Les avocats du net

 
 


 

Jurisprudence : Vie privée

vendredi 27 novembre 2015
Facebook Viadeo Linkedin

Conseil d’État, 10ème / 9ème SSR, décision du 18 novembre 2015

PS Consulting

cnil - correspondant à la protection des données à caractère personnel - cybersurveillance - finalité proportionnalité - mise en demeure - mot de passe - obligation d'information - obligation de sécurité - salarié - sanction - traitement automatisé de données à caractère personnel

Vu la procédure suivante :

Par une requête sommaire et un mémoire complémentaire, enregistrés les 13 août et 13 novembre 2013 au secrétariat du contentieux du Conseil d’Etat, la société PS Consulting demande au Conseil d’Etat :

1°) d’annuler la décision n° 2013-139 du 30 mai 2013 par laquelle la Commission nationale de l’informatique et des libertés a décidé, d’une part, de prononcer contre elle une sanction pécuniaire d’un montant de 10 000 euros et, d’autre part, de rendre publique sa décision sur le site Internet de la Commission et sur le site Légifrance ;

2°) à titre subsidiaire, de réformer cette décision en supprimant la sanction de publication et en fixant une sanction pécuniaire moins élevée en rapport avec les griefs qui lui sont reprochés ;

3°) de condamner l’Etat à réparer son préjudice à hauteur de 1 000 000 euros ;

4°) de mettre à la charge de l’Etat le versement d’une somme de 4 500 euros au titre de l’article L. 761-1 du code de justice administrative.

Vu les autres pièces du dossier ;
Vu :
– la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales ;
– le code du travail ;
– la loi n° 78-17 du 6 janvier 1978 ;
– le décret n° 2005-1309 du 20 octobre 2005 ;
– le code de justice administrative ;

Après avoir entendu en séance publique :

– le rapport de M. Jacques Reiller, conseiller d’Etat,

– les conclusions de M. Edouard Crépey, rapporteur public ;

La parole ayant été donnée, avant et après les conclusions, à la SCP Gatineau, Fattaccini, avocat de la société PS Consulting ;

1. Considérant qu’il résulte de l’instruction que, saisie le 15 décembre 2010 par un salarié de la société PS Consulting d’une plainte relative au dispositif de vidéosurveillance sur son lieu de travail, la Commission nationale de l’informatique et des libertés a, par lettres des 2 février, 24 février, 13 octobre et 24 novembre 2011, auxquelles la société a répondu les 8 février, 9 mars et 14 décembre 2011, rappelé à cette dernière ses obligations légales avant de diligenter un premier contrôle sur place le 2 février 2012 ; que la Commission a prononcé le 13 avril 2012 une mise en demeure invitant la société, dans un délai d’un mois, à veiller à la proportionnalité de son dispositif, à améliorer l’information des personnes, enfin à remédier aux lacunes relevées en ce qui concerne la sécurité des données ; que, à la suite de nouveaux échanges de courriers, la Commission a procédé à un deuxième contrôle sur place le 15 octobre 2012, puis à un troisième le 11 décembre 2012 ;

2. Considérant que la présidente de la Commission nationale de l’informatique et des libertés a décidé d’engager, au vu des éléments recueillis, une procédure de sanction à l’encontre de la société PS Consulting en désignant un rapporteur le 2 janvier 2013 ; que, sur le rapport de celui-ci, la commission restreinte de cette autorité a prononcé, le 30 mai 2013, une sanction pécuniaire, qu’elle a rendue publique, de 10 000 euros à l’encontre de la société, en retenant des manquements aux obligations de collecter des données adéquates pertinentes et non excessives, d’informer les personnes et de veiller à la sécurité des données ;

Sur la régularité de la décision attaquée :

3. Considérant, en premier lieu, qu’aux termes de l’article 61 du décret du 20 octobre 2005, pris pour application de l’article 44 de la loi du 6 janvier 1978 :  » Lorsque la commission décide un contrôle sur place, elle en informe préalablement par écrit le procureur de la République dans le ressort territorial duquel doit avoir lieu la visite ou la vérification. Le procureur de la République est informé au plus tard vingt-quatre heures avant la date à laquelle doit avoir lieu le contrôle sur place. Cet avis précise la date, l’heure, le lieu et l’objet du contrôle  » ;

