La Commission nationale de l’informatique et des libertés (CNIL) a ordonné récemment l’interruption de deux dispositifs de sécurité dans deux entreprises différentes. Dans le premier cas il s’agissait de la mise en place d’un système biométrique dans le cadre d’une entreprises spécialisée dans le commerce de gros de l’habillement militaire, dans le second de l’utilisation de la vidéosurveillance (terme utilisée par la CNIL) dans le cadre d’une entreprise de transport routier. Nous avons souhaité de plus amples explications sur les décisions rendues par la CNIL.
Question 1. Le 18 mars, la CNIL a ordonné l’interruption d’un système biométrique dans une entreprise. Quelles sont les raisons qui ont pousser la CNIL à une telle décision ?
Cette affaire concerne une société qui n’a pas tenu compte du refus de la CNIL, dans le cadre d’une demande d’autorisation pour mettre en œuvre un dispositif biométrique d’accès reposant sur l’empreinte digitale stockée dans une base de données. Comme vous le savez, la procédure d’autorisation vise les applications jugées les plus sensibles et la CNIL, qui prend en considération les risques liés à cette technologie au regard des droits et libertés consacrés par la loi du 6 janvier 1978 modifiée, estime que le recours à de tels dispositifs n’est justifié que s’ils répondent à un fort impératif de sécurité. Tel n’était pas le cas en l’espèce. Or, le contrôle mené par la CNIL a permis de constater que le dispositif d’accès refusé par la CNIL était opérationnel.
En conséquence, la CNIL a fait usage de son pouvoir d’urgence lui permettant d’interrompre la mise en oeuvre d’un tel traitement.
Question 2. Le 22 avril, la CNIL a ordonné « d’urgence » l’interruption d’un dispositif de vidéosurveillance car l’entreprise s’en serait servie pour surveiller ses salariés. Comment la CNIL pouvait-elle être certaine que l’entreprise recourait à cette technologie de manière malveillante ? Y avait-il d’autres raisons qui ont conduit la CNIL à prendre cette décision ?
La CNIL a été saisie d’une plainte de salariés concernant le dispositif de vidéosurveillance, dont l’installation paraissait faire suite à des actes de dégradation et de vols commis sur le site. La plainte indiquait que la société n’avait accompli aucune formalité de déclaration auprès de la CNIL, et n’avait délivré aucune information aux personnels, ni à leurs représentants.
Après un échange de courriers dans le cadre de l’instruction, au terme duquel il semblait que le dispositif, plaçant sous surveillance constante des salariés, était manifestement disproportionné, il a été décidé de faire un contrôle sur place, tant au siège qu’à l’agence principale de la société. Il s’est avéré que certains des engagements pris par la société n’avaient pas été effectivement mis en oeuvre (information individuelle des salariés, enregistrement de vidéosurveillance uniquement durant les heures de fermeture, procédés vpermettant de ne pas placer sous surveillance constante des salariés, etc.). La CNIL a donc estimé que le dispositif, dans sa configuration actuelle, portait atteinte aux droits et libertés protégés par la loi et a ordonné l’interruption du traitement pour une durée de trois mois. Il appartient à la société, dans ce laps de temps, de se mettre en conformité avec la loi en adoptant des mesures correctives.
Question 3. Dans le cadre de tel événement, quelles sont les conséquences pour les entreprises ? Quelles sont les sanctions qu’elles subissent ?
Dans les cas d’espèce, les sociétés se doivent desuspendre les dispositifs installés. Elles doivent alors veiller à ce que les mesures qu’elles adoptent soient conformes aux dispositions de la loi « Informatique et Libertés ». Le rôle de la Commission consiste à encadrer la mise en oeuvre de dispositifs technologiques afin que les droits et libertés des personnes physiques, leur vie privée, soient préservés.
Question 4. Finalement le pouvoir de sanction est relativement faible. N’y a-t-il pas un risque d’un développement de technologies de sécurité illicite ?
Les moyens d’action dont dispose la CNIL depuis 2004 pour faire respecter la loi peuvent être jugés inefficaces, particulièrement lorsqu’il est nécessaire d’agir rapidement. Pour autant, la possibilité de mettre en demeure des organismes – privés comme publics, quelle que soit leur structure juridique – de rectifier des pratiques contribue à faire respecter la loi et les droits qu’elle reconnaît aux personnes.
S’agissant des technologies de sécurité, il est incontestable qu’elles sont en plein essor. L’une des missions de la CNIL vise à sensibiliser en amont les professionnels à la nécessité de prendre en compte les questions de protection des données. Ainsi, les dispositifs développés et proposés sur le marché ne sont pas illicites du point de vue de la loi « Informatique et Libertés ».
Question 5. D’un côté la CNIL, de l’autre la commission nationale de vidéosurveillance. Les responsables de sécurité peuvent être un peu perdus dans ce méandre institutionnel. Pouvez vous nous expliquer pour conclure comment se répartissent les missions des uns et des autres et à quel organisme doit-on déclarer son souhait d’installer un tel dispositif ?
Cette question révèle indirectement la complexité à faire coexister deux régimes juridiques distincts pour la vidéosurveillance, ou « vidéoprotection » pour adopter la nouvelle terminologie. Très succinctement, la loi du 21 janvier1995 concerne les systèmes de vidéosurveillance visionnant les lieux ouverts au public. Dans ce cas, ils doivent faire l’objet d’une autorisation préfectorale ; la loi du 6 janvier 1978 modifiée en 2004, quant à elle, réglemente les systèmes de vidéosurveillance installés dans un lieu non ouvert au public, comme une entreprise, ou les systèmes implantés dans les lieux publics lorsqu’ils sont couplés à une technique biométrique (de reconnaissance faciale par exemple). La procédure à accomplir est alors celle de la déclaration. Ce cadre juridique est difficilement compréhensible puisque, dans de nombreuses situations, deux procédures différentes doivent être accomplies auprès de deux autorités différentes. C’est la raison pour laquelle la CNIL, autorité administrative indépendante, demande à ce que le contrôle des dispositifs de vidéosurveillance, quels qu’ils soient, lui soit confié.
La Commission nationale de vidéosurveillance a pour sa part principalement un rôle d’avis auprès du ministre de l’intérieur sur les évolutions techniques, mais ne dispose d’aucun pouvoir de contrôle.