La CNIL a infligé, en l'espace de quelques mois, pas moins de seize sanctions pour un total de 108 000 euros d'amendes. Les établissements épinglés avaient notamment installé des caméras indiscrètes au travail.
La Commission nationale de l'informatique et des libertés (CNIL) s'est expliquée, ce lundi 13 octobre, sur le nouveau train de sanctions prononcées en majorité sur le sujet de la vidéosurveillance au travail. Entre le mois de mai et aujourd'hui, seize entreprises et établissements ont reçu des amendes (108 000 euros au total) dans le cadre de la procédure simplifiée de sanction. Ce qui frappe, c'est que quatorze de ces dossiers découlent directement de plaintes déposées par les citoyens. Les infractions touchent l'usage illégal de caméras de surveillance, les pratiques douteuses en marketing et le refus de collaborer avec l'autorité.
Des caméras qui oublient les limites de la vie privée
Le premier acte d'accusation exhumé par la CNIL concerne la vidéosurveillance débridée. Une entreprise du secteur pharmaceutique et un hôpital ont installé leurs caméras devant l'entrée d'un local syndical. Le problème, c'est qu'en filmant qui entre et sort de ce lieu, ces organisations enregistrent des informations sensibles sur l'engagement syndical de leurs employés.
C'est exactement ce que le RGPD interdit. Le Règlement général sur la protection des données prohibe la collecte de plus de données que nécessaire pour l'objectif visé, en l'occurrence la sécurité générale des locaux. Filmer un accès syndical revient à surveiller les opinions et l'activité militante des salariés, ce qui dépasse largement le cadre de la simple protection des biens.
L'établissement hospitalier a même poussé le bouchon plus loin. Ses équipes ont fourni des enregistrements vidéo à leur assureur pour évaluer un dossier d'indemnisation. Sauf que ces caméras avaient été officiellement installées pour la sécurité, et non pour servir de pièces à conviction dans des négociations financières. Ce changement d'usage en cours de route, ce fameux « détournement de finalité », est une violation caractérisée du règlement européen.
Dans un internat scolaire, la situation frise le dystopique. Les caméras scrutaient les élèves au moment du petit-déjeuner et dans le préau, de quoi créer un climat de surveillance continue. Pour la CNIL, cette omniprésence technologique brime excessivement l'intimité des jeunes et témoigne d'une méconnaissance flagrante des règles qui encadrent l'usage de ces dispositifs dans le milieu éducatif.
Jeux-concours et prospection commerciale : le consentement bafoué
Le deuxième volet du blâme porte sur les pratiques douteuses en prospection commerciale. Une société a mis au point un système bien rodé en apparence, puisqu'elle organisait des jeux-concours pour récolter des adresses e-mail. Mais l'arnaque se cachait dans le formulaire d'inscription, conçu pour que l'acceptation des offres publicitaires ressemble à une obligation pour participer. Résultat, les participants cochaient la case sans réellement comprendre qu'ils consentaient à recevoir du spam.
La manœuvre se compliquait encore davantage. Car l'entreprise utilisait ensuite ces données pour effectuer du démarchage commercial au nom de ses clients. Or, l'autorisation initiale ne couvrait nullement ces campagnes menées par des tiers. Double entourloupe donc, qui bafoue les règles strictes encadrant le démarchage électronique. La CNIL rappelle qu'un consentement valable doit être spécifique, libre et sans ambiguïté.
Cerise sur le gâteau, dix sanctions concernent le refus obstiné de collaborer avec l'autorité. Qu'ils soient avocats, médecins ou issus de diverses sociétés, tous ont fait la sourde oreille aux demandes répétées de la CNIL durant ses enquêtes. Cette obstruction volontaire leur coûte aujourd'hui cher, puisque la loi française impose aux organisations de faciliter le travail de contrôle. Ignorer l'autorité ne fait qu'aggraver le dossier.
