Revenir aux résultats de recherche

Commission nationale de l’informatique et des libertés , délibération n°2008-187, 3 juillet 2008 (Employeur – Salariés – Système de vidéosurveillance)

Lors d’une enquête et d’un contrôle dans une grande surface employant près de 500 personnes, diligentés après réception de plusieurs plaintes, la CNIL a constaté l’existence d’un dispositif de vidéosurveillance, enregistrant et conservant des images prises dans des lieux non ouverts au public, et d’un logiciel de gestion du temps de travail des salariés, sans que les formalités nécessaires de déclaration aient été faites. Mise en demeure de s’exécuter, la société a nommé un CIL (Correspondant Informatiques et Libertés), nomination lui permettant de se dédouaner des déclarations susnommées. Par contre, aucune mesure d’information à destination des salariés n’avaient été réalisées non plus, empêchant ceux-ci de pouvoir exercer les droits qui leurs sont conférés par la loi « informatique et libertés et notamment celui de s’opposer ou de rectifier les informations inexactes. La CNIL dans cette présente délibération, a condamné l'employeur à une amende de 30 000 euros.

Thème(s) : Commerce
DELIBERATION N° 2008-187 DU 3 JUILLET 2008 PRONONÇANT UNE SANCTION PECUNIAIRE A L’ENCONTRE DE LA SOCIETE ARCYDIS SAS

La Commission nationale de l’informatique et des libertés, réunie en formation restreinte, sous la présidence de M. Alex TÜRK ;
Etant aussi présents, M. Guy ROSIER, vice-président délégué, M. François GIQUEL, vice-président, Mlle Anne DEBET, membre, M. Bernard PEYRAT, membre et M. Hubert BOUCHET, membre ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié par le décret n° 2007-451 du 25 mars 2007 ;

Vu la délibération n° 2006-147 du 23 mai 2006 fixant le règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu la délibération n° 2008-063 du 6 mars 2008 de la Commission nationale de l’informatique et des libertés mettant en demeure la société ARCYDIS, notifiée le 30 mars 2008 ;

Vu la décision n° 2008-003 C du 10 janvier 2008 du président de la Commission nationale de l’informatique et des libertés de procéder à une mission de contrôle auprès de la société ARCYDIS ;

Vu la plainte ;

Vu le rapport de M. Emmanuel de GIVRY, commissaire rapporteur, notifié par huissier à la société ARCYDIS le 2 juin 2008 ;

Vu les autres pièces du dossier ;

Après avoir entendu, lors de la réunion du 3 juillet 2008 :
- M. Emmanuel de GIVRY, commissaire, en son rapport ;
- Mme Catherine POZZO-di-BORGO, commissaire adjointe du Gouvernement, en ses observations ;
- M. B., ayant pouvoir pour représenter la société ARCYDIS SAS ;

M. B. ayant pris la parole en dernier ;

I- Faits et procédure

A) Faits

1. La société ARCYDIS, dont le nom commercial est « Centre E-Leclerc », regroupe un hypermarché, une parapharmacie, une station de distribution de carburant, un centre automobile ainsi qu’une cafétéria. Elle emploie environ 500 personnes.
La CNIL a été saisie d’une plainte d’une personne ayant confié son véhicule au centre automobile, dont l’un des vendeurs l’a avertie qu’elle était l’objet de commentaires inscrits sur sa fiche client.

2. En application de la décision n° 2008-003C du 10 janvier 2008 du président de la Commission nationale de l’informatique et des libertés (ci-après « CNIL » ou « la Commission »), une délégation de la CNIL a procédé à une mission de vérification sur place le 16 janvier 2008 auprès de la société ARCYDIS (ci-après « la société »), sise 15-17 rue Jean Jaurès à Bois-d’Arcy (78390).

3. La délégation de la CNIL a tout d’abord constaté que la société est équipée d’un dispositif de vidéosurveillance, composé de 47 caméras, qui filme la réserve, les lignes de caisse et le parking. Une autorisation préfectorale a été délivrée le 11 mai 2005 par un arrêté DR-05-090.

Cependant, le système de vidéosurveillance mis en place au sein du centre E-Leclerc enregistrant et conservant, dans un traitement automatisé, des images prises dans des lieux non ouverts au public n’a pas été déclaré auprès de la CNIL préalablement à sa mise en œuvre.
En outre, le public n’est pas informé des mentions prévues par l’article 32 de la loi du 6 janvier 1978 modifiée, (pas davantage au titre de la loi du 21 janvier 1995), notamment celles relatives aux destinataires des images, ainsi qu’aux modalités d’exercice du droit d’accès aux enregistrements visuels concernés.

