• Home  / 
  • DELIBERATION 2009-201

DELIBERATION 2009-201

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l’informatique et des libertés, réunie en formation restreinte, sous la présidence de M. Alex TURK, président ;
Etant aussi présents M. Emmanuel de GIVRY, vice-président délégué, Mme Isabelle FALQUE-PIERROTIN, vice-président, Mme Claire DAVAL, M. Sébastien HUYGHE et M. Jean-Marie COTTERET, membres ;
Etant aussi présente Madame Catherine POZZO DI BORGO, commissaire-adjoint du Gouvernement ;
Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n°2004-801 du 6 août 2004 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par le décret n°2007-451 du 25 mars 2007 ;
Vu la délibération n° 2006-147 du 23 mai 2006 fixant le règlement intérieur de la Commission nationale de l’informatique et des libertés ;
Vu la délibération n° 2008-155 du 29 mai 2008 de la Commission nationale de l’informatique et des libertés mettant en demeure la société JEAN MARC PHILIPPE, notifiée le 1er août 2008 ;
Vu la décision n° 2008-023C du 11 février 2008 du Président de la Commission nationale de l’informatique et des libertés de procéder à une mission de contrôle auprès du de la société JEAN MARC PHILIPPE et l’ordonnance du président du Tribunal de Grande Instance de Paris du 6 mars 2008 autorisant la CNIL à procéder au contrôle ;
Vu le rapport de M. Jean-François CARREZ, commissaire rapporteur, notifié le 12 mars 2009 ;
Vu les observations écrites de la société JEAN MARC PHILIPPE du 16 avril 2009 ;
Vules autres pièces du dossier ;
Après avoir entendu, lors de la réunion du 16 avril 2009 :
- M. Jean-François CARREZ, commissaire, en ses rapports ;
- Maître C, conseil de la société JEAN MARC PHILIPPE.
Maître C ayant pris la parole en dernier.
I. Faits et procédure
A. Faits
La société JEAN MARC PHILIPPE (ci-après « la société ») est une société anonyme de prêt-à-porter, spécialisée dans la création de grande taille. Elle emploie 30 personnes réparties au siège social et dans ses trois magasins parisiens. Cette société réalise un chiffre d’affaire d’environ 10 millions d’euros par an.
Le 13 décembre 2007, la Commission nationale de l’informatique et des libertés (ci-après « CNIL » ou « Commission ») a été saisie d’une plainte d’une personne faisant part de l’absence de déclaration d’un système de vidéosurveillance ainsi que de divers abus de ce système. La requérante a notamment déclaré que les caméras filmaient en continu les lieux, ouverts ou non au public, y compris des pièces réservées au personnel où aucun matériel n’est stocké et une réserve où se changent les salariés.
Le 15 février 2008, en application de la décision n° 2008-023 C du 11 février 2008 du Président de la CNIL, une délégation de la Commission a procédé à une mission de contrôle au siège social de la société, sise 135 boulevard Sébastopol à Paris (75002) et a rencontré le responsable des lieux, M. Philippe M., qui a accepté le contrôle, avant de s’absenter et de déléguer son comptable pour accompagner la délégation de la CNIL.
Après deux heures d’investigations, la délégation s’est trouvée contrainte d’interrompre sa mission. L’un des trois associés de la société, M. Marc M. (directeur général de la société), qui n’était visiblement pas informé du contrôle en cours par son frère, a, avec agressivité, ordonné, après avis de son avocat, à la délégation de cesser son contrôle et de quitter les lieux, malgré les tentatives d’explications du cadre légal du contrôle.
Le 10 avril 2008, la délégation de la CNIL s’est de nouveau rendue sur les lieux avec l’autorisation du Président du TGI de Paris, statuant par ordonnance du 6 mars 2008 conformément aux dispositions de l’article 44 de la loi du 6 janvier 1978 modifiée, afin de procéder au contrôle. Aucune entrave ne lui a été opposée par les représentants de la société.
La délégation de la CNIL a constaté qu’un système de vidéosurveillance, composé de 23 caméras installées en 1980 et 2007 était implanté au sein des trois magasins (Paris 9ème et 14ème arrondissements, Rosny-sous-Bois) et du siège social de la société. Les images sont enregistrées en continu sur un support numérique.
La délégation a relevé qu’au siège social, onze caméras filmaient les lieux ouverts au public (portes d’accès, magasin situé au rez-de-chaussée et premier étage) et les lieux réservés au personnel où aucune marchandise n’est stockée (couloirs, réserve, ateliers de création).
Il est à noter que les responsables de la société (PDG et DG) peuvent se connecter à un serveur à distance, via internet, en saisissant l’adresse IP du serveur, leur identifiant de compte et leur mot de passe, afin de visualiser les images. En outre, au siège, les images filmées sont également accessibles à partir de deux postes de supervision situés à l’accueil et dans le bureau du PDG.
La délégation a par ailleurs constaté que le logiciel de supervision était accessible sans mot de passe sur la station de supervision de l’accueil. Elle a également relevé que deux serveurs (« magasin » situé au sous-sol et « DNS/antivirus » situé au troisième étage) étaient libres d’accès (pas de verrouillage de la porte d’accès ni de verrouillage de la session).
S’agissant de la durée de conservation des images, il a été relevé que le logiciel de vidéosurveillance était paramétré pour les conserver pendant sept jours.
Il est apparu que ce système de vidéosurveillance n’avait fait l’objet d’aucune déclaration préalable auprès de la CNIL. De surcroît, lors du contrôle, les responsables de la société n’ont pas pu produire à la délégation l’arrêté préfectoral autorisant la mise en place du système de vidéosurveillance exigé par les dispositions de la loi du 21 janvier 1995 modifiée.
Enfin, quant à l’information des personnes, il a été constaté que le panonceau d’information faisant référence à la loi du 21 janvier 1995 ainsi qu’au décret du 17 octobre 1996 était apposé derrière le guichet du rez-de-chaussée du magasin de façon peu visible et qu’aucun affichage ne figurait sur la porte d’entrée de l’établissement. L’information prévue à l’article 32 de la loi du 6 janvier 1978 modifiée n’était pas non plus suffisamment délivrée aux salariés. Cette information était matérialisée par l’insertion d’une phrase dans les contrats de travail conclus depuis l’installation du système (« la salariée est informée qu’un système de vidéosurveillance est installé dans tous les sites de l’entreprise »). En revanche, le personnel dont les contrats de travail avaient été signés avant la mise en place du système de vidéosurveillance, n’avait pas été prévenu de manière individuelle de l’existence de ce dispositif.
B. Procédure

