RGPD et Polémique…

dans ,

« Affaire Benalla », volet RGPD : profilage politique et énième polémique

 

Le 18 juillet 2018, le journal « Le Monde » révélait l’identité de l’homme casqué filmé en train de frapper avec violence un manifestant lors des traditionnels cortèges du 1er mai : Alexandre Benalla, adjoint au chef du cabinet du Président de la République.

La réaction des citoyens et internautes face à la sanction clémente prononcée à son encontre (15 petits jours de mise à pied) fut sans précédents. Le début d’un quasi scandale d’État.

L’affaire connaît un nouveau rebondissement avec la condamnation d’une association belge ayant enquêté sur les retentissements médiatiques de ces événements.

QUI ? L’autorité de contrôle belge (l’APD[1]), en collaboration avec son homologue française (la CNIL[2]), a sanctionné le 27 janvier 2022 le collectif EU DisinfoLab et l’un de ses chercheurs.

Selon ses statuts, l’association a notamment pour objet de lutter contre le phénomène des ‘fake news’ dans les médias. Or, en voulant combattre la désinformation, EU DisinfoLab et son bénévole ont eux-mêmes traité illégalement de nombreuses informations…

QUOI ? – EU DisinfoLab tentait de comprendre les raisons de l’hyperactivité générée par l’affaire Benalla sur les réseaux sociaux, en particulier sur l’application Twitter.  Elle s’interrogeait entre autre sur l’orientation politique des auteurs de ces « tweets ».

Or, avant même que ses résultats ne soient publiés, l’intégrité scientifique de l’étude était contestée. Il lui était reproché de chercher à démontrer à tout prix l’existence d’un complot russe dans cette surexposition médiatique.

Afin de démontrer la fiabilité de sa méthodologie, l’adhérent-chercheur d’EU DisinfoLab décidait de sa propre initiative… de publier purement et simplement ses bases de données !

l’adhérent-chercheur d’EU DisinfoLab décidait de sa propre initiative… de publier purement et simplement ses bases de données !  Les renseignements personnels de plus de 55.000 utilisateurs de Twitter et de près de 3.300 comptes ont ainsi été diffusés, catégorisés selon leurs préférences politiques. Le contenu de leurs sections « biographie » était également exposé au grand jour, faisant apparaître d’autres renseignements intimes les concernant : convictions religieuses, orientation sexuelle…

Cet incident est l’occasion de rappeler une évidence : les données personnelles disponibles sur les réseaux sociaux ne perdent la protection conférée par le RGPD sous prétexte qu’elles sont accessibles au public.

COMMENT ?  La liste des manquements imputés à l’association et/ou son chercheur est longue [3] :

[1] « L’Autorité de Protection des Données » est l’autorité indépendante belge compétente en matière de protection des données personnelles.

[2] La « Commission Nationale de l’Informatique et des Libertés » (CNIL) est l’équivalent français de l’APD.

[3] La décision de l’APD du 27 janvier 2022 est disponible dans son intégralité à l’adresse suivante : https://www.autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n-13-2022.pdf

 

Illicéité des traitements de données (article 6.4 RGPD)

Pour rappel, lorsqu’un traitement de données à des fins journalistiques n’est pas réalisé à partir de données collectées directement auprès des individus concernés, il constitue un “traitement ultérieur”.

Ces opérations de traitement secondaires doivent alors être compatibles avec la finalité pour laquelle les données personnelles ont été recueillies initialement. A défaut, l’organisme est tenu de justifier la base légale sur laquelle il fonde l’exploitation ultérieure de ces renseignements.

En l’occurrence, l’APD estime que cette exigence de compatibilité de finalités n’est pas satisfaite. Elle souligne notamment l’absence d’attentes légitimes des internautes à une telle réutilisation de leurs données à des fins de profilage politique et de republication sur Internet.

Si les auteurs des “tweets” pouvaient raisonnablement s’attendre à ce que leurs propos soient commentés dans le cadre d’un débat politique, ils ne pouvaient que difficilement imaginer que leurs comptes seraient classés et médiatisés en raison de cette appartenance politique.

