Analyse de la sanction de la CNIL du 13 juin 2019 à l’encontre de la réticente société UNIONTRAD COMPANY.

Sanction de la CNIL à l’encontre de la société UNIONTRAD COMPANY

Cette sanction est un peu troublante et toujours très riche d’enseignements.
Troublante car l’organisme sanctionné n’a vraiment pas joué le jeu voire a joué avec le feu.

Que s’est-il passé au départ?

Entre 2013 et 2015, la CNIL a été saisie de 4 plaintes concernant la mise en place d’un dispositif de vidéosurveillance dans les locaux de la société.

· En 2013 et 2016, la CNIL a donc écrit à l’organisme pour lui dire comment utiliser la vidéosurveillance en respectant les règles de protection des données et lui demander un retour.
· L’organisme a pensé rassurer la CNIL en lui disant que c’était pour des motifs de sécurité des biens et des personnes, pas du tout pour surveiller les salariés.
· Cette réponse n’a pas clos l’affaire d’autant qu’en 2017, la CNIL a reçu 4 nouvelles plaintes soulignant la présence de caméras dans l’espace de travail des salariés, les plaçant sous surveillance constante.

Ca commençait à faire beaucoup.

Du coup, petit contrôle sur place en février 2018.

Là, la CNIL a constaté que :

· 6 salariés étaient filmés en permanence,
· qu’ils n’avaient pas fait l’objet d’information,
· que les images des video étaient gardées trop longtemps
· que leur accès n’était pas sécurisé
· que tout le monde avait le même identifiant et mot de passe pour accéder au système d’information
· que les accès n’étaient pas révoqués en cas de départ définitif d’un salarié.
· qu’aucune traçabilité des accès à la messagerie était en place.

Résultat : juillet 2018 –> mise en demeure sous 2 mois

Pourquoi l’organisme a ensuite a joué avec le feu?

· Parce qu’il a menti dans son courrier de septembre 2018 en disant avoir réglé certains problèmes (modifié l’orientation des caméras, informé les personnes du dispositif etc)

· Parce qu’il a rejeté certaines injonctions de la CNIL (dont la sécurité des données et l’ information des personnes) : pas besoin de mails personnels, une boite générique est ce qu’il y a de mieux pour les clients (donc un identifiant et un seul mot de passe), le panneau d’affichage porte assez d’information actuellement pour que les salariés comprennent qu’ils sont filmés etc

La CNIL est retourné voir ce qu’il se passait en octobre 2018 !

Suite à ce courrier, la CNIL n’était pas tout à fait satisfaite. Elle est retournée voir par elle-même et là, elle a découvert qu’il n’y avait pas eu de progrès (ce n’est pas ce que disait le courrier!).

Après ce deuxième contrôle, l’organisme a informé spontanément, dans un nouveau courrier avoir mis en place des choses demandées suite au premier contrôle : obstruction partielle de la caméra avec du ruban adhésif (il fallait y penser!) , réorientation de la caméra (plus classique), diffusion d’une note d’information et création de mots de passe individuels respectant les conseils de la CNIL.

Mais oui mais c’était trop tard…

Un premier rapport proposait à la formation restreinte de la CNIL une injonction de mise en conformité + 1000 euros d’astreinte par jour de retard + une sanction de 75 K€ + sanction publique.

Le côté public de la sanction a fait peur à l’organisme qui a bataillé pour obtenir un huit clos mais sans succès (ne savait-il pas que c’était le risque qu’il prenait à traîner des pieds?).

Suite à de nouveaux éléments avancés par l’organisme, le montant de sanction proposé est passé à 50K€.

Au final, ce qui est reproché et a mené à une sanction publique :

· avoir continué de filmer en permanence 6 salariés et avoir dit que c’était réglé dans le courrier. La CNIL précise qu’il y a d’autres moyen de sécuriser les accès aux locaux et aux documents sensibles que la vidéosurveillance (problème d’adéquation, de pertinence et de caractère non excessif des données).

· le ruban adhésif ne suffisait pas (mince, c’était rigolo comme mesure!), il fallait vraiment tourner la caméra pour qu’elle ne filme plus la personne en permanence (non-respect des règles sur la vidéo-surveillance)

· les personnes n’ont pas reçu les informations obligatoires : qui filme, dans quel but, sur quelle base légale, pendant combien de temps les données sont gardées, à qui on les envoie, comment on y a accés etc. (défaut d’information des personnes concernées).

· la sécurité des accés à la messagerie pro n’est pas assurée (défaut de sécurité)

Le résultat de tout cela

Comme l’organisme a arrêté la vidéosurveillance, l’injonction de se mettre en conformité porte uniquement sur ce qui n’a pas été fait : la traçabilité des accès individuels à la boîte de messagerie professionnelle générique. L’organisme a 2 mois pour le faire, sinon cela lui coûtera 200 euros par jour de retard.

· Il y a une sanction administrative car il y a eu violations multiples, persistantes et graves en particulier en raison du caractère disproportionné du dispositif de vidéosurveillance. La CNIL parle du « comportement réticent » et du « manque de diligence à se conformer » de l’organisme.

· L’amende de 20K€ est considérée comme adaptée à la taille de l’entreprise, à sa situation financière et porte une vocation dissuasive.

· La sanction est rendue publique pendant 1 an

Jennifer Jouve