  1. La mise en demeure du 29 mai 2008

En conséquence, la Commission a, par délibération n° 2008-155 du 29 mai 2008, mis en demeure la société, sous un délai d’un mois, de :
« - procéder à l’accomplissement des formalités préalables auprès de la CNIL pour l’ensemble des traitements automatisés de données à caractère personnel mis en œuvre, en particulier le dispositif de vidéosurveillance ;
- prendre toutes les mesures nécessaires afin que la mise en œuvre du système de vidéosurveillance soit strictement limitée à l’objectif de lutte contre le vol, et ne conduise pas à placer les salariés sous une surveillance constante ;
- retirer les caméras dont la présence n’est pas justifiée par cette impératif de sécurité des lieux ;
- communiquer à la CNIL l’intégralité des mesures prises au sein de la société JM PHILIPPE visant à respecter les dispositions de l’article 32 de la loi du 6 janvier 1978 (droit à l’information de toute personne auprès de laquelle sont recueillies des données à caractère personnel) ;
- prendre toute mesure de nature à garantir la sécurité et la confidentialité des informations collectées dans l’ensemble des traitements mis en œuvre afin que seules les personnes habilitées de par leurs fonctions y aient accès (accès au logiciel de supervision, aux  serveurs informatiques) ;
- justifier auprès de la CNIL que l’ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti ».
Cette mise en demeure a été notifiée à la société le 1er août 2008 par courrier recommandé avec accusé de réception.

