte de salariés de l'entreprise, la seconde après que la CNIL a constaté qu'un premier refus de sa part avait été ignoré par la seconde société.

Le contrôle par vidéosurveillance avait été mise en place selon la société condamnée afin de prévenir des dégradations de matériel et assurer la sécurité des personnes.

Or selon la CNIL, la mise en oeuvre du système était sans rapport avec son objectif affiché : des caméras avaient été placés en des lieux sans risques et filmaient en permanence les salariés au travail. Contrairement à ce à quoi il s'était engagé dans un premier temps, l'employeur n'avait pas non plus informé de manière satisfaisant ses salariés quant à la nature de cette surveillance. Le système, loin d'assurer la sécurité de l'entreprise, portait trop atteinte à la vie privée des salariés sans qu'aucune justification satisfaisante puisse être rappotée.

La sanction prononcée correspond à la durée maximale qui peut être prononcée par la section contentieuse de la CNIL, à savoir 3 mois. Au-delà, et si l'entreprise ne s'est toujours pas conformée aux injonctions de la CNIL ou n'a pas introduit un recours en annulation devant le Conseil d'Etat (dans un délai de deux mois), le dossier risquerait de faire l'objet d'un traitement pénal (C. pénal, art. 226-16 et suivants).

Le contrôle biométrique dans une autre société, avait lui été mis en place malgré un refus préalable de la Commission Informatique et Libertés. Le secteur dans lequel opérait l'entreprise en cause peut sembler sensible (l'équipement militaire) mais le domaine exact pour lequel avait été mis en place le système de contrôle d'accès  était bien plus restreint : il ne s'agissait que de l'habillement militaire.

Là encore la sanction est maximale : elle est de trois mois. La section contentieuse de la CNIl, se conformant au premier avis émis, a en effet considéré qu'un tel dispositif, attentatoire aux droits des salariés, n'était absolument pas justifié par des motifs de sécurité. Comme dans la première affaire qui plus est, la société gardait une trace informatique du passage de ses salariés. C'était donc encore une fois un système qui permettait, non seulement de contrôler l'accès à des locaux que la CNIL ne considère pas comme sensibles, mais surtout de contrôler les allers et venues des salariés au sein de l'entreprise.

Dans ces deux affaires, un refus de la part de l'entreprise de se conformer aux décisions de la CNIL pourrait entraîner de lourdes sanctions, en l'occurence en vertu des articles L. 226-16 et suivants du Code pénal 300 000 € d'amende pour l'entrepise et 5 ans d'emprisonnement pour les responsables du système.

Les contrôles opérés et les sanctions prononcées par la CNIL sont encore peu nombreux, mais elle entend sans doute leur donner une valeur exemplaire.

Malo Depincé

Les décisions:

Délibération n°2010-112 du 22 avril 2010 de la formation restreinte décidant l’interruption d’un traitement mis en œuvre par la Société X…

22 Avril 2010 - Thème(s) : Vidéosurveillance

La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte sous la présidence de M. Alex TÜRK ;

Etant aussi présents M. Emmanuel de GIVRY, vice-président délégué, Mme Isabelle FALQUE-PIERROTIN, vice-présidente, Mme Claire DAVAL, M. Sébastien HUYGHE et M. Jean-Marie COTTERET, membres ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié par le décret n° 2007-451 du 25 mars 2007 ;

Vu la délibération n° 2006-147 du 23 mai 2006 fixant le règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu le rapport de M. CARREZ, commissaire rapporteur, remis en mains propres à la société X… le1^er avril 2010 ;

Vu les autres pièces du dossier ;

Après avoir entendu, lors de la réunion du 22 avril 2010 :

Madame Y… ayant pris la parole en dernier.

I-Faits et procédure

A. Faits

La société X… (ci-après « la société ») a pour principale activité le transport de marchandises par camions. Elle compte 200 salariés répartis sur trois sites. Etablie à B. (93), elle dispose d’une agence principale à M. (77) et d’une agence secondaire à C. (01).

1) La saisine de la CNIL en date du 24 juin 2009

La Commission nationale de l’informatique et des libertés (ci-après « la CNIL » ou « la Commission ») a été saisie le 24 juin 2009 d’une plainte d’un salarié de la société, relative à la mise en œuvre en 2006 d’un dispositif de vidéosurveillance sur le lieu de travail (PL n° …). Le plaignant reprochait notamment à la société de n’avoir pas effectué de formalités préalables auprès de la CNIL concernant ce dispositif, de n’avoir pas informé les institutions représentatives du personnel et de n’avoir mis en place aucun support d’information sur la vidéosurveillance.