4. La délégation de la CNIL a ensuite constaté que le centre automobile de la société utilise un logiciel dénommé « Packauto/infomil » pour la gestion des ordres de devis, des ordres de réparation et des factures.

Il a été constaté que certains commentaires sont enregistrés dans le champ « remarque » de cette base de données afin de constituer au sein du centre automobile une liste des clients indésirables, dont fait partie le plaignant. Les commentaires suivants ont ainsi pu être identifiés :

« Attention ne plus intervenir sur ce véhicule cliente à problème vu monsieur R. et L. »
«Ne pas intervenir sur ce véhicule voir datamag et monsieur R. »
« Ne pas intervenir sur ce véhicule voir monsieur R. client à problème »
« Attention ne rien vendre à ce client suite problème montage jante date juillet 2007 »
« Ne pas considérer ce client comme privilégié vu M. ne plus intervenir sur ce véhicule cliente à problème »
« Attention ne plus intervenir sur le véhicule client de mauvaise foi problème crédit »
« Attention faire signer l’ordre de réparation avant chaque intervention cliente a problème suite intervention du 14 10 06 »
« Attention client pas patient annoncer délai long pour éviter problème »
« Attention client à problème mari avocat maître chanteur voir monsieur R. avant intervention »
« Attention faire inventaire du véhicule avant toute intervention problème de vol lors d’une intervention du 6 04 07 »
« Attention client à problème zéro défaut lors de la prise en charge »
« A faire par Monsieur R. en priorité client à problème si pas rigueur extrême »
« Attention le monsieur est policier ».

Aucune information n’est délivrée aux clients concernés par ce traitement de données à caractère personnel et aucune durée de conservation n’a été définie.

La société a effectué auprès de la CNIL, le 3 février 1995, une déclaration simplifiée en référence à la norme n° 11 (dossier n° 372334), s’agissant de la gestion de son fichier de clients. Cependant, ce traitement aurait dû faire l’objet d’une autorisation de la CNIL préalablement à sa mise en œuvre (conformément au 4° du I de l’article 25 de la loi du 6 janvier 1978) dans la mesure où la liste des clients est susceptible d’exclure une personne du bénéfice d’une prestation ou d’un contrat.

5. La délégation de la CNIL a relevé par ailleurs que la société dispose d’un fichier des clients interpellés en cas de flagrant délit de vol. Sont consignés
dans ce traitement manuel, l’identité civile, les date et lieu de naissance, l’adresse des personnes concernées, le jour et l’heure des interpellations, ainsi que les numéros des pièces d’identité.

Aucune formalité préalable n’a été effectuée auprès de la CNIL concernant le fichier manuel des clients interpellés en flagrant délit de vol.

La durée de conservation des informations recueillies n’a pas été définie, et les personnes concernées ne bénéficient d’aucune information au sens de l’article 32 de la loi.

6. Enfin, la délégation a constaté que le logiciel dénommé « Temptation », édité par la société Horoquartz, permettant de gérer le temps de travail des salariés, était mis en œuvre sans que les formalités nécessaires de déclaration auprès de la CNIL n’aient été accomplies.

B) Procédure

7. En conséquence, par délibération n° 2008-063 du 6 mars 2008, la Commission a mis en demeure la société la société ARCYDIS, sise 15-17 rue Jean Jaurès à Bois-d’Arcy (78390), sous un délai d’un mois, de :

- procéder à l’accomplissement des formalités préalables auprès de la CNIL pour l’ensemble des traitements automatisés de données à caractère personnel mis en œuvre, en particulier du dispositif de vidéosurveillance, du système de gestion du temps de travail des salariés et du fichier des clients interpellés en cas de flagrant délit de vol dans le centre E-Leclerc ;

- déposer auprès de la CNIL une demande d’autorisation d’un fichier de clients au sein duquel la société ARCYDIS enregistre des commentaires concernant des personnes pour qui elle ne souhaite plus effectuer de réparations automobiles ;

- procéder à la suppression de l’ensemble des commentaires susceptibles de ne pas être conformes au 1° de l’article 6 de la loi du 6 janvier 1978 modifiée, en veillant notamment à n’enregistrer dans le fichier de clients du centre automobile que des critères objectifs en cas d’incidents lors de l’exécution des prestations ;

- communiquer à la CNIL l’intégralité des mesures prises au sein de la société ARCYDIS visant à respecter les dispositions de l’article 32 de la loi du 6 janvier 1978 (droit à l’information de toute personne auprès de laquelle sont recueillies des données à caractère personnel) ;

- définir une durée de conservation proportionnée à la finalité du fichier (par exemple égale à la gestion de la relation commerciale) de clients pour la gestion des ordres de réparation, de devis et des factures et du fichier manuel des personnes interpellées en cas de flagrant délit de vol dans le centre
E-Leclerc ;

- justifier auprès de la CNIL que l’ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti.