  1. La réponse de la société du 29 août 2008

A la suite du contrôle diligenté par la CNIL le 10 avril 2008, la société a procédé à une déclaration normale du dispositif de vidéosurveillance, enregistrée le 1er juillet 2008. Le récépissé lui a été délivré le 16 juillet suivant.
Puis, par un courrier du 29 août 2008, notifié à la CNIL le 2 septembre suivant par recommandé avec accusé de réception, la société a indiqué à la Commission avoir procédé à l’envoi d’une lettre à son ancien personnel afin de l’informer de la présence de caméras de vidéosurveillance. Par ailleurs, la société a exposé qu’elle jugeait utile de pouvoir visionner l’espace dédié à l’atelier de création qui accueille en permanence des représentants, des façonniers ainsi que des livreurs de fournitures.

  1. La dénonciation au parquet du 10 mars 2008 et le jugement du TGI de Paris du 29 janvier 2009

A la suite du refus de M. Marc M., directeur général de la société, de laisser la CNIL effectuer sa mission de vérification sur place le 15 février 2008, le Président de la CNIL a, le 10 mars suivant, saisi le Procureur de la République, en application de l’article 40 du code de procédure pénale, pour délit d’entrave au titre de l’article 51 de la loi du 6 janvier 1978 modifiée.
Par un jugement du 29 janvier 2009, le Tribunal de grande instance de Paris a déclaré le prévenu coupable d’entrave à l’action de la CNIL, au motif que le responsable des lieux, à savoir le PDG de la société, seul habilité à s’opposer ou à consentir aux vérifications entreprises, avait autorisé le contrôle en déléguant son comptable à son départ des lieux. Le prévenu, qui n’avait pas cette qualité, ne pouvait donc s’opposer au contrôle et a, dès lors, été condamné à une amende délictuelle de 5 000 euros, dont 4 000 euros avec sursis.
La société a interjeté appel à l’encontre de ce jugement le 2 février 2009.
4. Le rapport de sanction du 12 mars 2009
La CNIL a notifié à la société, le 12 mars 2009, un rapport proposant de prononcer à son encontre une sanction qui, si elle devait être pécuniaire, ne saurait être inférieure à 15 000 euros et serait rendue publique.
A l’appui de ses demandes, le rapporteur a fait valoir que la société ne s’était pas conformée à la mise en demeure de la Commission du 29 mai 2008, exception faite de l’accomplissement des formalités préalables.
La société n’a pas fait parvenir d’observations écrites dans le mois qui a suivi la notification du rapport de sanction.
Puis par télécopie du 15 avril 2009, la société représentée par Me C. a sollicité un report de l’examen de son dossier par la formation restreinte de la CNIL, prévu le 16 avril 2009 à 14H30, dans la mesure où elle venait d’informer son conseil habituel, Me P., de sa convocation à ladite séance et que celui-ci se trouvait dans l’impossibilité d’être présent. Par un courrier du même jour, le Président de la CNIL a refusé de faire droit à cette demande au motif que la société avait disposé de plus d’un mois afin de faire parvenir à la Commission ses observations écrites et le cas échéant, constituer avocat, conformément aux dispositions des articles 75 et 76 du décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 relative à l’informatique, aux fichiers et aux libertés, modifié par le décret n° 2007-451 du 25 mars 2007.
Lors de la séance de la formation restreinte de la CNIL du 16 avril 2009, la société représentée par son conseil a produit des observations écrites et a exposé diverses observations orales sur ce dossier.
Dans ses observations en défense formulées tant à l’écrit qu’à l’oral, la société a successivement réfuté chacun des manquements relevés par le rapporteur.
II. Motifs de la décision
A. Sur le manquement à l’obligation de veiller au caractère loyal et licite des données et de ne pas les traiter de manière incompatible avec la finalité déterminée
La Commission rappelle qu’aux termes du 1° de l’article 6 de la loi n° 78-17 du 6 janvier 1978, les données à caractère personnel doivent être collectées et traitées de manière loyale et licite. Le 2° du même article dispose que ces données sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.
