Vidéosurveillance au travail : sanction pécuniaire pour manquements à la loi Informatique et Libertés

Par une délibération du 15 juin 2017, la formation restreinte de la CNIL a prononcé une sanction de 1 000 € à l’encontre d’une société pour non-conformité de son dispositif de vidéosurveillance avec la loi Informatique et Libertés, et absence de coopération avec la CNIL. Elle a relevé que la société procédait à une collecte excessive de données via le logiciel de visualisation des images du dispositif, certes paramétré pour enregistrer les images en dehors des horaires de travail mais également activé pendant la journée. En outre, l’accès aux images n’était pas suffisamment sécurisé, faute de renforcement de la politique des mots de passe. À cela s'ajoute le fait que la société n’ait pas répondu aux sept courriers adressés par la CNIL pendant un an et demi. C’est la raison pour laquelle la CNIL a rendu publique sa décision, afin de “sensibiliser les personnes et les responsables de traitement aux droits et obligations issus de la loi Informatique et Libertés, en particulier, à l’importance de répondre aux demandes de la Présidente et de mettre effectivement en œuvre les mesures requises”.

Pour lire la délibération sur Légifrance

Clôture d’une mise en demeure pour mise en conformité à la loi Informatique et Libertés

Par une décision du 27 juin 2017, la CNIL a clôturé une mise en demeure publique initiée un an auparavant à l’encontre de Microsoft, suite au lancement de Windows 10. En l’espèce, elle a notamment relevé que “la société [avait] réduit de près de la moitié le volume des données collectées dans le cadre du niveau de « base » de son service de télémétrie qui permet d’identifier des problèmes de fonctionnement du système et de les résoudre”, que “les utilisateurs [étaient] désormais informés, par une mention claire et précise, qu’un identifiant publicitaire [avait] vocation à suivre leur navigation pour leur proposer de la publicité ciblée”, et que “la société [avait] renforcé la robustesse du code PIN de 4 chiffres permettant aux utilisateurs de s’authentifier pour accéder à l’ensemble des services en ligne de la société et notamment à leur compte (…) les combinaisons trop communes [étant] désormais refusées”.

Pour lire le communiqué de presse et la décision de la CNIL

 

Clôture d’une mise en demeure pour mise en conformité avec la loi Informatique et Libertés

Par une décision du 14 juin 2017, la CNIL a clôturé la mise en demeure adressée à une société gérant un site de rencontres qui s’était, depuis réception de cette mise en demeure, mise en conformité avec la loi Informatique et Libertés. La société a en effet adressé divers courriers de réponse à la CNIL, permettant de relever qu’elle a pris de nombreuses mesures, notamment la mise en place d’une “procédure, via une case à cocher, pour recueillir le consentement des internautes pour le traitement des données sensibles”, l’inclusion “dans ses contrats avec les sous-traitants [d’]une clause énonçant l’obligation qui leur incombe d’assurer la sécurité physique des données” ou  encore la définition et la mise en œuvre d’une “durée de conservation des données proportionnée à la finalité du traitement”. La Présidente de la CNIL attire toutefois l’attention de la société sur “la nécessité de bien mettre en œuvre la mesure de blocage [qu’elle a annoncée]” s’agissant de la possibilité de “renseigner un nombre important de fois un mot de passe erroné sans que cela n’entraine une restriction d’accès au compte”.