Cela est d’autant plus vraie s’agissant de la révélation d’informations sensibles les concernant, sorties du contexte de l’affaire Benalla (convictions religieuses, orientation sexuelle, prétendue proximité avec des médias russes…).

EU DisinfoLab et son bénévole auraient ainsi dû recueillir le consentement des internautes avant de traiter leurs données pour ces nouveaux objectifs d’enquête, et non le faire à leur insu.

Manquement aux obligations de sécurité (article 32 RGPD)  

L’APD estime qu’EU DisinfoLab n’a pas assuré une sécurité et une confidentialité suffisante des informations personnelles reprises sur Twitter en ne les pseudonymisant pas[4]. Cette mesure aurait pourtant permis d’empêcher toute identification des abonnés concernés lors de la diffusion de leurs données personnelles.

Absence de notifications d’une violation de données (article 33 RGPD)

La publication des données « brutes » sur lesquelles le chercheur d’EU DisinfoLab fondait son étude constitue une violation de données susceptible d’engendrer un risque élevé pour les droits et libertés des personnes visées. Compte tenu de la sensibilité des informations portées à la connaissance de tous, elle expose ces dernières à un risque de discrimination ou de discrédit dans leur vie privée ou professionnelle.

L’association reconnaît n’avoir notifié cette violation de données ni à l’autorité de contrôle, ni aux internautes touchés, comme elle y était pourtant tenue…

Incapacité à fournir la documentation de sa conformité aux autorités de contrôle 

Absence de registre de ses activités de traitement (article 30.5 du RGPD)

Malgré sa faible envergure, l’association ne peut pas invoquer la dérogation reconnue aux entités de moins de 250 personnes sur l’obligation de tenir un tel registre.

Les traitements de EU DisinfoLab portant sur des données sensibles, l’association aurait bel et bien dû – exception à l’exception – disposer d’un registre de ses activités de traitement, ce qui n’est pas le cas.

→ Absence des contrats de sous-traitance avec ses prestataires (article 28 RGPD) 

[4] Le RGPD définit la pseudonymisation comme « le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne soient pas attribuées à une personne physique identifiée ou identifiable ».

EU DisinfoLab n’a conclu aucun accord de partenariat avec ses sous-traitants : ni avec les prestataires lui ayant fourni les logiciels pour extraire de Twitter les informations dont elle avait besoin, ni avec le bénévole à qui elle a confié la réalisation de son étude.

Or, le RGPD impose de formaliser ces relations de sous-traitance par tout écrit ayant une force contraignante.

Absence de réalisation d’une analyse d’impact relative à la vie privée (ou « AIPD » – article 35 RGPD) 

Ce alors que la conduite d’une AIPD s’imposait à l’association, cette formalité étant requise en cas de traitement à grande échelle de données sensibles.

MAIS ENCORE ? – Les apports de la décision

Reconnaissance de la responsabilité d’un particulier

En condamnant à titre personnel le chercheur chargé de la réalisation de l’étude, cette décision rappelle que s’il est rare qu’un particulier soit condamné par une autorité de contrôle, cela n’est toutefois pas impossible.

L’autorité régulatrice souligne que la base de données exploitée par l’association a été diffusée par le scientifique de son « initiative personnelle […] en dehors de toute instruction de l’association EU DisinfoLab et en parfaite violation des procédures internes ».

En s’émancipant ainsi des consignes qui lui avaient été transmises, le chercheur ne peut donc plus invoquer agir en qualité de sous-traitant, mais engage sa responsabilité comme responsable conjoint de traitement.

Précisions sur « l’exception journalistique »

La loi exige l’information préalable des personnes concernées que leurs données personnelles font l’objet d’un traitement, ce même lorsque la collecte de ces renseignements intervient indirectement (article 14 RGPD).

L’APD précise ici que « l’exception journalistique » permettait toutefois à EU DisinfoLab de ne pas procéder à cet avis préalable des internautes, dès lors que cette information aurait pu compromettre la réalisation de son étude.

