La Cnil vient de mettre en demeure une entreprise de la région toulousaine qui abusait un peu trop de la vidéosurveillance dans ses locaux, surtout à des fins de localisation de ses salariés, le tout accompagné d’un défaut d’information et de sécurisation.
Même les TPE/PME se doivent de respecter le RGPD, notamment dans le cas de la vidéosurveillance sur le lieu de travail. Une entreprise de Blagnac, Boutique.Aéro, spécialisée dans la vente de matériel en lien avec l’aviation, vient d’en faire l’expérience, mise en demeure par la Cnil de se conformer au cadre légal. Cette société comptant sept salariés a recours à un dispositif de vidéosurveillance, signalé à la Cnil par la DIRECCTE Occitanie en octobre 2018.
A l’occasion d’un contrôle, la délégation dépêchée par le gendarme des données personnelles constate en effet qu’un peu plus d’une dizaine de caméras sont installées dans les locaux de l’entreprise. Si la majorité couvre l’espace de vente ouvert au public, deux caméras filmaient des lieux réservés aux employés, à savoir « un emplacement pour la préparation de commandes » et « un couloir desservant plusieurs bureaux de salariés ».
La nécessité d’un intérêt légitime
Boutique.Aéro explique à la Cnil que la finalité du traitement « consiste à prévenir les atteintes aux salariés et aux biens ainsi qu’à localiser les salariés ». Sur ce point, le régulateur tique, mais n’est pas au bout de ses surprises. Ce sont au final cinq manquements qui valent à la société une mise en demeure. Sur la localisation des salariés, en particulier sur le poste de préparation des commandes, la Cnil estime dans le cas présent que « la localisation des salariés par le gérant à des fins de surveillance » n’est pas un motif légitime, d’autant que le responsable des traitements « ne fait état d’aucune circonstance particulière telle que des vols, dégradations ou agressions de nature à justifier la mise sous surveillance constante de salariés ».
En outre, l’entreprise n’a pas établi un registre des activités de traitement. Ce n’est pas une obligation pour les entreprises de moins de 250 salariés, à une exception près : si le traitement n’est pas occasionnel. Or Boutique.Aéro utilise un dispositif de vidéosurveillance depuis 2010, qui est donc tout sauf occasionnel. Quant à l’information des salariés, là encore un manquement. Si leur contrat de travail mentionne que « les établissements et locaux de l’entreprise sont placés sous vidéo-protection », aucune information spécifique n’est donnée,quant à la durée de conservation des données, les droits de réclamation, l’identité du responsable du traitement…
Les images de vidéosurveillance en VOD
Enfin, sur l’obligation de veiller à la sécurité des données, là encore la Cnil lève un sourcil inquisiteur. D’une part, le sous-traitant gérant la maintenance informatique de la boutique a « connaissance, pour les besoins de ses missions, des identifiants de connexion au logiciel de gestion de la société et peut accéder aux images vidéo à distance ». Ce qui n’est pas mentionné dans le contrat liant les deux sociétés. « La relation entre la société et le prestataire informatique n’est donc encadrée par aucune clause contractuelle garantissant la sécurité et la confidentialité des données par le prestataire ni de clause relative à l’obligation pour le prestataire de n’agir que sur instruction de la société » écrit la Cnil.
Surtout, les images de vidéosurveillance sont accessibles par l’ensemble des salariés, sur le réseau de l’entreprise mais aussi à l’extérieur. « Tout utilisateur peut donc accéder aux postes informatiques et à la connexion au logiciel de gestion de la société sans authentification préalable, le pré-enregistrement des mots de passe et identifiants équivalant à une absence de mot de passe et d’identifiants » remarque le gendarme des données personnelles. D’autant que la connexion au logiciel de gestion de la société, permettant d’accéder aux vidéos, passe par un lien http, sans chiffrement entre l’utilisateur et le serveur.
En bref, Boutique.Aéro est priée de se mettre en conformité fissa, sous dix jours concernant la fin du traitement des images destinées à localiser les salariés et à sécuriser l’accès aux vidéos.