4. Considérant qu’il résulte de la combinaison du f de l’article 11 et de l’article 44 de la loi du 6 janvier 1978 qu’une procédure de contrôle consiste pour la Commission à procéder ou à faire procéder par les agents de ses services à des vérifications portant sur tous traitements et à recueillir, sur place ou sur convocation, tout renseignement, document ou justification utile à ses missions, sans que le nombre des opérations de contrôle soit limité ; que, par suite, le moyen tiré de ce que les membres ou agents de la Commission, qui avaient été habilités par la décision n° 2012-12C du 31 janvier 2012 de la présidente de la Commission à procéder à la vérification sur place de la conformité des traitements de données à caractère personnel mis en oeuvre par la société PS Consulting en matière de vidéosurveillance, auraient irrégulièrement procédé aux contrôles sur place des 15 octobre et 11 décembre 2012, faute pour chacun de ceux-ci d’avoir été précédé d’une nouvelle décision d’y procéder, doit être écarté ;

5. Considérant, d’autre part, qu’il résulte de l’instruction que chacune des trois opérations sur place a été portée à la connaissance préalable du procureur de la République par télécopie, les 31 janvier, 10 octobre et 10 décembre 2012 ; que, par suite, le moyen tiré de la méconnaissance de l’obligation d’information préalable prévue par l’article 61 du décret du 20 octobre 2005 manque en fait ;

6. Considérant, en deuxième lieu, qu’aux termes du premier alinéa de l’article 62 du même décret :  » Lorsque la commission effectue un contrôle sur place, elle informe au plus tard au début du contrôle le responsable des lieux de l’objet des vérifications qu’elle compte entreprendre, ainsi que de l’identité et de la qualité des personnes chargées du contrôle. Lorsque le responsable du traitement n’est pas présent sur les lieux du contrôle, ces informations sont portées à sa connaissance dans les huit jours suivant le contrôle.  » ; que, d’une part, il résulte de l’instruction que la personne provisoirement responsable des lieux au début du contrôle du 2 février 2012 a été informée de celui-ci dans les conditions mentionnées ci-dessus ; que, d’autre part, s’il est exact que le président de la société et responsable du traitement n’était pas présent au début de la visite de contrôle, il ressort du procès-verbal qu’il est revenu sur les lieux en cours de journée et qu’il a signé toutes les pages de ce procès-verbal dont il lui a été remis copie, après y avoir porté des annotations manuscrites ; que le moyen manque donc en fait ;

7. Considérant, en troisième lieu, que la société requérante soutient que la Commission nationale de l’informatique et des libertés n’a pas respecté les exigences du procès équitable et du respect des droits de la défense découlant de l’article 6 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales en ce qu’elle ne l’a informée à aucun moment, lors de ses contrôles, de ce qu’elle pouvait garder le silence ou se faire assister par le conseil de son choix ; que, si ces exigences s’appliquent seulement à la procédure de sanction ouverte par la présidente de la Commission de l’informatique et des libertés, et non à la phase préalable des enquêtes réalisées par les agents de la Commission, elles nécessitent toutefois que, lors du déroulement de la phase préalable, il ne soit pas porté une atteinte irrémédiable aux droits de la défense des personnes auxquelles des griefs sont ensuite notifiés ;

8. Considérant que, d’une part, par lettres des 2 février, 15 octobre et 11 décembre 2012, la Commission nationale de l’informatique et des libertés a, conformément aux dispositions de l’article 44 de la loi du 6 janvier 1978, notifié à la société PS Consulting son droit à s’opposer aux contrôles envisagés ; que, d’autre part, il ne résulte pas de l’instruction que, faute pour la société d’avoir été informée qu’elle pouvait garder le silence pendant les contrôles ou se faire assister par un conseil, elle aurait été amenée à prendre des positions qui lui auraient été particulièrement préjudiciables dans l’établissement des griefs qui lui ont ensuite été notifiés ; que, par suite, le moyen tiré de la méconnaissance des stipulations de l’article 6 de la convention ne peut qu’être écarté ;

Sur le bien-fondé de la décision attaquée :

En ce qui concerne le non-respect de l’obligation de proportionner le dispositif de vidéosurveillance aux finalités poursuivies :

