Vidéo surveillance : attention les sanctions tombent !

Sylvain VERBRUGGHE
Sylvain VERBRUGGHE

 

SOURCE : Délibérations de la formation restreinte de la CNIL :

 

n°2013-400 du 12 décembre 2013 ;

 

n°2013-319 du 24 octobre 2013 ;

 

n°2013-320 du 24 octobre 2013 ;

 

Depuis la loi n° 2004-801 du 6 août 2004, la formation restreinte de la Commission nationale de l’informatique et des libertés peut prononcer diverses sanctions à l’égard des responsables de traitements de données à caractère personnel, qui ne respecteraient pas la loi.

 

Ces sanctions pécuniaires, susceptibles d’atteindre 300.000 euros, peuvent être rendues publiques. Tel est le cas de ces 3 décisions prononcées à l’encontre de sociétés ayant procédé à l’installation d’un système de vidéo surveillance dans leurs locaux, recevant ou non du public.

 

A l’origine de la sanction, la CNIL formule trois griefs à l’encontre de ces entreprises :

 

Manquement à l’obligation d’accomplir les formalités préalables à la mise en œuvre de traitement de données à caractère personnel

 

Pour procéder à l’installation d’un système de traitement de données, tel que la vidéosurveillance, une déclaration doit être préalablement adressée à la CNIL, contenant :

 

« 1° L’identité et l’adresse du responsable du traitement (…)

2° La ou les finalités du traitement, ainsi que, pour les traitements relevant des articles 25, 26 et 27, la description générale de ses fonctions ;

3° Le cas échéant, les interconnexions, les rapprochements ou toutes autres formes de mise en relation avec d’autres traitements ;

4° Les données à caractère personnel traitées, leur origine et les catégories de personnes concernées par le traitement ;

5° La durée de conservation des informations traitées ;

6° Le ou les services chargés de mettre en oeuvre le traitement ainsi que, pour les traitements relevant des articles 25, 26 et 27, les catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du service, ont directement accès aux données enregistrées ;

7° Les destinataires ou catégories de destinataires habilités à recevoir communication des données ;

8° La fonction de la personne ou le service auprès duquel s’exerce le droit d’accès prévu à l’article 39, ainsi que les mesures relatives à l’exercice de ce droit ;

9° Les dispositions prises pour assurer la sécurité des traitements et des données et la garantie des secrets protégés par la loi et, le cas échéant, l’indication du recours à un sous-traitant ;

10° Le cas échéant, les transferts de données à caractère personnel envisagés à destination d’un Etat non membre de la Communauté européenne, (…) »[1]

 

Aucune déclaration n’a été adressée par ces sociétés à la CNIL, malgré des mises en demeure d’y procéder.

 

Manquement à l’obligation d’informer les personnes surveillées

 

La CNIL a reproché à deux sociétés un manquement total d’information des personnes concernant la collecte de données, en violation de l’article 32 de la loi de 1978 :

 

«  Art. 32. – I. – La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable, par le responsable du traitement ou son représentant :

1° De l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ;

2° De la finalité poursuivie par le traitement auquel les données sont destinées ;

3° Du caractère obligatoire ou facultatif des réponses ;

4° Des conséquences éventuelles, à son égard, d’un défaut de réponse ;

5° Des destinataires ou catégories de destinataires des données ;

6° Des droits qu’elle tient des dispositions de la section 2 du présent chapitre ;

7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d’un Etat non membre de la Communauté européenne. (…) »

 

La troisième société avait installé dans ces locaux deux écriteaux portant la mention « local placé sous vidéo surveillance ». Pour la CNIL, cette information est insuffisante et incomplète, la mention de la personne responsable de l’enregistrement et les modalités d’accès aux données collectées n’y figurant pas.

  

Manquement à l’obligation de coopérer au bon déroulement des investigations de la CNIL

 

Aux termes de l’article 21 de la loi de 1978,

 

« (…) Les ministres, autorités publiques, dirigeants d’entreprises publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s’opposer à l’action de la commission ou de ses membres et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche (…) »

 

La CNIL reproche aux trois sociétés une violation de ces dispositions :

 

-en refusant de réceptionner les plis recommandés ou en ne répondant pas dans les délais impartis;

 

– Et en refusant de se présenter aux audiences et de conclure en réponse : en d’autres termes, de ne pas assurer sa défense en justice.

 

Les trois sociétés ont donc été condamnées à une amende de 10.000 euros.

 

Pour mémoire, les décisions de la CNIL peuvent faire l’objet d’un recours devant le Conseil d’Etat dans les 2 mois de la réception de notification de la décision réalisée par la CNIL.

 

Sylvain VERBRUGGHE

Vivaldi-Avocats

 


[1] article 30 de la loi n°78-17 du 6 janvier 1978 modifiée

Partager cet article
Vivaldi Avocats