Même sans mener une activité de journalisme à titre professionnel, l’APD considère que l’enquête de l’association s’inscrit dans un débat d’intérêt général. Elle ne pouvait ainsi pas être forcée de dévoiler l’entièreté de ses sources, ni de prévenir individuellement les abonnés de Twitter de son projet d’étude.

* * *

L’association et le chercheur ont finalement été condamnés à un rappel à l’ordre et à une amende respective de 2.700 et 1.200 euros.

Ne vous y trompez pas : la faiblesse des sanctions prononcées est tout à fait exceptionnelle. Cette tolérance se justifie non seulement par le fait que les responsables de traitement sont une association à but non lucratif peu connue ainsi qu’une personne physique, mais aussi et surtout par la proximité de la date des faits avec l’entrée en vigueur du RGPD.

Les autorités de contrôle se sont depuis pleinement emparées de leurs pouvoirs répressifs, et n’hésitent pas à multiplier au centuple les montants de leurs amendes.

L.H

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

VIDÉOSURVEILLANCE À TITRE DE PREUVE

dans , ,

UTILISATION DES EXTRAITS DE VIDÉOSURVEILLANCE À TITRE DE PREUVE

Comment bien utiliser ces prises de vue pour ne pas être pris au dépourvu

 

Plus de 120 ans après la création du cinéma par les frères Lumière, un tout autre film se joue derrière les écrans de nombreux organismes français. Le recours aux caméras de surveillance s’est massivement répandu, voire banalisé au sein des entreprises. Commerces, lieux de stockage, zones industrielles : aucun angle mort n’est oublié.

Plusieurs employeurs ont tenté d’utiliser les enregistrements obtenus par le biais de ces dispositifs dans le cadre de poursuites judiciaires contre leurs salariés. Or, la production de ces extraits vidéo comme moyens de preuve n’est admise qu’à de strictes conditions.

Vous avez raté les jurisprudences récentes sur cette question ? Prenez votre pop-corn et installez-vous confortablement, la séance de rattrapage commence !

ZOOM sur les règles à respecter lors de l’installation de systèmes de vidéosurveillance

Afin d’éviter tout mauvais cadrage de notre sujet, il convient d’abord de rappeler la distinction fondamentale entre « vidéoprotection » et « vidéosurveillance ».

L’expression « vidéoprotection » fait référence aux dispositifs d’observation mis en place par tout organisme public ou privé qui filme des espaces ouverts au public[1] pour lutter contre l’insécurité. Ils visent tant à dissuader les individus de commettre des infractions qu’à permettre de retrouver l’identité de ceux qui seraient, malgré ces précautions, passés à l’acte.

L’implantation de ces appareils suppose l’accomplissement de formalités préalables spécifiques. Elle requiert notamment d’obtenir l’autorisation du préfet compétent, qui sera à renouveler tous les 5 ans.

La notion de « vidéosurveillance  » recouvre quant à elle toutes les caméras installées dans des lieux privés ou fermés, c’est-à-dire dont l’accès est restreint à certaines catégories de personnes.

Contrairement aux systèmes de vidéoprotection, aucune autorisation préfectorale n’est requise pour l’installation de ces mesures de contrôle.

Compte tenu de ces définitions, un seul et même réseau de caméras peut donc relever des deux régimes juridiques distincts selon leur localisation et leur orientation.

Exemple 1 : une agence bancaire filmant son distributeur à extérieur et son accueil ouvert à tous d’une part (vidéoprotection), et ses bureaux accessibles seulement aux salariés d’autre part (vidéosurveillance).

Exemple 2 : un commerce filmant les rayons de son magasin (vidéoprotection) mais un dispositif installé dans ses réserves (vidéosurveillance).

Attention à l’orientation des caméras et la profondeur du champ !

En effet, une caméra installée dans un lieu privé (vidéosurveillance) mais dont la profondeur de champ donnerait sur le trottoir, pourrait être (re)qualifiée de vidéoprotection.