Pour lire le communiqué de presse et la décision de la CNIL

Droit d’accès aux données d’une personne au bénéfice de son ayant droit

Le fils d’une victime d’accident de la circulation avait demandé à une compagnie d’assurance de lui donner accès aux traitements informatisés concernant les suites de l’accident et comportant des informations sur la victime. Insatisfait de la réponse apportée par l’assureur, il a saisi la CNIL d’une plainte, clôturée par cette dernière au motif que “le droit d’accès conféré aux personnes physiques [par la loi Informatique et Libertés] est un droit personnel qui ne se transmet pas aux héritiers”. Par un arrêt du 7 juin 2017, le Conseil d’État a estimé que “la seule qualité d’ayant droit d’une personne à laquelle se rapportent des données ne [conférait] pas la qualité  de “personne concernée” par  leur traitement”. Néanmoins, il a considéré que, le droit à réparation d’un dommage étant transmis aux héritiers, ceux-ci devaient “être regardés comme des “personnes concernées” au sens [de la loi Informatique et Libertés] pour l’exercice de leur droit d’accès aux données à caractère personnel concernant le défunt, dans la mesure nécessaire à l’établissement du préjudice que ce dernier a subi en vue de sa réparation et pour les seuls besoins de l’instance engagée”.

Pour lire l'arrêt du Conseil d'État

Validation par le Conseil d’État d’une sanction prononcée par la CNIL

Par un arrêt du 19 juin 2017, le Conseil d’État a validé la sanction pécuniaire de 50 000 € que la CNIL avait prononcée à l’encontre d’une société notamment pour manquement à ses obligations de sécurité et de confidentialité des données, suite à une mise en demeure de se conformer à la loi Informatique et Libertés restée sans effet. Le Conseil d’État a considéré comme étant proportionnée la sanction infligée à la société “eu égard à la nature, à la gravité et à la persistance des manquements constatés”. Si le Conseil d’État a confirmé que “la société n’avait pas, à l’expiration du délai fixé par la mise en demeure, remédié efficacement aux manquements constatés relatifs à la sécurité des données”, i l  a  affirmé qu’“en revanche la circonstance qu’il [avait] été postérieurement remédié au manquement fautif [pouvait] être prise en compte pour la détermination de la sanction”. Concernant la mesure de publication, le Conseil d’État a par ailleurs estimé que “la CNIL [devait] être regardée comme ayant infligé une sanction complémentaire excessive car sans borne temporelle”, et l’a limitée à deux ans.

Arrêt non publié

Sanction pour manquement au droit d’accès et non-coopération avec la CNIL

Une personne avait demandé la transmission de son dossier médical à son ancien cabinet dentaire. En l’absence de réponse de sa part, elle a porté plainte auprès de la CNIL sur le fondement de “l’absence de réponse à sa demande d’accès aux données à caractère personnel contenues dans son dossier médical”. Face à l’absence de réponse du cabinet médical aux sollicitations de la CNIL, une procédure de sanction a été engagée. Par une délibération du 18 mai 2017, la formation restreinte de la CNIL a estimé que le cabinet dentaire avait effectivement manqué à l’obligation de respecter le droit d’accès de son ancien patient. Elle estime que “le secret médical ne [pouvait] s’opposer, en l’espèce, à la communication au patient des données le concernant et contenues dans son dossier médical” et que “le comportement [belliqueux] du plaignant [était] sans incidence” au contraire de ce que faisait valoir le cabinet médical. La CNIL relève également un manquement aux obligations de répondre à ses demandes puisque ses “cinq courriers (…) sont restés sans réponse”. Eu égard aux manquements relevés, le cabinet dentaire a été condamné à une sanction pécuniaire de 10 000 € et à la publication de la délibération.

Pour lire la délibération de la formation restreinte de la CNIL

Recevabilité à titre de preuve de courriels issus d’une messagerie professionnelle non déclarée

Dans le cadre d’un contentieux relatif au licenciement d’un salarié pour insuffisance professionnelle, la Cour d’appel de Paris avait écarté des débats comme preuves illicites les courriels issus de la messagerie professionnelle de ce dernier, produits par l’employeur, dès lors que celui-ci "n’a[vait] pas effectué de déclaration relative à un traitement de données à caractère personnel auprès de [la CNIL]". Par un arrêt du 1er juin 2017, la Cour de cassation a cassé l’arrêt d’appel, estimant que "l'absence de déclaration simplifiée d'un système de messagerie électronique professionnelle non pourvu d'un contrôle individuel de l'activité des salariés, qui n'est dès lors pas susceptible de porter atteinte à la vie privée ou aux libertés au sens de l'article 24 de la loi “informatique et libertés”, ne rend pas illicite la production en justice des courriels adressés par l'employeur ou par le salarié dont l'auteur ne peut ignorer qu'ils sont enregistrés et conservés par le système informatique".