L’avis de réception adressé avec la mise en demeure atteste que celle-ci a été remise le 31 mars 2008.

La société n’a adressé aucune correspondance à la CNIL relative à cette mise en demeure.

La société a cependant adressé à la CNIL par courrier en date du 21 avril 2008 un formulaire de désignation d’un correspondant informatique et libertés.

8. Sur la base de ce constat, une proposition de sanction pécuniaire a été notifiée par huissier à la société le 2 juin 2008, à laquelle était jointe la convocation à l’audience du 3 juillet 2008. Le rapport de sanction faisait état des différents manquements constatés à la loi « informatique et libertés », à savoir ceux relatifs à l’obligation d’accomplir les formalités préalables à la mise en œuvre de traitements ; à l’obligation d’adéquation, de pertinence et du caractère non excessif des données ; à l’obligation d’information des personnes ; à l’obligation de définir une durée de conservation des données ; à l’obligation de répondre aux demandes de la CNIL.

II- Motifs de la décision :

9. Dans ses observations écrites du 6 juin 2008 sur le rapport de M. Emmanuel de GIVRY proposant une sanction à l’encontre de la société ainsi que lors de l’audience de sanction du 3 juillet 2008, la société a présenté à la formation restreinte de la CNIL les différentes mesures prises pour se conformer aux demandes formulées par la Commission dans sa mise en demeure du 6 mars 2008.

A) Sur l’obligation d’accomplir les formalités préalables à la mise en œuvre des traitements

10. La mise en demeure de la CNIL du 6 mars 2008 a demandé à la société l’accomplissement des formalités préalables pour l’ensemble des traitements de données à caractère personnel mis en œuvre, en particulier le dispositif de vidéosurveillance, le système de gestion du temps de travail et le fichier des personnes interpellées et de déposer une demande d’autorisation du fichier des clients du centre auto dans lequel étaient enregistrés des commentaires concernant les personnes pour lesquelles elle ne souhaitait plus effectuer de réparations automobiles.

11. Le rapporteur a considéré que la société n’avait pas respecté les dispositions du Chapitre IV de la loi n° 78-17 du 6 janvier 1978 modifiée prévoyant l’accomplissement de formalités préalables auprès de la CNIL avant la mise en œuvre d’un traitement automatisé de données à caractère personnel. En effet, le rapporteur a constaté qu’à la date de son rapport, aucune formalité préalable n’avait été accomplie concernant le dispositif de vidéosurveillance implanté dans les lieux réservés au personnel, le système de gestion du temps de travail des salariés et le fichier des personnes interpellées en flagrant délit de vol dans le centre E. LECLERC.

12. La société a indiqué avoir nommé le 16 avril 2008 un correspondant « informatique et libertés », conformément aux dispositions du III de l’article 22 de la loi du 6 janvier 1978 modifiée et mis en place, le 22 avril 2008, un registre des traitements mis en œuvre.

Cette désignation a été validée par la CNIL le 21 mai 2008. Cette nomination permet effectivement de se dispenser, notamment, des déclarations des traitements de vidéosurveillance et de gestion du temps de travail des salariés.

S’agissant du fichier des personnes interpellées en flagrant délit, relevant de l’article 25 de la loi précitée (autorisation de la CNIL), la société a indiqué à la Commission avoir procédé à sa suppression.

S’agissant du traitement « packauto » qui comportait au moment du contrôle de la CNIL une liste d’exclusion (et donc le conduisait potentiellement à relever du régime de l’autorisation également), la société a précisé avoir supprimé les commentaires excessifs qui excluaient certains clients de toute prestation.

13. La Commission constate que la société avait effectivement joint à ses observations une liste des traitements mis en œuvre et qu’elle a désigné le 16 avril 2008 un correspondant « informatique et libertés ». Elle prend acte de la suppression du fichier des personnes interpellées, tout en soulignant qu’aucune preuve concrète ne lui a été apportée en ce sens, ainsi que du fait que le traitement « packauto » entre bien a priori dans le champ de la déclaration et est exonéré de formalités du fait de la désignation du correspondant « informatique et libertés » dans la mesure où les commentaires excessifs constatés lors de la mission de contrôle ont bien été effacés.

La Commission considère que la société s’est conformée, en définitive, à la mise en demeure concernant ce manquement.