Dans sa délibération n° 2008-155 du 29 mai 2008, la CNIL avait mis la société en demeure d’une part, de prendre toutes les mesures nécessaires afin que la mise en œuvre du système de vidéosurveillance soit strictement limitée à l’objectif de lutte contre le vol et ne conduise pas à placer les salariés sous une surveillance constante et d’autre part, de retirer les caméras dont la présence n’était pas justifiée par cet impératif de sécurité des lieux.
Or, la société n’avait pris aucune mesure afin de limiter la surveillance de ses employés. Dans ses observations écrites du 16 avril 2009, la société soutient que toutes les caméras seraient justifiées par la « manipulation de marchandise » et la « circulation libre de l’ensemble du public et du personnel ». Seuls les bureaux du personnel administratif « où sont installés les salariés qui occupent un poste fixe et qui n’ont pas pour vocation d’être en contact constant avec la marchandise » ne feraient pas l’objet de vidéosurveillance.
La Commission considère que la mise en œuvre d’un système de vidéosurveillance doit obligatoirement respecter le principe de proportionnalité et être strictement nécessaire à l’objectif poursuivi. Dès lors qu’un dispositif de vidéosurveillance est susceptible de viser des membres du personnel, le nombre, l’emplacement, l’orientation, les périodes de fonctionnement des caméras ou la nature des tâches accomplies par les personnes concernées, sont autant d’élément à prendre en compte lors de l’installation du système.
Il ressort clairement des captures d’écran faites par la délégation de la CNIL que contrairement aux dires de la société, des bureaux et des postes de travail fixes situés au deuxième étage du siège social sont filmés en continu, de telle sorte que les salariés sont placés sous la surveillance constante de leur employeur. Une telle surveillance des employés apparaît dès lors excessive et le dispositif de vidéosurveillance n’est, dès lors, pas strictement limité à l’objectif de lutte contre le vol et conduit à placer les personnes visées sous une surveillance disproportionnée au regard de l’objectif poursuivi.
En conséquence, la Commission conclut que la société ne s’est pas conformée à la mise en demeure de la CNIL et n’a pas respecté les dispositions des 1° et 2° de l’article 6 de la loi n° 78-17 du 6 janvier 1978 modifiée.
B. Sur le manquement à l’obligation d’information des personnes 
La Commission rappelle qu’aux termes de l’article 32 de la loi n° 78-17 du 6 janvier 1978 modifiée, le responsable du traitement est tenu d’informer les personnes concernées par le traitement, notamment de sa finalité, du caractère obligatoire ou facultatif des réponses, des destinataires des informations ainsi que de leurs droit d’accès, de rectification et, le cas échéant, d’opposition.
Dans sa délibération n° 2008-155 du 29 mai 2008, la CNIL avait mis la société en demeure de prendre toute mesure visant à garantir le respect de l’article 32, l’information délivrée quant au dispositif de vidéosurveillance étant jugée insatisfaisante.
Dans sa déclaration normale n° 1303553, la société avait indiqué avoir adopté une « circulaire d’information à l’attention du personnel » et un « panneau d’information à l’attention de la clientèle » sans y annexer les modèles. En outre, dans son courrier du 29 août 2008, la société avait informé la Commission qu’elle avait procédé à l’envoi de courriers à l’attention de son « ancien personnel précisant la présence de caméras de vidéosurveillance », sans fournir à la CNIL un document l’attestant.
Lors de la séance de la formation restreinte du 16 avril 2009, des copies de ces courriers et d’un panneau d’affichage ont été produits par la société. Le courrier-type adressé à une dizaine d’employés indiquait « suite à la visite de la CNIL dans nos locaux nous sommes tenus de vous informer par écrit que tous les établissements de la société JEAN MARC PHILIPPE sise ci-dessous sont équipés de caméras de vidéosurveillance ». Lors de la séance, la société a également affirmé que plusieurs affichettes avaient été disposées à divers endroits, sans davantage de précision.