A la demande du comité d’entreprise de la société, celle-ci a effectivement mis en place un système de vidéosurveillance sur le site de M. L’installation de ce dispositif répondait à des actes de dégradation et de vols commis sur ce site. Le dispositif installé vise le local de repos des salariés (concernés par les dégradations et le vol précités), ainsi que le parking et un bureau de travail. La société n’a procédé à aucune formalité préalable concernant ce dispositif installé en 2006.

Le 4 mai 2009, la direction départementale du travail de Seine-Saint-Denis a demandé à la société de l’informer sur les formalités accomplies auprès de la CNIL concernant le dispositif de vidéosurveillance ainsi que sur la consultation préalable des institutions représentatives du personnel.

Le 22 juin 2009, la société a effectué une déclaration auprès de la CNIL concernant le système de vidéosurveillance mis en œuvre depuis 2006 sur le site de M. (déclaration n° …). La déclaration mentionne une finalité de sécurité du personnel, du parc et du matériel roulant et indique une durée de conservation des données d’un mois.

2) L’instruction de la plainte

Par un courrier du 26 juin 2009, la Commission a interrogé la société sur le dispositif mis en œuvre. Elle a notamment attiré son attention sur l’obligation de limiter le dispositif à une finalité de sécurité des biens ou des personnes, de consulter les institutions représentatives du personnel, d’informer individuellement les salariés concernés, d’assurer la sécurité et la confidentialité des images enregistrées ainsi que de limiter la durée de conservation à une durée maximum d’un mois.

Par un courrier du 1^er juillet 2009, la société a indiqué que la caméra installée dans la salle de repos de ses salariés n’enregistrait pas le son. Elle a précisé que cette caméra avait été installée à la demande du comité d’entreprise.

Elle a par ailleurs confirmé que les caméras installées dans le bureau d’exploitation filmaient les salariés de manière continue et indiqué que le comité d’entreprise en avait été informé lors de l’assemblée des représentants du personnel du 31 octobre 2006. Elle a précisé que des affichettes d’information sur le dispositif de vidéosurveillance étaient apposées dans les lieux concernés.

Le 17 novembre 2009, la Commission a adressé à la société un courrier lui rappelant le caractère a priori disproportionné de la mise sous surveillance d’un employé déterminé ou d’un groupe d’employés, au regard de la finalité de lutte contre des dégradations matérielles. Elle a par ailleurs demandé à la société de préciser les personnes ayant accès aux images.

Par un courrier du 11 décembre 2009, la société a indiqué que les caméras n’enregistreraient à l’avenir des images qu’entre 21h à 7h du matin du lundi au jeudi et du vendredi à 21h jusqu’au lundi à 7h du matin, afin d’assurer la sécurité des salariés « isolés » la nuit et le week-end. Elle a précisé que les images pouvaient être visionnées au niveau du poste de gardiennage de l’agence de M. ainsi que par la direction, au siège de B.

La société a également précisé que la caméra visionnant la salle de repos des salariés ne permettrait plus, prochainement, d’enregistrer des images et que seul le poste de gardiennage de l’agence de M. permettrait de visualiser les images en temps réel. La direction ne pourrait plus y accéder depuis le siège social.

Enfin, elle a indiqué qu’elle remplaçait la mention de ses affichettes d’information sur l’existence du dispositif de vidéosurveillance par la mention préconisée par la CNIL.

3) Les contrôles sur place diligentés par la Commission le 2 mars 2010

En application de la décision n° 2010-036C du 19 février 2010 du président de la Commission, une délégation de la CNIL a procédé à un contrôle sur place auprès de la société le 2 mars 2010, successivement dans les locaux de l’agence principale à M. puis dans les locaux du siège social à B. Ce contrôle avait notamment pour objet de vérifier les conditions de mise en œuvre du système de vidéosurveillance installé en 2006, et la mise en œuvre des engagements pris par la société dans son courrier en date du 11 décembre 2009.

* Les constats effectués à l’agence principale de M.

La délégation a constaté la présence de quatre caméras dans ces lieux. Deux caméras filment le bureau « exploitation », comprenant des postes de travail de salariés, et deux caméras sont installées sur le parking de la société.

La société a indiqué que la finalité du dispositif était de protéger les salariés travaillant la nuit et le week-end, ainsi que de sécuriser l’accès au bureau. Cependant, lors de ce contrôle, la délégation de la CNIL a  constaté que les caméras fonctionnaient en permanence, et non seulement la nuit.

La délégation a également constaté que, telles qu’orientées, les deux caméras situées dans le bureau « exploitation » filmaient l’ensemble des postes de travail des salariés de ce bureau.

Elle a par ailleurs relevé qu’aucune note d’information individuelle n’avait été communiquée aux salariés et que les affichettes consistaient en un simple autocollant comportant le dessin d’une caméra et le mot « vidéo ».

Trois personnes ont accès aux images transmises par le dispositif de vidéosurveillance :

Les images transmises par les caméras du bureau « exploitation » peuvent en effet être visualisées à distance en temps réel, depuis le réseau local de la société. L’accès, qui nécessite simplement la saisie de l’adresse IP de la caméra dans le navigateur internet, n’est pas limité par la saisie d’un identifiant et d’un mot de passe.

La délégation, qui a accédé à la console du poste de gardiennage, a constaté que la société conservait des enregistrements vidéo datant du 25 décembre 2009, soit de plus de deux mois. La société a en revanche précisé que depuis le début de l’année, les images des caméras du bureau « exploitation » n’étaient plus enregistrées sur le serveur situé à B.

Au terme du contrôle, la directrice technique de la société s’est engagée à modifier les paramètres de son dispositif de vidéosurveillance de manière à masquer les zones correspondant aux postes de travail des salariés du bureau « exploitation ».

* Les constats effectués au siège social de B.

La délégation a constaté dans ces lieux la présence d’un poste informatique dédié à la vidéosurveillance dans le bureau du président de la société. Un logiciel installé sur ce poste informatique permet de gérer le dispositif de vidéosurveillance et d’accéder aux images. Aucune authentification n’est nécessaire pour accéder au système d’exploitation et au logiciel de gestion de la vidéosurveillance.

La délégation a également constaté qu’au moment du contrôle, la fonction « enregistrement » des deux caméras installées dans le bureau « exploitation » de M. était désactivée et qu’aucun enregistrement d’images captées par ces deux caméras n’apparaissait sur le serveur de B.

Toutefois, après avoir exécuté un logiciel de récupération de données à partir d’une clé USB, sans installation sur le poste informatique dédié à la vidéosurveillance, la délégation a constaté que des fichiers émanant des caméras précitées avaient été effacés. En particulier, elle a constaté l’effacement d’un enregistrement vidéo datant du jour même à 10h25, soit 25 minutes après le début du contrôle sur le site de M.

La délégation a ainsi non seulement pu constater que les enregistrements d’images n’avaient pas cessé au début de l’année, mais aussi que la société avait effacé des enregistrements en cours de contrôle.

4) Les éléments communiqués par la société à la suite du contrôle

A la suite du contrôle, par un courrier du 12 mars 2010, la société a indiqué à la Commission avoir mis en place, sur le poste informatique dédié à la vidéosurveillance dans le bureau de son président, à B, des carrés noirs masquant l’image des salariés à leurs postes de travail. Elle a communiqué des images prises depuis les deux caméras installées dans le bureau « exploitation », comportant de tels carrés, et indiqué qu’elle reprenait l’enregistrement des images captées par ces deux caméras.

Elle a précisé que la console du poste de gardiennage de M. ne permettait pas d’insérer de tels masques et qu’elle avait donc débranché les caméras de la console, dans l’attente du remplacement de la console.

B. Procédure      

A la suite de ce contrôle, il a été décidé d’engager une procédure sur le fondement du 1° du II de l’article 45 de la loi du 6 janvier 1978 modifiée.

A cette fin, le rapport de M. Jean-François CARREZ, rapporteur, proposant à la formation restreinte de la CNIL de prononcer une mesure d’interruption du traitement de vidéosurveillance mis en œuvre, a été remis en mains propres à la société le 1^er avril 2010.

Le 1° du II de l’article 45 de la loi du 6 janvier 1978 modifiée dispose :

« En cas d’urgence, lorsque la mise en œuvre d’un traitement ou l’exploitation des données traitées entraîne une violation des droits et libertés mentionnés à l’article 1^er, la Commission peut, après une procédure contradictoire :

1° Décider l’interruption de la mise en œuvre du traitement, pour une durée maximale de trois mois, si le traitement n’est pas au nombre de ceux qui sont mentionnés au I de l’article 26 ou de ceux mentionnés à l’article 27 mis en œuvre par l’Etat ».

La société X… étant une société de droit privé, les exceptions précitées ne lui sont pas applicables. La Commission est dès lors fondée à envisager de lui appliquer la mesure d’interruption prévue à l’article ci-dessus.

Au soutien de sa demande et au vu des constats précités, le rapporteur a fait valoir l’urgence qui caractérise la situation, en rappelant que, s’agissant de la défense de libertés individuelles, il n’est pas besoin de constater péril imminent ou dommages irréparables et irréversibles pour juger de l’application de cette notion.

En outre, le rapporteur a relevé les éléments suivants pour caractériser les manquements à la loi du 6 janvier 1978 modifiée :

Lors de la séance de la formation restreinte de la CNIL du 22 avril 2010, Mme Y…, directrice technique de la société, a également présenté ses observations orales. Sans contester la matérialité des faits, Mme Y… a de nouveau exposé à la Commission les conditions dans lesquelles le dispositif de vidéosurveillance a été installé dans les locaux de la société, et notamment le fait que cette décision d’installation a été prise de manière concomitante avec celle de la présence constante d’un salarié la nuit sur le site. Elle insiste sur les besoins particuliers de sa société en matière de sécurité, du fait des caractéristiques sociologiques des salariés opérant dans le secteur du transport routier.