Cet éclairage fait, il convient de placer sous les feux des projecteurs la méthodologie à suivre pour une installation régulière de ces systèmes de vidéosurveillance.

[1] Les textes ne précisent toutefois pas les endroits couverts par cette appellation de « voie publique ». La « Commission Nationale Informatique et Libertés » (CNIL) a pu évoquer qu’il s’agirait des « lieux accessibles à tous sans autorisation spéciale de quiconque, que l’accès soit permanent et inconditionnel, ou subordonné à certaines conditions, heures ou causes déterminées ».

  • Motifs et caractère proportionné de l’usage de caméras

L’employeur ne peut s’équiper de ces technologies que dans le but d’assurer la sécurité des biens et des personnes placés sous sa responsabilité. Il est strictement illégal d’installer ces outils simplement pour inspecter l’activité de ses salariés.

Cela suppose donc que le positionnement des caméras soit pensé en conséquence.

Si celles-ci peuvent filmer les entrées et sorties des bâtiments, les issues de secours, voies de circulation ou entrepôts de stockage, elles ne doivent en aucun cas permettre de « fliquer » le personnel.

Même au travail, les employés bénéficient du droit au respect de leur vie privée. Il est ainsi interdit de scruter via ces systèmes les zones de repos, les toilettes ou encore les locaux syndicaux[2].

Dans tous les cas, l’employeur devra être en mesure d’établir le caractère proportionné de cette mesure au but sécuritaire poursuivi. Il lui revient de démontrer qu’il n’existait pas de moyen de contrôle moins intrusif pour atteindre pleinement cet objectif.

Article L.1121-1 du Code du travail : « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché. ».

  • Information et consultation préalable des représentants du personnel

Le Comité social et économique doit obligatoirement être informé et consulté, avant toute prise de décision, sur la question de la mise en œuvre d’un tel réseau de vidéosurveillance (art. L2312-38 du Code du travail).

  • Information valable des salariés / visiteurs filmés

Les personnes concernées par ces enregistrements doivent nécessairement en être informées. 

ATTENTION aux mauvaises pratiques ! Contrairement à la croyance populaire, cette information ne consiste pas seulement à signaler l’existence de ces caméras, mais doit aussi renseigner les individus visés des principales caractéristiques de ce traitement de données.

Dans les entreprises, le recours à la vidéosurveillance peut être communiqué par la diffusion d’une note de service ou la signature d’un avenant au contrat de travail des salariés.

Article L1222-4 du Code du travail : « Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance. »

Un affichage permanent et visible doit aussi, outre le symbole d’une caméra, indiquer au minimum :

  • Les finalités de cette vidéosurveillance, l’objectif poursuivi par l’organisme ;
  • La durée de conservation des enregistrements ;
  • L’identité et les coordonnées du Délégué à la protection des données (DPO) ou d’un point de contact ;
  • L’existence des droits « Informatique & Libertés » et de déposer une réclamation auprès de la CNIL.

[2] Il n’est pas non plus permis de filmer les accès à ces locaux syndicaux s’ils constituent les seuls passages permettant de s’y rendre.

Par souci de clarté et de transparence, nous vous recommandons de fournir par d’autres moyens les autres informations prévues à l’article 13 du RGPD (base légale du traitement, destinataires des données, etc.) [3], par exemple en renvoyant les personnes concernées vers une page Internet dédiée.

Autant dire que l’organisme ne peut se contenter d’être un simple spectateur lors de l’installation de son réseau de vidéosurveillance !

[3] Nous ne vous ferons pas l’offense de vous rappeler que ces informations ne sont pas spécifiques à ces dispositifs de surveillance, mais doivent être communiquées aux personnes concernées avant tout traitement de leurs données à caractère personnel.

FOCUS sur la valeur probante des enregistrements obtenus en violation de ces règles

La Cour de Cassation a plusieurs fois rappelé l’importance pour les tribunaux de vérifier, avant même d’examiner les extraits de vidéosurveillance qui leur sont soumis à titre de preuve, si les formalités obligatoires avaient bien été respectées par l’employeur lors de l’installation de ces dispositifs.

