Formations et audits Informatique et Libertés

Des professionnels en conformité Informatique et Libertés : formation, audit, formalités cnil, contrôle cnil et l’application Data Privacy Manager dédiée au CIL

Dictionnaire juridique

Avertissement et interruptions de traitements par la CNIL

Vidéosurveillance - Biométrie - Commentaires subjectifs (fichiers de clients et de prospects)

Vous êtes ici : Accueil > Actualités

lundi 26 juillet 2010

En 2010, la Commission Nationale Informatique et Libertés (CNIL) a sanctionné un responsable de traitement pour commentaires « insultants » dans ses bases de données, et a pour la première fois prononcé l’interruption d’un système de vidéosurveillance et de biométrie pour atteinte grave à la vie privée.
 

Avertissement public de la CNIL pour commentaires « insultants » dans deux bases de données

 
Le 27 mai dernier, la CNIL a rendu public son avertissement à l’encontre d’ACADOMIA [1], le « n°1 du soutien scolaire en France » [2].
 
Le contrôle sur place de la CNIL effectué en novembre 2009 dans les locaux de la société AIS 2, qui exerce son activité sous l’enseigne ACADOMIA, a révélé un florilège de commentaires inappropriés et subjectifs, voire insultants au sein des deux bases de données métiers (SRANET pour la gestion des candidats au poste d’intervenant, SEANET pour la gestion des intervenants et des familles clientes).
 
La délégation de la Commission a en effet constaté un nombre important de commentaires excessifs dans les zones « bloc-notes » des fichiers d’ACADOMIA, tels que :
 

  • « Hyper hyper hyper stressée Sa bouche tremble quand elle me parle Le problème c’est qu’elle sent très mauvais (renfermé, sueur, tabac) malgré tout jeune femme très jolie et qui a un passé difficile (a eu une leucémie) »  
  • « M. […] avait eu des pbs avec la justice suite à des échanges de photos pédophiles »

Il résulte de ces éléments, que la société a donc bien collecté des données inadéquates, non pertinentes et excessives au regard des finalités de gestion des enseignants et des clients, ainsi que des données de santé et des données relatives à des infractions ou condamnations en dehors des cas prévus par la loi.

A ce titre, la CNIL a précisé que « s’il est légitime d’enregistrer des informations sur l’indisponibilité ou les contraintes d’ordre médical d’une personne, l’enregistrement par la société de la pathologie affectant précisément cette dernière ne saurait être admis alors qu’il aurait été parfaitement envisageable, par exemple, d’indiquer que telle personne est indisponible de telle date à telle date, ou encore que les cours ne pourront durer plus d’une heure, pour raisons médicales ».

Dans un second temps, la CNIL a considéré que « le rôle d’alerte et de transmission d’informations susceptibles de protéger des mineurs et de mettre fin à des agissements répréhensibles aux autorités compétentes, ne saurait pour autant justifier l’enregistrement et la conservation par la société d’informations relatives à des faits d’une extrême gravité au risque de constituer un fichier privé d’infractions voire de condamnations ».

Le 22 avril 2010, eu égard à la nature des données à caractère personnel traitées, au nombre de manquements constatés et à leur particulière gravité, la formation restreinte de la CNIL, a décidé d’adresser un avertissement public à l’encontre de la société AIS 2.

Cette décision fait actuellement l’objet d’un recours devant le Conseil d’Etat, tandis que la CNIL a informé le parquet des manquements susceptibles de constituer des infractions pénales.
 

Interruption en urgence d’un système de vidéosurveillance permanente des salariés

A la suite de la plainte d’un salarié, la CNIL a contrôlé le système de vidéosurveillance d’une société de transport routier. Ses agents ont alors constaté que plusieurs salariés étaient filmés à leurs postes de travail de manière permanente par deux caméras, situées chacune à une extrémité de leur bureau commun.

Or, cette surveillance permanente n’était justifiée par aucun motif de sécurité ou de lutte contre des dégradations matérielles.

Considérant le caractère disproportionné du dispositif et l’atteinte portée à la vie privée des salariés concernés, la Commission a ordonné l’interruption des deux caméras en cause pour une durée de 3 mois (durée maximale prévue par la loi) [3].
 

Interruption d’un système de reconnaissance de l’empreinte digitale pour l’accès aux locaux d’une entreprise

Lors d’un contrôle sur place effectué en février dernier dans une société spécialisée dans le commerce de gros d’habillement militaire, la CNIL a constaté la mise en œuvre d’un dispositif de contrôle d’accès reposant sur la conservation d’empreintes digitales dans une base centrale, qui avait fait l’objet d’un refus d’autorisation de sa part en 2007.

Rappelons que dans le cadre de la mise œuvre de tels dispositifs, il est effectivement nécessaire de demander une autorisation à la CNIL, préalablement à sa mise en œuvre. En l’espèce à la CNIL avait refusé d’accorder son autorisation en l’absence d’un fort impératif de sécurité.

Dans ces conditions, la formation contentieuse de la CNIL a prononcé l’interruption du traitement pour une durée de 3 mois, période pendant laquelle la société devra mettre en conformité son traitement [4].
 

Les bonnes pratiques

3 actions pour garantir le bon usage des zones « bloc-notes » de vos fichiers clients ou salariés :

  • Sensibilisation de vos utilisateurs à la loi « Informatique et Libertés »  
  • Mise en place d’un système de filtrage empêchant l’apparition de nouveaux commentaires « subjectifs »  
  • Mise en place d’une veille régulière permettant de supprimer toute nouvelle dérive

En matière de vidéosurveillance :

  • Respecter les formalités préalables (consultation du Comité d’entreprise, déclaration CNIL et information individuelle des salariés)  
  • S’assurer que l’angle de visionnage des caméras ne place pas des salariés sous une surveillance permanente, alors qu’aucun motif de sécurité ne peut être justifié.

Pour les dispositifs biométriques :
 

  • Vérifier que les éléments techniques du matériel sont conformes aux autorisations uniques de la CNIL pour les contrôles d’accès ou la gestion des restaurants d’entreprises ou cantines scolaires  
  • Dans le cas contraire, une demande d’autorisation préalable à la CNIL est nécessaire

Nicolas Samarcq, Juriste
Consultant TIC / CNIL

 

[1Délibération n°2010-113 du 22 avril 2010 de la formation restreinte portant avertissement à l’encontre de la société AIS 2 exerçant sous l’enseigne ACADOMIA ( cette décision a fait l’objet d’un recours devant le Conseil d’Etat).

[3Délibération n°2010-112 du 22 avril 2010 de la formation restreinte décidant l’interruption d’un traitement mis en œuvre par la Société X…

[4Délibération n°2010-072 du 18 mars 2010 de la formation restreinte décidant l’interruption d’un traitement mis en œuvre par la Société M.

Nos partenaires

Réalisation : Clic Story ®

Plan du site