Reconnaissant la suppression des données lors du contrôle effectué par la délégation de la CNIL, elle rappelle encore une fois que ces faits ne relève que d’une initiative individuelle d’un salarié, depuis lors sanctionné.

Enfin, Mme Y… indique que la société souhaite se mettre en conformité, et qu’à ce titre il serait possible de repositionner les caméras pour se conformer aux préconisations de la Commission. Elle estime en revanche qu’elle ne saurait envisager de supprimer le dispositif de vidéosurveillance, sans lequel elle se retrouverait démunie pour protéger ses salariés.

II- Motifs de la décision 

Sur l’urgence à interrompre la mise en œuvre du traitement de vidéosurveillance

Sans qu’il y ait nécessairement péril imminent ou dommages irréparables et irréversibles, l'urgence est caractérisée dès lors qu’une circonstance est susceptible d’entraîner, s’il n’y est porté remède à bref délai, un préjudice grave et immédiat aux droits et libertés mentionnés à l’article 1^er de la loi du 6 janvier 1978 modifiée. Une telle situation d’urgence s’apprécie au regard des intérêts qui sont en cause, de la gravité de leur atteinte ainsi que du nombre de personnes concernées.

Relevant la gravité des manquements constatés lors de la mission de contrôle, et notamment la mise en œuvre persistante par la société X… d’un dispositif ne répondant pas aux engagements pris par elle dans le courrier adressé à la Commission le 11 décembre 2009, lequel était encore en place au jour de l’audience, la Commission considère que la condition d’urgence requise par le 1° du I de l’article 45 est qualifiée dans les faits, et qu’il lui appartient dès lors d’agir sans délai pour la conservation d’un droit ou la sauvegarde des libertés consacrées par la loi « informatique et libertés ».

Sur la violation des droits et libertés mentionnés à l’article 1^er de la loi du 6 janvier 1978 modifiée

Aux termes de l’article 1^er de la loi n° 78-17 du 6 janvier 1978 modifiée, « l’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

Or, il apparaît que les manquements constatés constituent une atteinte aux droits et libertés précités, s’agissant en particulier du droit au respect de la vie privée.

La Commission relève en premier lieu les faits suivants, tels qu’ils ont été constatés lors du contrôle :

En deuxième lieu, la Commission constate que la mise en place de caches sur les deux caméras du bureau « exploitation » ne fait pas obstacle à l’identification permanente des déplacements des salariés. En effet, ces caches aux dimensions extrêmement réduites ont été placés sur les zones correspondant strictement aux postes informatiques occupés par les salariés. Dans l’hypothèse prévisible où les salariés concernés ne resteraient pas dans la zone strictement délimitée par ces carrés noirs, ils se trouveraient de nouveau placés sous surveillance. Ainsi, le simple fait pour un salarié de s’écarter - ne serait-ce que très légèrement - de son poste informatique conduirait en effet ce dernier à se trouver dans le champ des caméras. Dès lors, la mise en place de ces caches n’apparaît pas de nature à faire cesser la surveillance constante des salariés visés et permet au contraire à l’employeur de détecter les mouvements des salariés s’écartant de leurs postes de travail.

Il ressort donc du plan d’implantation et de l’orientation des caméras, de la taille des caches et du fait que le système se déclenche lorsqu’un mouvement est détecté, permettant ainsi de connaître le moment précis auquel un salarié s’absente de son poste de travail et y revient, que le dispositif de vidéosurveillance ainsi mis en œuvre permet de placer les salariés sous la surveillance constante de leur employeur.

La Commission considère dès lors que ces faits sont constitutifs d’un manquement aux dispositions du 2° de l’article 6 de la loi n° 78-17 du 6 janvier 1978 modifiée, aux termes desquelles des données à caractère personnel ne peuvent être traitées qu’à la condition qu’elles soient collectées pour des finalités déterminées, explicites et légitimes et ne doivent pas être traitées ultérieurement de manière incompatible avec ces finalités.

La Commission relève en troisième lieu que le contrôle diligenté dans les locaux de la société a permis d’établir que, contrairement à l’engagement pris par la société dans son courrier le 11 décembre 2009, celle-ci n’a pas mis en place d’affichettes d’information conformes aux recommandations de la CNIL, la simple apposition d’un autocollant comportant le dessin d’une caméra et le mot « vidéo » étant notoirement insuffisante à cet égard. La Commission relève également qu’aucune mesure individuelle d’information n’a été effectuée en direction des salariés de la société qui ne sont, de ce fait, pas informés de leurs droits.