Dans un arrêt en date du 23 juin 2021[4], la Haute Juridiction a ainsi considéré que ces bandes vidéo sont inopposables au salarié licencié lorsque que le recours à ces appareils est manifestement disproportionné.

En l’occurrence, un cuisinier avait été placé sous la surveillance constante d’une caméra, alors même qu’il exerçait seul son activité en cuisine. Les prétendus besoins d’assurer la sécurité des biens et des personnes invoqués par le dirigeant n’appelaient pas à instituer une mesure si attentatoire à la vie privée de son pizzaïolo…

Le 10 novembre 2021[5], la Chambre sociale a jugé que ces formalités ne sont pas pleinement respectées si toutes les finalités de ces mesures n’ont pas été communiquées aux instances représentatives du personnel et aux salariés. Elle en déduit l’illicéité de la preuve obtenue via ces technologies.

En l’espèce, le dirigeant d’une pharmacie avait utilisé ces enregistrements pour établir les fraudes en caisse d’une de ses salariées, et fonder, sur ces éléments, son licenciement pour faute.

La Cour de Cassation a estimé que le CSE et les employés avaient reçu une information incomplète. En effet, l’installation de ces moyens de contrôle leur avait été présentée comme uniquement destinée à assurer la sécurité des personnes et des biens dans l’officine, sans que leur attention ne soit attirée sur le fait que ce réseau de caméras permettait également, en pratique, de surveiller l’activité du personnel.

[4] Soc., 23 juin 2021, n° 19-13.856

[5] Soc. 10 nov. 2021, n° 20-12.263

GROS PLAN sur les limites à cette prétendue irrecevabilité

La Cour de Cassation a cependant considérablement atténué la portée de sa décision du 10 novembre 2021, en précisant que l’illicéité de ce moyen de preuve n’entraîne pas systématiquement son rejet des débats.

Les juges sont tenus de concilier le droit au respect de la vie privée du salarié avec le droit à la preuve de l’employeur. Pour ce faire, il leur revient d’apprécier si « l’utilisation de cette preuve a porté atteinte au caractère équitable de la procédure dans son ensemble ».

Si tel n’est pas le cas, selon l’appréciation faite par les magistrats, alors l’extrait vidéo pourra être examiné et débattu durant l’instance au même titre que les autres preuves.

CLAP DE FIN

Pour éviter tout mauvais scénario, l’idéal est donc simplement de respecter scrupuleusement la procédure à suivre pour instaurer ces systèmes de vidéosurveillance.

Pour rappel, en dehors de ces règles spécifiques, l’employeur est tenu de satisfaire d’autres exigences. En tant que traitement de données à caractère personnel au sens large, ces captations d’images doivent évidemment respecter la législation applicable en la matière.

Cela implique en particulier que :

  • Ces dispositifs soient inscrits dans le registre des activités de traitement de l’organisme ;
  • Des mesures soient prises pour assurer la sécurité de ces données, et notamment la définition d’une stricte politique d’habilitation identifiant clairement les personnes autorisées à visualiser ces images en cas d’incident. Il est hors de question que ces vidéos soient accessibles librement par tous ;
  • Des précautions soient adoptées pour que les enregistrements ne soient pas conservés pendant des durées excessives, ne pouvant généralement pas être supérieures à un mois.

Ne vous alarmez pas ! Pas de quoi faire tout un cinéma de ces formalités si vous choisissez de vous faire accompagner par des professionnels compétents et à l’écoute de vos besoins.

L.H

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.
[/av_textblock]

La CNIL sanctionne la RATP

dans , ,
Lire la suite

Fichier Automatisé des Empreintes Digitales, La CNIL pointe du doigt les mauvaises pratiques du ministère de l’Intérieur

dans ,
Lire la suite

Violation massive de données issues des dépistages de Covid-19 : êtes-vous réellement protégés contre les virus ?

dans ,
Lire la suite