La Cnil vient de rendre publique la sanction qu'elle avait prise à l'encontre d'une société qui avait mis en place des outils de contrôle de l'activité de ses salariés avec une légèreté coupable.

Cette société avait mis en place un système de pointage biométrique (empruntes digitales) à des fins de contrôle des horaires des salariés, de surcroît sans autorisation préalable.

Le marteau-pilon pour écraser la mouche

Il convient en effet de rappeler que les traitements de données à caractère personnel doivent toujours êtres proportionnées à la finalité qui est poursuivie (article 6, 3° de la loi de 1978 et article 5, c du RGPD). En d'autres termes, utiliser le contrôle d'empruntes digitales là ou le badge et la pointeuse classiques peuvent largement suffire n'est donc pas "pertinent" et viole la loi comme le RGPD, sauf à apporter la preuve que les risques de fraude au pointage seraient grands au point de vérifier l'identité physique des personnes.

Défaut d'autorisation

En outre, la société en question n'avait pas procédé à la demande d'autorisation nécessaire pour les dispositifs biométriques. Elle est donc principalement sanctionnée sur ce défaut d'autorisation.

Surveillance téléphonique à l'insu des salariés et des interlocuteurs

La Cnil "a également constaté qu’un dispositif d’enregistrement des appels téléphoniques fonctionnait sans que les salariés et les interlocuteurs n’en soient informés". Là encore, pour tout dispositif de surveillance de l'activité des salariés, ceux-ci doivent être informés à deux niveaux : par le Comité d'entreprise ; et à titre personnel. Quant aux interlocuteurs extérieurs (surtout que l'entreprise gère un centre d'appels), étant susceptibles de communiquer des informations personnelles pendant l'entretien, ils doivent être informés du fait que les conversations peuvent être enregistrées (obligation d'information de l'article 32 de la loi et de l'article 13 du RGPD).

Une sanction relativement légère

La Cnil a donc prononcé une sanction pécuniaire de 10 000 € à l'encontre de cette société, décidant en outre de la publication sur son site de la sanction. C'est une sanction somme toute clémente — la Cnil précise qu'elle a tenu compte "de la mise en conformité partielle de la société et de sa situation financière" — au regard des infractions commises. Cependant, la décision de rendre la sanction publique peut rejaillir sur la réputation de la société.
Rappelons que les sanctions pénales (et non "pécuniaires" comme c'est le cas ici) peuvent aller jusqu'à 5 ans de prison et 300 000 € d'amende.
Et au regard du RGPD, les "amendes administratives" (remplaçant les actuelles sanctions pécuniaires de la Cnil) peuvent aller jusqu'à 20 000 000 € (20 millions) ou 4% du chiffre d'affaires mondial de l'entreprise.
Les faits sanctionnés ici remontent à 2016 ; le RGPD ne s'applique donc pas. Mais à l'avenir les sanctions pourraient s'avérer beaucoup plus lourdes.

Un cas parmi des milliers d'autres

Cette condamnation illustre la vaste inconséquence des entreprises au regard de la loi de protection des données à caractère personnel, la loi du 6 janvier 1978. Tout s'est passé pendant plusieurs décennies comme si cette loi n'existait pas. Le spectre des 20 millions d'euros d'amende a accru la médiatisation des risques issus du RPGD, laissant presque croire qu'auparavant, aucune loi n'existait. Pure illusion d'optique.
Mais des entreprises risquant de telles sanctions parce que bafouant tous les jours les lois sur les données personnelles, il en existe des milliers en France, qui n'ont que la chance de n'avoir pas encore été prises en défaut.

Pour finir nous laissons la parole à la Cnil :
"En rendant publique sa décision, elle a souhaité rappeler aux employés leurs droits et aux employeurs leurs obligations notamment s’agissant de la biométrie sur les lieux de travail.
Elle a également voulu insister sur l’importance de répondre aux mises en demeure de la CNIL et de mettre effectivement en œuvre les mesures requises.
"

En savoir plus

Voir le communiqué de la Cnil du 20 septembre :
https://www.cnil.fr/fr/biometrie-au-travail-illegale-sanction-de-10000-euros
Voir la délibération de la Cnil du 6 septembre sur Légifrance :
https://www.legifrance.gouv.fr/affichCnil.do?&id=CNILTEXT000037413673