Sanctions de la Cnil (...)

Sanctions de la Cnil : avertissement et interruptions de traitement des données

  • le 12 juillet 2010

Le « gendarme » des libertés individuelles veille. La Commission nationale Informatique et Libertés (Cnil) a récemment sanctionné un responsable de traitement pour commentaires « insultants » dans ses bases de données, et, pour la première fois prononcé l’interruption d’un système de vidéosurveillance et de biométrie pour atteinte grave à la vie privée.

Avertissement public pour commentaires « insultants » dans deux bases de données d’Acadomia

Le 27 mai dernier, la Cnil a rendu public son avertissement à l’encontre d’Acadomia, qui revendique la place de « n°1 du soutien scolaire en France ». Le contrôle sur place de la Cnil, effectué en novembre 2009 dans les locaux d’une de ses filiales, la société AIS 2, a révélé un florilège de commentaires inappropriés et subjectifs, voire insultants au sein des deux bases de données métiers (SRANET pour la gestion des candidats au poste d’intervenant, SEANET pour la gestion des professeurs et des familles clientes).

La délégation de la Commission a en effet relevé un nombre important de commentaires excessifs , au regard de la finalité du traitement, dans les zones « bloc-notes » des fichiers, tels que : « Hyper hyper hyper stressée », « Le problème c’est qu’elle sent très mauvais » « avait eu des problèmes avec la justice suite à des échanges de photos pédophiles », « hospitalisé en urgence pour une tumeur cancéreuse au cerveau de grade 3 », « Gros con ! Imbuvable !! » , « père pas malin du tout ( voir crétin) », « saloperie de gamin »...

La société a donc bien collecté des données inadéquates, non pertinentes et excessives au regard des finalités de gestion des enseignants et des clients, ainsi que des données de santé et des données relatives à des infractions ou condamnations en dehors des cas prévus par la loi.

A ce titre, si pour la Cnil, il est légitime d’enregistrer des informations sur l’indisponibilité ou les contraintes d’ordre médical d’une personne, « l’enregistrement de la pathologie affectant précisément cette dernière ne saurait être admis alors qu’il aurait été parfaitement envisageable, par exemple, d’indiquer que telle personne est indisponible de telle date à telle date, ou encore que les cours ne pourront durer plus d’une heure, pour raisons médicales ».

Dans un second temps, la Commission a considéré que « le rôle d’alerte et de transmission d’informations susceptibles de protéger des mineurs et de mettre fin à des agissements répréhensibles aux autorités compétentes, ne saurait pour autant justifier l’enregistrement et la conservation par la société d’informations relatives à des faits d’une extrême gravité au risque de constituer un fichier privé d’infractions voire de condamnations ». Enfin, autre manquement relevé, les informations contenues dans les bases de données, concernant les candidats, les enseignants et les clients, ont été conservées sans limitation de durée, et ce depuis leur création.

Résultat, le 22 avril dernier, eu égard à la nature des données à caractère personnel traitées, au nombre de manquements constatés et à leur particulière gravité, la formation restreinte de la Cnil, a décidé d’adresser un avertissement public à l’encontre de la société AIS 2.

Cette décision fait actuellement l’objet d’un recours devant le Conseil d’Etat, tandis que la Cnil a informé le parquet des manquements susceptibles de constituer des infractions pénales.

Suspension en urgence d’un système de vidéosurveillance permanente des salariés

A la suite de la plainte d’un salarié, la Cnil a contrôlé le système de vidéosurveillance d’une société de transport routier. Ses agents ont alors constaté que plusieurs salariés étaient filmés à leurs postes de travail de manière permanente par deux caméras, situées chacune à une extrémité de leur bureau commun. Or, cette surveillance permanente n’était justifiée par aucun motif de sécurité ou de lutte contre des dégradations matérielles.

Considérant le caractère disproportionné du dispositif et l’atteinte portée à la vie privée des salariés concernés, la Commission a ordonné l’interruption des deux caméras en cause pour une durée de trois mois (durée maximale prévue par la loi).

Interruption d’un système de reconnaissance de l’empreinte digitale pour l’accès aux locaux d’une entreprise

Lors d’un contrôle sur place effectué en février dernier, dans une société spécialisée dans le commerce de gros d’habillement militaire, la Cnil a découvert la mise en œuvre d’un dispositif de contrôle d’accès reposant sur la conservation d’empreintes digitales dans une base centrale, qui avait fait l’objet d’un refus d’autorisation de sa part en 2007.

Il faut rappeler que, pour de tels dispositifs, une demande d’autorisation à la Cnil est effectivement nécessaire, préalablement à leur mise en œuvre. En l’espèce la Commission avait refusé d’accorder son autorisation en l’absence d’un fort impératif de sécurité.

Dans ces conditions, la formation contentieuse de la Cnil a prononcé, le 18 mars dernier, l’interruption du traitement pour une durée de trois mois, période pendant laquelle la société devra mettre en conformité son traitement.

Les bonnes pratiques

Trois actions pour garantir le bon usage des zones « bloc-notes » de vos fichiers clients ou salariés :

- sensibiliser de vos utilisateurs à la loi « Informatique et Libertés » ;
- mettre en place d’un système de filtrage empêchant l’apparition de nouveaux commentaires « subjectifs » ;
- instaurer une veille régulière permettant de supprimer toute nouvelle dérive.

En matière de vidéosurveillance :

- respecter les formalités préalables (consultation du Comité d’entreprise, déclaration auprès de la Cnil et information individuelle des salariés) ;

- s’assurer que l’angle de visionnage des caméras ne place pas des salariés sous une surveillance permanente, alors qu’aucun motif de sécurité ne peut être justifié.

Pour les dispositifs biométriques :

- vérifier que les éléments techniques du matériel sont conformes aux autorisations uniques de la Cnil, pour les contrôles d’accès ou la gestion des restaurants d’entreprises ou cantines scolaires ;

- dans le cas contraire, une demande d’autorisation préalable à la Cnil est nécessaire.

deconnecte