La Commission considère dès lors que la société n’a pas respecté son obligation d’information des salariés sur l’existence et les caractéristiques du traitement de vidéosurveillance qu’elle met en œuvre, telle qu’elle résulte de l’article 32 de la loi du 6 janvier 1978 modifiée.

La Commission relève en quatrième lieu que le contrôle a permis de constater que la console du poste de gardiennage permettait d’accéder à des enregistrements vidéo datant du 25 décembre 2009, c'est-à-dire conservés depuis plus de deux mois au jour du contrôle sur place. Une telle durée de conservation, outre qu’elle apparaît a priori excessive au regard de la finalité du traitement, constitue une violation des engagements pris dans le cadre de la déclaration effectuée auprès de la CNIL le 22 juin 2009 (déclaration n° …), qui vise une durée de conservation d’un mois.

La Commission considère dès lors que la société n’a pas respecté les obligations qui lui incombent en application de l’article 6-5° de la loi du 6 janvier 1978 modifiée, qui dispose « qu’un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : (…) Elles sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ».

La Commission relève en cinquième lieu que le contrôle précité a permis d’établir que les images captées et enregistrées au moyen du dispositif de vidéosurveillance sont insuffisamment protégées contre des accès par des tiers non autorisés.

En particulier, la société n’a apporté aucune garantie s’agissant de la sécurisation des postes informatiques permettant l’accès aux images. Un accès à distance est notamment possible sur le réseau local de la société, par la saisie de l’adresse IP des caméras de vidéosurveillance.

La Commission considère dès lors que la société n’a pas respecté les obligations de sécurité du traitement qui découlent de l’article 34 de la loi du 6 janvier 1978 modifiée, qui dispose que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

Si la Commission n’a aucune opposition de principe à l’encontre de dispositifs de vidéosurveillance ayant pour vocation de protéger les personnes et les biens, elle ne saurait en revanche tolérer le maintien d’un dispositif portant atteinte aux droits et libertés protégés par la loi. Or elle ne dispose à ce jour d’aucun élément tangible qui serait susceptible de la faire conclure à la cessation des manquements constatés lors du contrôle effectué dans cette affaire.

PAR CES MOTIFS

Conformément au 1° du II de l’article 45 de la loi du 6 janvier 1978 modifiée, la formation restreinte de la CNIL, après en avoir délibéré, décide :

La société X… dispose d’un délai de deux mois pour exercer un recours devant le Conseil d’Etat à l’encontre de la présente délibération.

Le Président Alex TÜRK

Délibération n°2010-072 du 18 mars 2010 de la formation restreinte décidant l’interruption d’un traitement mis en œuvre par la Société M.

18 Mars 2010 - Thème(s) : Biométrie

La Commission nationale de l’informatique et des libertés, réunie en formation restreinte, sous la présidence de M. Alex TÜRK ;

Etant aussi présents M. Emmanuel de GIVRY, vice-président délégué, Mme Isabelle FALQUE-PIERROTIN, vice-présidente, Mme Claire DAVAL, M. Sébastien HUYGHE et M. Jean-Marie COTTERET, membres ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié par le décret n° 2007-451 du 25 mars 2007 ;

Vu la délibération n° 2006-147 du 23 mai 2006 fixant le règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu la délibération n° du 25 avril 2007 de la Commission nationale de l’informatique et des libertés refusant la mise en œuvre par la société C. d’un traitement automatisé de données à caractère personnel reposant sur la reconnaissance des empreintes digitales et ayant pour finalité le contrôle de l’accès aux locaux ;

Vu le rapport de M. MASSOT, commissaire rapporteur, notifié à la société par huissier le 2 mars 2010 ;

Vu les autres pièces du dossier ;

Après avoir entendu, lors de la réunion du 18 mars 2010 :
M. MASSOT, commissaire, en son rapport ;

Mme ROLIN, commissaire du Gouvernement, en ses observations ;

Madame D. , gérante, et Monsieur O. , responsable administratif et financier de la société M. ,

Madame D. et Monsieur O. ayant pris la parole en dernier.

I. Faits et procédure

A. Faits

La société M. (ci-après « la société ») a pour activité le commerce de gros d'habillement et de chaussures destinés au secteur militaire, sous l’enseigne... La société, qui a changé de dénomination sociale le 13 août 2009, exerçait auparavant ses activités sous la dénomination C. La délibération de la CNIL du 25 avril 2007 refusant d’autoriser à la société C. à mettre en œuvre des dispositifs biométriques reposant sur l’empreinte digitale a société C. a déposé le 19 juillet 2006 une demande d’autorisation auprès de la Commission nationale de l'informatique et des libertés (ci-après, « la CNIL » ou « la Commission »), préalablement à la mise en œuvre d’un dispositif biométrique reposant sur l’empreinte digitale (dossier n° .). La demande visait tant le dispositif d’accès aux bureaux que le dispositif d’accès à la salle informatique contenant les serveurs.