Or, la Commission constate que l’information délivrée aux employés de la société est manifestement insuffisante au regard des exigences de l’article 32 de la loi précitée. En effet, l’information inscrite dans les contrats de travail des personnes employées postérieurement à la mise en œuvre du dispositif de vidéosurveillance, à savoir « la salariée est informée qu’un système de vidéosurveillance est installé dans tous les sites de l’entreprise », ainsi que celle mentionnée dans le courrier-type sont incomplètes puisque les finalités poursuivies, les destinataires des images et les modalités concrètes de l’exercice du droit d’accès dont disposent les personnes concernées, ne sont pas indiqués.
La Commission considère dès lors que la société ne s’est pas conformée à la mise en demeure de la CNIL n° 2008-155 du 29 mai 2008.
C. Sur le manquement à l’obligation de sécurité des données
La Commission rappelle que l’article 34 de la loi n° 78-17 du 6 janvier 1978 modifiée dispose que « le responsable de traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y ait accès ».
Dans sa délibération n° 2008-155 du 29 mai 2008, la CNIL avait mis la société en demeure de prendre toute mesure de nature à garantir la sécurité et la confidentialité des informations collectées dans l’ensemble des traitements mis en œuvre afin que seules les personnes habilitées de par leurs fonctions y aient accès (accès au logiciel de supervision, aux  serveurs informatiques). En effet, la délégation de la CNIL avait constaté que l’accès au logiciel de supervision sur la station située à l’accueil ainsi que l’accès aux serveurs informatiques n’étaient pas sécurisés.
Dans son courrier du 29 août 2008, la société n’avait fourni aucun élément de réponse à la CNIL sur ce point. Or, dans ses observations du 16 avril 2009, la société a affirmé avoir isolé le serveur d’enregistrement dans un local muni d’un système de verrouillage dont l’accès est réservé aux responsables habilités. Quant au visionnage des images, il ne serait désormais accessible qu’au représentant légal de la société, après utilisation d’un mot de passe.
Eu égard aux pièces produites par la société lors de la séance de la formation restreinte du 16 avril 2009, la Commission considère que celle-ci s’est bien conformée à la mise en demeure n° 2008-155 en procédant à une meilleure sécurisation des données.
Sur les manquements constatés
En conséquence, eu égard aux manquements constatés aux 1° et 2° de l’article 6 et à l’article 32 de la loi n° 78-17 du 6 janvier 1978 modifiée, la société JEAN MARC PHILIPPE, qui ne s’est que partiellement conformée à la mise en demeure n° 2008-155 du 29 mai 2008, verra prononcer à son encontre une sanction pécuniaire d’un montant de 10 000 euros.
Sur la publicité
Eu égard à la nature et à la gravité des manquements commis ainsi qu’à la nécessité, d’une part, pour les personnes physiques de connaître les règles relatives à la protection de leurs données à caractère personnel et, d’autre part, pour les responsables de traitement de mieux appréhender les règles qui s’imposent à eux, la délibération de la Commission sera rendue publique sur le site internet de la CNIL et sur le site internet Légifrance.
PAR CES MOTIFS
Conformément aux articles 45 et suivants de la loi du 6 janvier 1978 modifiée, la formation restreinte de la CNIL, après en avoir délibéré, décide de :

  • prononcer une sanction pécuniaire de 10 000 euros à l’encontre de la société JEAN MARC PHILIPPE.
  • publier la présente décision sur le site internet de la CNIL et sur le site internet Légifrance.

La société JEAN MARC PHILIPPE dispose d’un délai de deux mois à compter de la notification de la présente décision pour exercer à son encontre un recours devant le Conseil d’Etat.

Le président

Alex TURK

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: