A l’occasion de la mise en demeure de l’association « 42 » qui, en 2013, a créé l’école « 42 », établissement ayant vocation à former des étudiants dans le domaine de l’informatique, la CNIL a rappelé les critères de conformité de la mise en place de système de vidéosurveillance avec la loi Informatique et Libertés.
La CNIL a constaté que des caméras de l’école filmaient en permanence les espaces de travail des étudiants, les bureaux dédiés au personnel administratif ainsi que des lieux de vie telle que la cafétéria.
En outre, les personnes filmées n’étaient pas correctement informées.
Par ailleurs, la plupart des images issues de la vidéosurveillance étaient accessibles en temps réel aux étudiants sur le réseau intranet de l’école à partir de leur espace personnel.
Il convient de préciser que cette mise en demeure n’est pas une sanction car aucune suite ne sera donnée à cette procédure si l’association « 42 » se conforme à la loi dans le délai de deux mois qui lui est imparti.
La CNIL considère de manière générale comme excessif tout système de vidéosurveillance plaçant des salariés ou des étudiants sous surveillance constante.
Dans sa mise en demeure, la CNIL a rappelé les différentes obligations à respecter en lien avec la mise en place d’un système de vidéosurveillance eu égard à la Loi Informatique et libertés.
1. L’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données
L’article 6 de la loi n°78-17 du 6 janvier 1978 dispose que les données à caractère personnel collectées doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.
Si la CNIL considère de manière constante que des caméras peuvent filmer les accès de l’établissement (entrées et sorties) et les espaces de circulation, il est toutefois exclu de filmer les lieux de vie pendant les heures d’ouverture de l’établissement, sauf circonstances exceptionnelles, non démontrées en l’espèce.
De même, le fait de filmer en continu les postes de travail de certains employés est disproportionné, sauf circonstance particulière, par exemple lorsqu’un employé manipule des fonds ou des objets de valeur ou lorsque le responsable de traitement est à même de justifier de vols ou de dégradations commises sur ces zones.
2. L’obligation de définir une durée de conservation des données proportionnée à la finalité du traitement
L’article 6-5 de la loi du 6 janvier 1978 modifiée, applicable au jour des constats, prévoyait que les données à caractère personnel sont conservées pendant une durée qui n’excède pas celle nécessaire aux finalités pour lesquelles elles sont collectées et traitées.
La CNIL rappelle que les données à caractère personnel doivent être conservées uniquement le temps nécessaire à l’accomplissement de la finalité qui était poursuivie lors de leur collecte.
En l’espèce, si la conservation des données des candidats ayant échoué aux tests apparait légitime, il revient à l’association de s’assurer que seules les données permettant l’identification des candidats soient conservées.
3. L’obligation d’informer les personnes
L’article 32 de la loi n°78-17 du 6 janvier 1978 modifiée, applicable au jour des constats, imposait de fournir à la personne concernée un certain nombre d’informations quant au traitement de données mis en œuvre et notamment l’identité du responsable de traitement, sa finalité, ses destinataires, l’indication des droit des personnes.
Il est rappelé qu’en application des articles 131-41 et R625-10 du Code pénal combinés, le fait pour la personne morale responsable d’un traitement de ne pas informer, dans les conditions prévues à l’article 32 de la loi du 6 janvier 1978 modifiée, la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est puni d’une peine d’amende pouvant atteindre 7 500 €.
4. L’obligation d’assurer la sécurité et la confidentialité des données
La CNIL considère que l’accès aux images issues du système de vidéosurveillance doit être strictement réservé aux personnes habilitées au regard de leur fonction, par exemple, les agents en charge de la sécurité ou certains membres du personnel administratif.
Permettre l’accès aux images issues de la vidéosurveillance à toute personne non habilitée, conduit à compromettre la confidentialité des données traitées.
La CNIL rappelle qu’une authentification reposant sur l’utilisation d’un mot de passe insuffisamment complexe peut conduire à une compromission des comptes associés et à des attaques par des tiers non autorisés, par exemple des attaques par force brute qui consistent à tester successivement et de façon systématique de nombreux mots de passe.
L’article 34 de la loi 78-17 du 6 janvier 1978 modifiée disposait que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.
Il est rappelé qu’en application des articles 226-17 et 131-41 du Code pénal combinés, le fait pour une personne morale de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l’article 34 de la loi 78-17 du 6 janvier 1978 modifiée précitée est puni d’une peine d’amende pouvant atteindre 1 500 000 €.