Le risque CNIL touche toutes les entreprises, même les TPE

J’entends très souvent dans les différents cercles « La CNIL ne viendra pas nous contrôler ! », erreur ! les grandes entreprise du CAC 40 ou les ETI ne sont pas les seules concernées, le risque CNIL touche toutes les entreprises, même les TPE !

Une TPE comprenant neuf salariés et spécialisée dans la traduction est sanctionnée par la CNIL en 2019.

Suite à des plaintes déposées par des salariés auprès de la CNIL entre 2013 et 2017, concernant une vidéosurveillance permanente des collaborateurs sur leurs postes de travail, la société a été condamnée à 20 000 euros d’amende administrative.

Les Faits

Un contrôle mené dans les locaux de la société en février 2018 a permis de constater que :

  • La caméra présente dans le bureau de 6 collaborateurs les filmait à leur poste de travail sans interruption ;
  • Absence d’information satisfaisante délivrée aux salariés ;
  • Défaut de sécurisation des accès aux postes informatiques, de plus les collaborateurs accédaient à une messagerie professionnelle partagée avec un mot de passe unique.

La suite

Les corrections prises par l’entreprise n’étant pas suffisantes dans les délais impartis par la CNIL lors de sa mise en demeure, elle s’est vu infliger la sanction de 20 000 euros suite au second contrôle.

La CNIL a prononcé cette sanction en prenant en compte le résultat négatif de 2017. Il est bon de préciser également que le RGPD n’entrant en application qu’en mai 2018, la sanction aurait pu sans doute être plus lourde.

Conclusions

Outre la sanction administrative, la CNIL a rendu publique la sanction et a enjoint la TPE à se conformer dans les 2 mois sous peine d’astreinte en cas de non-respect de la sanction.

En rendant publique sa décision, la formation restreinte de la CNIL rappelle la particulière sensibilité de la vidéosurveillance des salariés sur leur lieu de travail.

Les autres traitements RH sont également particulièrement suivis par l’autorité de contrôle à savoir la géolocalisation, la surveillance des moyens mis à disposition des salariés (traçage des mails), badges, etc…

Le risque CNIL est donc bien présent.

Tous ces traitements doivent également faire l’objet d’une étude d’impact sur la vie privée (EIVP ou DPIA en anglais).