Pour lire l’arrêt de la Cour de cassation

Déréférencement et droit à l’image

Par une ordonnance de référé du 12 mai 2017, le Président du TGI de Paris a accueilli la demande de déréférencement d’une ex-mannequin sur le moteur de recherche Google, portant sur cinq URL renvoyant à des photographies de la demanderesse publiées sans son consentement. Le Président du TGI de Paris a rappelé qu’au regard de la loi Informatique et Libertés, "les données à caractère personnel doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et (…) traitées ultérieurement", or tel n’était pas le cas en l’espèce puisque le moteur de recherche "référen[çait] des photographies prises il y des années, sans que les sites en cause ne disposent de son autorisation et donc en violation de son droit à l’image protégé par l’article 9 du code civil". En outre, le Président du TGI a estimé qu’elle justifiait bien d’un "intérêt légitime à voir le déréférencement ordonné, s’agissant de clichés susceptibles à tout le moins de recevoir une connotation érotique publiés sans son autorisation et alors même qu’elle n’exer[çait] plus la profession de mannequin".

Pour lire l’ordonnance sur Legalis.net

Autorisation de systèmes d’authentification par reconnaissance vocale à titre expérimental

Par neuf délibérations en date du 27 avril 2017, la CNIL a autorisé neuf établissements bancaires à mettre en œuvre de manière expérimentale, pour une durée d’un an et sur un périmètre restreint, un mécanisme d’authentification de leurs clients par la reconnaissance vocale. Les objectifs sont notamment de “sécuriser les opérations à distance de gestion de comptes faites par leurs clients tout en leur offrant une solution d’authentification plus confortable que la saisie d’un mot de passe ou la réponse à des questions dites « de sécurité »” et de “tester l’appétence des clients pour ce type de mécanisme, ainsi que la fiabilité de celui-ci”. La CNIL a noté que ces projets satisfaisaient à ses exigences en matière d’expérimentation, mais a toutefois mis en garde sur le fait que “les conditions dans lesquelles ces expérimentations [étaient] autorisées ne présage[aient] nullement de celles qui devraient être mises en œuvre en cas de pérennisation d’un tel dispositif”.

Pour lire le communiqué de presse de la CNIL

Publicité en ligne et règles relatives aux cookies

Le 23 mai 2017, la CNIL a précisé les règles à respecter en matière de publicité en ligne suite aux contrôles menés par ses services auprès de treize émetteurs de cookies tiers. Ces contrôles ont permis d’identifier deux situations : celle où l’"éditeur détermine les moyens et finalités du traitement réalisé sur les données collectées grâce aux cookies externes (tiers) ou internes", et celle où l’émetteur de cookies tiers les détermine, visant en pratique le cas de l’émetteur déposant des cookies sur différents sites afin d’enrichir une base qu’il exploite. La CNIL, constatant que ces deux cas de figure s’appliquent souvent simultanément, estime que "la qualification de responsable de traitement et de sous-traitant s’effectue au cas par cas, par type et provenance de cookies", mais considère qu’il appartient dans tous les cas aux éditeurs de sites, "seuls en mesure de fournir une information directe sur les cookies déposés sur les terminaux des internautes (…) de mettre à leur disposition une information sur les groupes de cookies déposés et les moyens dont ils disposent pour s’y opposer". Elle rappelle toutefois que le cadre réglementaire est susceptible d’évoluer, la Commission européenne ayant annoncé un nouvel instrument pour fin 2017.

Pour lire le communiqué de la CNIL