B) Sur le manquement à l’obligation d’adéquation, de pertinence et du caractère non-excessif des données

14. La mise en demeure du 6 mars 2008 a demandé à la société ARCYDIS de supprimer les commentaires excessifs contenus dans le fichier clients « packauto » du centre auto et de n’enregistrer dans cette application que des commentaires objectifs en cas d’incident lors d’une réparation.

15. Le rapporteur a indiqué que la délégation de la CNIL, lors du contrôle sur place du 10 janvier 2008, avait relevé que les mentions figurant dans la base de données « Packauto » du centre automobile de la société ARCYDIS étaient excessives et non pertinentes au regard du 3° de l’article 6 de la loi du 6 janvier 1978 qui prévoit que les données à caractère personnel doivent être adéquates, pertinentes et non-excessives au regard de la finalité du traitement.

Le rapporteur a considéré qu’il revenait à la société de définir des critères objectifs permettant au centre automobile de signaler des incidents intervenus sur des réparations automobiles antérieures sans enregistrer de qualificatifs sur les clients concernés, afin d’éviter toute discrimination ou propos excessif au regard de la finalité du traitement de gestion des ordres de réparation, des ordres de devis et des factures. Il a relevé qu’en l’absence de toute réponse de la société, cette dernière n’avait pas respecté la mise en demeure sur ce point.

16. La société ARCYDIS a indiqué qu’elle a procédé à la suppression de la liste des clients ne pouvant plus bénéficier de prestations ainsi que des commentaires excessifs constatés lors du contrôle. Elle a ajouté avoir mis en place une procédure spécifique en cas d’incident avec un commentaire type à inscrire en cas de problème constaté sur le véhicule ou une décharge à faire signer par le client si celui-ci souhaite que les travaux soient malgré tout réalisés.

17. La Commission constate que la société a fourni la procédure de traitement des interventions sur les véhicules à risque et considère, au vu de ces éléments, que la société se conforme à la mise en demeure de la CNIL sur ce manquement.

C) Sur le manquement à l’obligation d’information des personnes

18. La mise en demeure de la Commission du 6 mars 2008 a demandé que soient communiquées à la CNIL l’intégralité des mesures prises visant à respecter les dispositions de l’article 32 de la loi du 6 janvier 1978 modifiée.

Le rapporteur a rappelé que la mission de vérification auprès de la société a permis de constater qu’aucune information n’a été délivrée aux clients inscrits dans le fichier de gestion des ordres de réparation, de devis et des factures du centre automobile de la société, ni aux personnes interpellées en cas de flagrant délit de vol. Il a également souligné, qu’en l’absence de réponse de la société à la mise en demeure du 6 mars 2008, et de communication des procédures mises en œuvre pour l’ensemble des traitements mis en œuvre au sein de la société, conformément à la demande formulée dans le dispositif de la mise en demeure, elle ne s’était pas conformée à celle-ci.

19. La société a indiqué avoir pris des mesures d’affichage pour le public et a produit des photos de ces affichages pour le traitement « packauto » ainsi que pour la vidéosurveillance.

20. La Commission constate qu’aucune mesure d’information n’a été prise, vis-à-vis du personnel, concernant la vidéosurveillance dans les espaces non ouverts au public (les réserves, en l’espèce), ce qui a été admis lors de l’audience par la société.

Elle rappelle que sa demande portait, dans la mise en demeure du 6 mars 2006, sur « l’intégralité des mesures prises au sein de la société visant à respecter les dispositions de l’article 32 … ». Or, elle constate que pour tous les autres traitements, dont la liste a été fournie dans ses observations écrites du 6 juin 2008, aucune précision n’est apportée sur les mesures d’information mises en œuvre. La société pouvait aisément joindre copies des documents, des notes internes ou mentions types qui auraient pu être réalisées, en particulier pour les traitements de ressources humaines, de contrôles des connexions à internet, de gestion des clients, etc.

La Commission constate, par conséquent, que la société ne se conforme pas à la mise en demeure du 6 mars 2008 sur ce point. Ce manquement est d’autant plus grave que la société emploie près de 500 personnes et qu’elle gère des milliers de clients. Or, l’ensemble du personnel voit ses données à caractère personnel enregistrées dans divers traitements (gestion des ressources humaines, suivi des connexions internet, gestion des horaires, paie, gestion des fonds de caisse, messagerie électronique, vidéosurveillance…). En s’abstenant de toute information, la société ne leur permet pas d’exercer les droits conférés par la loi du 6 janvier 1978. Les données concernant les clients font également, pour la plupart, l’objet d’une informatisation (gestion des ventes, facturation, service après-vente, gestion des commandes, suivi des réclamations…). En limitant l’information des clients au traitement « packauto », la société ne leur permet pas d’exercer les droits conférés par la loi précitée.

