Le supermarché surveillait trop ses salariés

Depuis la loi du 6 août 2004, qui a réformé l'antique loi "Informatique & Libertés" du 6 janvier 1978, la CNIL dispose de pouvoir étendus de contrôle sur le terrain, afin de s'assurer du respect, en pratique, des principes théoriques gouvernant la protection des données à caractère personnel.

La CNIL peut prononcer des sanctions et même leur donner un caractère public.

C'est la mésaventure qui vient d'arriver à un centre commercial situé à Bourg en Bresse, qui surveillait ses salariés d'un peu trop près. Après qu'une plainte a été déposée, la CNIL a effectué un contrôle sur place et a constaté que ce centre était équipé d’un système de vidéosurveillance important, équipé de 240 caméras dont 180 destinées à la surveillance du centre commercial. Les 60 autres étaient installées aux caisses de l'hypermarché et filmaient les caddies et les articles scannés. La finalité officielle du système de vidéosurveillance consistait à prévenir les atteintes aux personnes et aux biens, ainsi que d'établir une protection contre les incendies et les accidents. En tout cas en théorie.

Il a en effet été constaté en pratique que ce système permettait également de filmer les accès aux toilettes, aux vestiaires, au cabinet médical et aux salles de pause des salariés, ainsi que de contrôler les horaires de ces derniers. Non seulement le système n'avait pas fait l'objet d'une déclaration correcte à la CNIL, mais les employés n'étaient pas correctement informés de la surveillance, tandis que la durée de conservation des vidéos n'était pas limitée dans le temps (elle conservait plus de 346 séquences vidéo dont la plus ancienne datait de 2010).
Enfin, les vidéos n'étaient pas conservées de manière suffisamment sécurisée, ce qui signifie qu'aucun contrôle d'accès n'avait été mis en place. Par exemple, le directeur du centre commercial et son épouse  avaient accès aux flux vidéo en temps réel depuis leur smartphone…

En somme, la CNIL a considéré que le centre commercial avait manqué aux obligations découlant de la loi Informatique & Libertés, d'abord en ne déclarant pas le traitement de données à caractère personnel, puis en ne traitant pas les données conformément à la finalité de la collecte, et enfin en ne veillant pas au caractère proportionné du traitement eu égard à sa finalité.
La Présidente de la CNIL a donc adressé une mise en demeure à la société exploitant ce centre commercial afin de l'inciter modifier son dispositif de vidéosurveillance sous trois mois pour, in fine, ne plus porter atteinte aux droits de ses salariés . Comme elle en a le pouvoir, cette mise en demeure – qui n'est pas une sanction en tant que telle – a été rendue publique et diffusée sur son site internet.

Si le centre commercial se conforme à la mise en demeure, alors la procédure sera close. Dans le cas contraire, la CNIL, siégeant en formation restreinte, pourra prononcer une sanction.
Cette affaire illustre les pouvoirs de contrôle de la CNIL (également mis en exergue à la suite de la mise en demeure adressée au club de football Paris Saint-Germain quant à l'existence d'une prétendue liste noire de supporters indésirables). Chaque entreprise peut faire l'objet d'un contrôle de la CNIL.
Pour s'y préparer, il est préférable de procéder aux formalités de déclaration des traitements de données à caractère personnel mis en œuvre par les entreprises, tout en veillant naturellement à respecter les principes de finalité et de proportionnalité.