La Commission a examiné ce dossier lors de sa séance plénière du 25 avril 2007 en faisant application des critères régulièrement établis pour se prononcer sur les demandes d’autorisation de mise en œuvre de dispositifs biométriques reposant sur l’empreinte digitale avec stockage dans une base de données.

A cet égard, la doctrine de la Commission, qui prend en considération les risques liés à cette technologie au regard des droits et libertés consacrés par la loi du 6 janvier 1978 modifiée, considère le recours à de tels dispositifs comme justifiés uniquement s’ils sont fondés sur un fort impératif de sécurité.

En l’espèce, constatant l’absence de circonstances particulières attestant de la réalité d’un tel impératif, la formation plénière de la Commission a refusé d’accorder l’autorisation requise par la société C. pour mettre en œuvre le dispositif biométrique concerné. Cette délibération de refus a été notifiée à la société par lettre recommandée avec accusé de réception, reçue le 18 mai 2007.

Le contrôle sur place diligentée par la Commission le 28 février 2010

En application de la décision n° du 19 février 2010 du président de la Commission, une délégation de la CNIL a procédé à un contrôle sur place auprès de la société M. le 25 février 2010.
Ce contrôle avait notamment pour objet de vérifier si la société M. s’était conformée au refus d’autorisation prononcée par la CNIL le 25 avril 2007.

Lors de ce contrôle, les services de la Commission ont constaté que la société a mis en œuvre trois dispositifs biométriques : le premier au niveau de la porte d’entrée de la société, le deuxième au niveau de la porte d’accès aux bureaux, et le troisième à la porte de la salle informatique.
En premier lieu, les services de la Commission ont relevé que le premier de ces dispositifs biométriques, installé à la porte d’entrée du hall de l’entreprise, reposait sur la technologie du contour de la main. Ce dispositif était conforme aux dispositions de l’autorisation unique AU-07 adoptée par la Commission le 27 avril 2006. La société a par ailleurs régulièrement fait l’objet d’un engagement de conformité à cette autorisation unique, selon les procédures en vigueur (déclaration n° . en date du 18 mars 2008).

En revanche, les services de la Commission ont constaté que tant le dispositif en place au niveau de la porte intérieure d’accès aux locaux administratifs que le dispositif en place au niveau de la porte d’accès à la salle des serveurs reposaient, l’un comme l’autre, sur le stockage en base centrale des empreintes digitales des salariés concernés. Ces constatations ont permis d’établir que la société M. n’avait pas tenu compte du refus d’autorisation émis par la Commission le 25 avril 2007, soit plus de trois ans après la notification de celle-ci.
Lors de sa présence dans les lieux, la délégation de la Commission a également constaté la société n’avait pas fourni aux salariés concernés d’information sur les droits qui leur sont garantis par la loi « Informatique et Libertés ».

Elle a également constaté qu’aucune durée de conservation n’avait été définie pour les données de passage, contrairement aux gabarits biométriques et aux données d’identification, dont il est prévu qu’elles soient conservées jusqu’au départ du salarié.

B. Procédure

A la suite de ce contrôle, il a été décidé d’engager une procédure sur le fondement du 1° du II de l’article 45 de la loi du 6 janvier 1978 modifiée.

A cette fin, le rapport de M. Jean MASSOT, rapporteur, proposant à la formation restreinte de la CNIL de prononcer une mesure d’interruption du traitement de gestion du contrôle de l’accès aux locaux reposant sur l’empreinte digitale mis en œuvre par la société M. , a été notifiée par huissier à la société le 2 mars 2010.

Le 1° du II de l’article 45 de la loi du 6 janvier 1978 modifiée dispose :
« En cas d’urgence, lorsque la mise en œuvre d’un traitement ou l’exploitation des données traitées entraîne une violation des droits et libertés mentionnés à l’article 1er, la Commission peut, après une procédure contradictoire :

1° Décider l’interruption de la mise en œuvre du traitement, pour une durée maximale de trois mois, si le traitement n’est pas au nombre de ceux qui sont mentionnés au I de l’article 26 ou de ceux mentionnés à l’article 27 mis en œuvre par l’Etat ».
La société M. étant une société de droit privé, les exceptions précitées ne lui sont pas applicables. La Commission est dès lors fondée à envisager de lui appliquer la mesure d’interruption prévue à l’article ci-dessus.

Au soutien de sa demande et au vu des constats précités, le rapporteur a fait valoir l’urgence qui caractérise la situation, en rappelant que, s’agissant de la défense de libertés individuelles, il n’est pas besoin de constater péril imminent ou dommages irréparables et irréversibles pour juger de l’application de cette notion.

En outre, le rapporteur a relevé les éléments suivants pour caractériser les manquements à la loi du 6 janvier 1978 modifiée :

En premier lieu, la mise en place indue d’un traitement que la société M. savait illégal depuis la notification du refus, le 18 mai 2007. Pour qualifier la gravité de ce manquement, le rapporteur rappelle que le régime de demande d’autorisation s’applique aux traitements les plus sensibles en termes de risque d’atteinte aux droits et libertés protégés par la loi du 6 janvier 1978 modifiée. En outrepassant la décision de la CNIL, la société a ainsi laissé fonctionner un traitement de nature à porter gravement atteinte à la vie privée, et ce jusqu’au jour de son constat sur place par la Commission. De tels faits sont de nature à contrevenir aux dispositions de l’article 25 de la loi du 6 janvier 1978 modifiée, ainsi qu’à celles de l’article 226-16 du Code pénal, qui prévoit que « le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300 000 € d'amende ».

En second lieu, le défaut d’information des salariés concernés sur l’existence et les caractéristiques du traitement, alors que la société précisait dans sa demande d’autorisation qu’elle procèderait à leur information par une note d’information (dossier n° ). La délégation de la CNIL a au contraire constaté que les salariés n’avaient reçu aucune information sur les caractéristiques de ce traitement, et en particulier sur les droits qu’ils détiennent en application de la loi « informatique et libertés ». De tels faits sont de nature à contrevenir aux dispositions du I de l’article 32 de la loi du 6 janvier 1978 modifiée, et notamment son 6°, qui prévoit que « la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable, par le responsable du traitement ou son représentant (…) des droits qu’elle tient des dispositions de la section 2 du présent chapitre », y compris l’identité de la personne auprès de laquelle exercer leurs droits ;

En troisième lieu, l’absence de limitation des données de passage stockées par le dispositif, alors que la société précisait dans sa demande d’autorisation qu’elle procèderait à leur effacement dans un délai de deux mois à compter de leur enregistrement. La délégation de la CNIL a au contraire constaté que la société disposait de données de passage datant de juin 2006 à mars 2008, et que la seule raison pour laquelle cet enregistrement ne s’est pas poursuivi au-delà de mars 2008 tient à la capacité de stockage du traitement qui, une fois atteinte, n’a pas permis d’enregistrer de nouvelles données. Le rapporteur relève sur ce point que la conservation illimitée des données de passage enregistrées constitue une atteinte grave à la vie privée des personnes concernées, et que de tels faits sont de nature à contrevenir aux dispositions de l’article 6 de la loi du 6 janvier 1978 modifiée, et notamment son 5°, qui prévoit que « un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : (...) 5° elles sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ».
Par une télécopie en date du 17 mars 2010, la société M. a adressé à la Commission ses observations sur le rapport.

Cette télécopie fournit en premier lieu un historique de la société et de ses changements d’actionnariat, la chronologie de ces modifications sociales justifiant, selon elle, que la nouvelle équipe de direction de la société ne pouvait être informée du refus de la Commission en date du 18 mai 2007.

Elle souligne également la nature spécifique de ses activités. De fait, selon Mme D., les activités de la société sont « sous douane ». C’est en raison de ce statut spécifique, qui s’attache à la nature de la marchandise commercialisée par la société M. , que celle-ci a mis en place le dispositif biométrique mis en cause. L’installation de ce dispositif aurait résulté des exigences de l’administration des Douanes et des assureurs de la société.
Par ailleurs, le courrier de la société M. fournit un récapitulatif des actions entreprises depuis la mission de contrôle diligentée par la Commission dans ses locaux, notamment :
la rédaction d’une note d’information ayant vocation à être communiquée aux personnes concernées pour les informer des droits qu’ils détiennent en application de la loi « informatique et libertés »,

un devis visant à remplacer les systèmes reposant sur l’empreinte digitale des bureaux et du serveur,
une copie de l’effacement des données de passage.

Ces actions tendent, selon la société M., à démontrer sa bonne foi et le souci de régulariser sa situation auprès de la Commission.

Lors de la séance de la formation restreinte de la CNIL du 18 mars 2010, Mme D. , gérante, et M. O., responsable administratif et financier, ont également présenté leurs observations orales.

Sans nullement contester la matérialité des faits, les représentants de la société ont de nouveau exposé à la Commission les mesures prises en vue de régulariser leur situation. Il est apparu lors des débats que le dispositif mis en cause était à ce jour encore opérationnel.