La Commission relève ainsi que l’extraction du fichier client fourni par la société comporte 114 501 noms.

D) Sur la durée de conservation des données

21. La mise en demeure de la CNIL du 6 mars 2008 a demandé à la société de définir une durée de conservation proportionnée à la finalité du fichier (par exemple le temps de la relation clientèle) pour le traitement « packauto » ainsi que pour le fichier des personnes interpellées, conformément aux dispositions découlant du 5° de l’article 6 de la loi du 6 janvier 1978 modifiée qui prévoient que les données à caractère personnel sont conservées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

22. Le rapporteur a constaté que la société n’avait pris aucune mesure pour définir une durée de conservation pour l’ensemble des données à caractère personnel traitées dans le fichier de clients pour la gestion des ordres de réparation, de devis et des factures et dans le fichier manuel des personnes interpellées en cas de flagrant délit de vol, en l’absence de réponse à la mise en demeure. Il a considéré que la société ARCYDIS ne s’était pas conformée sur ce point.

23. La société a indiqué avoir supprimé le fichier des personnes interpellées en flagrant délit de vol. Pour le traitement « packauto », la société a décidé de fixer une durée de conservation des données de quatre années pour les clients « inactifs » puis un archivage de six ans. La société a indiqué, lors de l’audience, que la durée de quatre ans était justifiée par les dispositions en vigueur en matière de contrôle technique et qu’elle souhaitait conserver les données des clients sur une durée de dix ans, archivage compris, car cela correspondait à la durée légale de conservation des factures et correspondances commerciales.

24. La Commission considère, cependant, que la durée de conservation des données de quatre années paraît excessive, sachant que les données relatives aux clients doivent être supprimées, nonobstant une possibilité d’archivage à des fins comptables, immédiatement une fois la prestation réalisée sauf si parmi les finalités du traitement il y a une finalité de prospection commerciale (relance, propositions de tarifs…), ce qui n’a pas été précisé par la société. De surcroît, la société ne définit pas ce qu’est un client « inactif ». Ce statut étant certainement acquis après une période – non définie – où le client n’aura pas eu recours aux services de la société pour une réparation ou un contrôle technique sur un véhicule, la durée de conservation réelle sera bien supérieure aux 4 ans. La Commission observe que le contrôle technique des véhicules doit avoir lieu tous les deux ans.

La Commission souligne que si l’article L. 123-22 alinéa 2 du code de commerce prévoit effectivement une conservation des documents comptables pendant dix ans, cette prescription peut être satisfaite par un archivage informatique des données sur un support distinct qui sera, en outre, de nature à en assurer la pérennité. La durée de conservation des données actives sera ainsi réduite.

La Commission ne retient pas, en l’état, de manquement à la mise en demeure sur ce point.

E) Sur le manquement à l’obligation de répondre aux demandes de la CNIL

25. La mise en demeure du 6 mars 2008, reçue le 31 mars par la société comme l’atteste l’accusé de réception postal demandait, dans un délai d’un mois, à la société de prendre les mesures précitées, soit jusqu’au 2 mai 2008.

26. Le rapporteur a souligné qu’au 30 mai 2008, la société n’avait apporté aucune réponse à la mise en demeure de la CNIL du 6 mars 2008, notifiée le 31 mars 2008. Il a constaté que ces faits étaient contraires à l’article 21 de la même loi qui dispose que : « les ministres, autorités publiques, dirigeants d’entreprises publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s’opposer à l’action de la commission ou de ses membres et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche ».

27. La Commission relève que la société n’a adressé aucune correspondance à la CNIL à la suite de sa mise en demeure. Seule la notification du rapport de sanction a conduit la société à adresser des éléments de réponse le 6 juin 2008, reçus le11 juin2008.

La Commission considère que cette absence de réponse à la mise en demeure du 6 mars 2008 met en évidence une absence de procédure de traitement des demandes de la CNIL, d’autant plus grave compte tenu de la taille de la société et du nombre de personnes physiques concernées (employés et clients).

28. La Commission constate que si la société a pris plusieurs mesures correctives afin de respecter les dispositions de la loi « informatique et libertés », elles n’en demeurent pas moins partielles.

PAR CES MOTIFS, conformément à l’article 45 de la loi du 6 janvier 1978 modifiée, la CNIL décide de :

- prononcer à l’encontre de la société ARCYDIS une sanction pécuniaire de 30 000 euros ;
- publier la présente décision sur son site internet et sur la base « Légifrance ».

Le Président
Alex TÜRK