9. Considérant qu’en vertu du 3° de l’article 6 de la loi du 6 janvier 1978, les données à caractère personnel collectées par un responsable de traitement doivent être  » adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées ainsi et de leurs traitements ultérieurs  » ; qu’aux termes de l’article L. 1121-1 du code du travail :  » Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives des restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché.  » ;

10. Considérant qu’il résulte de l’instruction que, lors de son premier contrôle, le 2 février 2012, la Commission a constaté que la caméra n° 2 permettait de voir le poste d’une salariée et que la caméra n° 3 était orientée en direction d’une salle où travaillaient six personnes ; qu’à la suite de deux lettres de rappel adressées les 6 et 23 juillet 2012, le deuxième contrôle de la Commission lui a permis de constater le 15 octobre 2012, soit au-delà de l’échéance fixée par la mise en demeure du 13 avril 2012, que, si les orientations des deux caméras avaient été modifiées, la caméra n° 3 était dirigée désormais vers le poste d’un autre salarié ; que ce n’est que lors du troisième et dernier contrôle, le 11 décembre 2012, qu’il est apparu qu’aucun salarié n’était plus sous la surveillance constante de caméras ;

11. Considérant que, pour arguer de la proportionnalité de son dispositif, la société, qui exerce une activité de prestataire de services informatiques, invoque la finalité de sécurité des personnes et des biens et le caractère confidentiel de ses missions ; que, cependant, aucun élément, hormis  » la volonté de la direction de lutter contre des vols susceptibles d’être perpétrés par ses propres salariés « , ne vient étayer les préoccupations de sécurité alléguées ; qu’il apparaît, au contraire, que, dès le premier contrôle, il avait été constaté que le dispositif était installé depuis plusieurs mois dans des locaux sécurisés, dont l’entrée ne peut s’effectuer qu’après autorisation et vérification d’identité ;

12. Considérant qu’il résulte de ce qui précède que c’est à bon droit que la commission restreinte de la Commission nationale de l’informatique et des libertés a relevé que la société avait manqué à l’obligation de proportionnalité en plaçant et maintenant sous surveillance l’un au moins de ses salariés bien au-delà du délai de mise en conformité fixé par la mise en demeure du 13 avril 2012 ;

En ce qui concerne le non-respect de l’obligation d’informer les personnes :

13. Considérant qu’aux termes du I de l’article 32 de la loi du 6 janvier 1978 :  » La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable, par le responsable du traitement ou son représentant : / 1° De l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ; / 2° De la finalité poursuivie par le traitement auquel/es données sont destinées ; / 3° Du caractère obligatoire ou facultatif des réponses ; / 4° Des conséquences éventuelles, à son égard, d’un défaut de réponse; / 5° Des destinataires ou catégories de destinataires des données ; / 6° Des droits qu’elle tient des dispositions de la section 2 du présent chapitre ; / 7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d’un Etat non membre de la Communauté européenne (…)  » ; qu’en outre, l’article L. 1222-4 du code du travail prévoit qu' » aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance  » ; qu’enfin, les candidats à l’emploi doivent, en vertu de l’article L. 1221-9 du même code, bénéficier des mêmes mesures d’informations ;

14. Considérant que la société requérante estime s’acquitter, à cet égard, de diligences suffisantes, d’une part, du fait de l’apposition, à l’entrée des locaux, d’un affichage qui vaut tant pour les salariés que pour les postulants à un emploi et, d’autre part, parce qu’elle a explicitement confié le soin de l’information individuelle au correspondant informatique et libertés en ce qui concerne les salariés et aux chargés du recrutement en ce qui concerne les candidats à l’embauche ;