Motifs de la décision

Sur l’urgence à interrompre la mise en œuvre du traitement de gestion du contrôle de l’accès aux locaux, reposant sur l’empreinte digitale

Sans qu’il y ait nécessairement péril imminent ou dommages irréparables et irréversibles, l'urgence est caractérisée dès lors qu’une circonstance est susceptible d’entraîner, s’il n’y est porté remède à bref délai, un préjudice grave et immédiat aux droits et libertés mentionnés à l’article 1er de la loi du 6 janvier 1978 modifiée. Une telle situation d’urgence s’apprécie au regard des intérêts qui sont en cause, de la gravité de leur atteinte ainsi que du nombre de personnes concernées.

Relevant la gravité des manquements constatés lors de la mission de contrôle, et notamment la mise en œuvre persistante par la société M. d’un dispositif biométrique ayant fait l’objet d’un refus d’autorisation, lequel était encore en place au jour de l’audience, la Commission considère dès lors que la condition d’urgence requise par le 1° du I de l’article 45 est qualifiée dans les faits, et qu’il lui appartient dès lors d’agir sans délai pour la conservation d’un droit ou la sauvegarde des libertés consacrées par la loi « informatique et libertés ».
Sur la violation des droits et libertés mentionnés à l’article 1er de la loi du 6 janvier 1978 modifiée

La Commission rappelle que la délégation de la CNIL a, lors du contrôle du 25 février 2010, constaté que la société mettait en œuvre un traitement de gestion du contrôle de l’accès aux locaux reposant sur l’empreinte digitale, et ce malgré sa décision explicite de refus en date du 25 avril 2007.

Elle retient que la société a ainsi indûment mis en place un traitement qu’elle savait illégal depuis la notification du refus, le 18 mai 2007, étant rappelé que le régime de demande d’autorisation s’applique aux traitements les plus sensibles en termes de risque d’atteinte aux droits et libertés protégés par la loi du 6 janvier 1978 modifiée. En outrepassant la décision de la Commission, la société a ainsi laissé fonctionner un traitement de nature à porter gravement atteinte à la vie privée des personnes concernées, et ce jusqu’au jour de son constat sur place par la Commission.

En outre, elle constate que les deux dispositifs biométriques mis en cause visent à contrôler l’accès des personnes d’une part à un local informatique, et d’autre part la porte d’accès aux bureaux. La Commission s’interroge dès lors sur la pertinence de l’argument selon lequel l’installation de ces lecteurs biométriques aurait résulté des exigences de l’administration des Douanes et des assureurs de la société, dans la mesure où ces dispositifs ne viseraient dès lors pas à protéger des marchandises. En tout état de cause, il ne peut être pris appui sur ces exigences pour justifier de la mise en place d’un dispositif illégal, quand des dispositifs alternatifs, compatibles avec la doctrine de la Commission, auraient aussi bien permis de satisfaire à de telles obligations réglementaires et contractuelles.
Par ailleurs, la société indique qu’elle a pris des mesures de nature à se conformer aux décisions et constats de la Commission depuis son contrôle.

Sur ce point, en premier lieu, la Commission prend acte du fait que la société M. a rédigé une note d’information à destination de son personnel. Si la Commission considère ce premier élément comme satisfaisant, elle note toutefois qu’il ne ressort pas des écritures de la société que cette information a été effectivement communiquée aux personnes concernées.
En second lieu, la Commission prend également acte du fait que la société M. a effacé les données de passage du système de stockage. Si cet élément doit également être tenu pour satisfaisant, la Commission note toutefois que cette mesure ponctuelle et transitoire ne saurait équivaloir à la mise d’une politique de purge, assortie des procédures et moyens techniques correspondants, qui seraient seuls de nature à la mettre en mesure de satisfaire à ses obligations au regard de la loi du 6 janvier 1978 modifiée.

Dès lors, la Commission se doit de relever que, pour l’heure, elle ne dispose d’aucun élément concret susceptible de la faire conclure à la cessation des manquements constatés, et dès lors à modifier son appréciation sur les faits l’ayant conduit à faire examiner ce dossier par la formation restreinte.

C’est pourquoi, eu égard à la gravité des manquements constatés, au surplus réitérés lors de l’audience, la Commission ne saurait trouver aucune justification au maintien de cette situation, s’agissant en particulier de la mise en œuvre persistante d’un traitement ayant fait l’objet d’un refus d’autorisation de sa part.

PAR CES MOTIFS

Conformément au 1° du II de l’article 45 de la loi du 6 janvier 1978 modifiée, la formation restreinte de la CNIL, après en avoir délibéré, décide :

D’ordonner l’interruption du traitement déclaré à la Commission sous le numéro. pour une durée de trois mois à compter de la notification de la présente décision, délai durant lequel il lui appartiendra de se mettre en conformité avec les dispositions de la loi du 6 janvier 1978 modifiée.
La société M. dispose d’un délai de deux mois pour exercer un recours devant le Conseil d’Etat à l’encontre de la présente délibération.

Le Président Alex TÜRK