Dalila Madjid avocat

L'actualité en droit du travail & en droit de la Propriété intellectuelle

Mise en demeure publique d’un centre commercial pour son système de vidéosurveillance excessif

octobre 5, 2013
Dalila Madjid

Le 12 septembre 2013, la CNIL a adopté une mise en demeure publique à l’encontre du centre commercial E. LECLERC en raison de son système de vidéosurveillance intrusif.

Une plainte suivie d’un contrôle sur place ont permis de constater que le centre commercial était équipé d’un système de vidéosurveillance disproportionné.

Ce dispositif servait à contrôler les horaires des salariés et ce en méconnaissance de leurs droits.

La CNIL a rappelé que l’utilisation de dispositif de surveillance au sein des entreprises ne peut intervenir que dans le respect de la vie  privée des salariés.

Etaient installées 240 caméras dont 180 étaient destinées à la surveillance du centre commercial.

60 autres caméras étaient installées aux caisses de l’hypermarché et filment les caddies et les articles scannées. En effet, le dispositif de « vidéo scanning » est destiné à lutter contre la démarque inconnu, il se compose de caméras qui filment les mains et postures de l’hôte(sse) de caisse.

Un tel dispositif était disproportionné selon la CNIL du fait de son ampleur.

Il filme les accès aux toilettes, et vestiaires réservés au personnel, au cabinet médical et aux salles de pause des salariés.

Les salariés sont sous surveillance permanente alors qu’ils se situent à leur poste de travail.

Contrairement à ce qui avait été indiqué à la CNIL, ce dispositif était utilisé pour contrôler les horaires de salariés. Car, certaines séquences vidéo extraites du dispositif concernent des salariés au moment de leur pointage.

Par conséquent, la CNIL a relevé plusieurs manquements, parmi lesquels :

1- le manquement à l’obligation d’accomplir les formalités préalables à la mise en oeuvre du traitement.

« A l’exception du système de « vidéoscanning », la société n’a procédé à aucune déclaration auprès de la CNIL concernant le dispositif de vidéosurveillance installé dans les locaux du centre commercial ».

2- Le manquement à l’obligation de traiter les données de manière compatible avec les finalités pour lesquelles elles ont été collectées.

« Il est avéré que le dispositif de vidéosurveillance ne vise pas exclusivement à protéger les biens et les personnes et qu’il est également utilisé à des fins de contrôle des horaires des salariés, ce qui constituent un détournement de finalité au sens des disposition de la loi « informatique et liberté ».

(Décision de la présidente n°2013-029 mise en demeure publique LECLERC)

La simplicité et l’absence de renouvellement d’un mot de passe : manquement de l’employeur à l’obligation d’assurer la sécurité des données.

juillet 22, 2013
Dalila Madjid

La CNIL a été saisie, au départ, d’une plainte d’un salarié d’une société de conseil en système d’information. Il reproche l’installation d’un dispositif de vidéosurveillance réalisée sans information préalable des salariés et dont l’usage était jugé abusif.

Après avoir souligné les manquements, par l’employeur, à l’obligation de proportionnalité du dispositif de vidéosurveillance et à l’obligation d’informer les salariés, la CNIL a, également, constaté, lors de différents contrôles, que les mots de passe utilisés par les salariés pour permettre l’accès aux ordinateurs professionnels et aux données à caractère personnel contenues dans les appareils informatiques étaient composés d’une suite de cinq caractères.

Les salariés choisissaient des mots de passe trop simples qui correspondaient  à leur prénom ou à leur nom de famille. Certains mots de passe étaient restés inchangés depuis l’année 2011.

Selon la CNIL, « la brièveté des mots de passe, leur déductibilité, leur simplicité et l’absence de renouvellement font encourir un risque certain aux données traitées« .

La société aurait du procédé à la mise en place d’une politique de sécurité des données à caractère personnel.

Autrement dit, l’employeur aurait du imposer à ses salariés de choisir des mots de passe plus longs mixant chiffres et lettres et caractères spéciaux, en les obligeant à les renouveler fréquemment.

En l’espèce, la société, comme le souligne la CNIL, « s’est dérobée à la réalisation d’opération de sécurisation de ses outils informatiques ».

Par conséquent, la CNIL a déclaré que la société a manqué à l’obligation d’assurer la sécurité des données à caractère personnel imposée par l’article 34 de la loi du 6 janvier 1978 modifiée, aux termes duquel :

« Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

La CNIL a ainsi prononcé une sanction pécuniaire contre ladite société, d’un montant de 10 000 € pour l’ensemble de ses manquements.

(Délibération CNIL du 30 mai 2013 n°2013-139)

Propulsé par WordPress.com.
%d blogueurs aiment cette page :