15. Considérant, toutefois, qu’il résulte de l’instruction que l’affichage à l’entrée des locaux ne comporte pas les mentions obligatoires de l’article 32 de la loi du 6 janvier 1978, telles que l’identité du responsable du traitement, les finalités poursuivies par le traitement, les destinataires des données et les droits des personnes ; qu’il n’est, d’autre part, pas contesté, en dépit de nombreuses lettres explicatives et de rappel, que l’information personnelle préalable tant des salariés que des candidats à l’embauche n’était pas ou très aléatoirement assurée, y compris lors du troisième contrôle le 11 décembre 2012 ; que, comme l’attestent les procès-verbaux dans lesquels les responsables de la société reconnaissent les carences du correspondant informatique et libertés et des chargés de recrutement, les agents préposés à ces tâches ne les remplissaient pas ou n’étaient pas en mesure de le faire correctement ; qu’il en résulte que c’est donc à bon droit, sans se fonder sur des faits matériellement inexacts, que la commission restreinte a relevé à l’encontre de la société des manquements aux obligations légales d’information des personnes ;

En ce qui concerne le non-respect de l’obligation d’assurer la sécurité des données :

16. Considérant que l’article 34 de la loi du 6 janvier 1978 impose au responsable de traitement de  » prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès  » ;

17. Considérant que, pour soutenir que les exigences de la Commission excèdent ce qu’impliquent ces dispositions, la société requérante n’évoque que le seul poste de la salariée qui a accès aux images enregistrées et dont le mot de passe de cinq caractères lui paraît suffisant, alors même qu’à la suite de la mise en demeure du 13 avril 2012, elle avait assuré à la Commission, dans un courrier du 6 juin 2012, que le mot de passe permettant d’accéder aux images comportait désormais seize caractères alphanumériques et qu’il serait renouvelé tous les deux mois ; que toutefois, lors du troisième contrôle, le 11 décembre 2012, il a été constaté que le mot de passe, inchangé depuis fin 2011, comportait toujours les cinq caractères correspondant au prénom de l’agent et que, plus généralement, s’agissant des outils informatiques dont l’utilisation implique des exigences minimales de sécurisation, aucune politique de sécurité n’avait encore été mise en place ;

18. Considérant que, dans ces conditions, la commission a pu estimer, à bon droit, que la société avait manqué à l’obligation d’assurer la sécurité des données ;

En ce qui concerne le caractère proportionné de la sanction et de la décision de la publier :

19. Considérant que la requérante demande, à titre subsidiaire, que le montant de la sanction pécuniaire de 10 000 euros, selon elle excessif au regard de la réalité des manquements qui lui sont reprochés, soit réduit et demande que la mesure de publicité, qu’elle estime particulièrement pénalisante eu égard à son activité de prestataire de services informatiques, soit annulée ;

20. Considérant que la procédure préalable à la sanction a duré plus de deux années ; qu’en dépit du caractère soutenu des contrôles effectués par la Commission nationale de l’informatique et des libertés, la société requérante ne s’est pas mise en conformité avec plusieurs des exigences découlant de la loi du 6 janvier 1978, concernant notamment l’information des personnes et la sécurité des données ; qu’au regard de la persistance et de la gravité de ces manquements caractérisés, il n’apparaît pas que la sanction pécuniaire de 10 000 euros que la commission restreinte de la Commission nationale de l’informatique et des libertés lui a infligée, assortie d’une décision de publication, soit disproportionnée ;

21. Considérant qu’il résulte de tout ce qui précède que la société requérante n’est pas fondée à demander l’annulation ou la réformation de la décision attaquée ni, en tout état de cause, l’indemnisation du préjudice qu’elle estime avoir subi ; que sa requête doit donc être rejetée, y compris ses conclusions présentées au titre des dispositions de l’article L. 761-1 du code de justice administrative ;

DECISION

Article 1er : La requête de la société PS Consulting est rejetée.

Article 2 : La présente décision sera notifiée à la société PS Consulting et à la Commission nationale de l’informatique et des libertés.

Copie en sera adressée au Premier ministre.

Le Conseil : Jacques Reiller (rapporteur),Edouard Crépey (rapporteur public)

Avocats : SCP Gatineau, Fattaccini

Notre présentation de la décision

 
 

En complément

Maître SCP Gatineau et Fattaccini est également intervenu(e) dans les 30 affaires suivante  :

 

En complément

Le magistrat Edouard Crépey est également intervenu(e) dans les 6 affaires suivante  :

 

En complément

Le magistrat Jacques Reiller est également intervenu(e) dans l'affaire suivante  :

 

* Nous portons l'attention de nos lecteurs sur les possibilités d'homonymies particuliérement lorsque les décisions ne comportent pas le prénom des personnes.