La société ASSISTANCE CENTRE D’APPEL a été sanctionnée par la CNIL notamment pour usage illégal d’un système biométrique à des fins de contrôle des horaires de ses salariés.
Lors d’un contrôle dans les locaux de la société ASSISTANCE CENTRE D’APPEL (spécialisée dans la télésurveillance d’ascenseurs et de parkings), en novembre 2016, la CNIL a constaté plusieurs manquements à la Loi informatique et liberté :
- Un dispositif biométrique de reconnaissance de l’empreinte digitale avait été mis en place afin de contrôler les horaires des salariés, sans autorisation de la CNIL ;
- Un dispositif d’enregistrement des appels téléphoniques avait été mis en place sans que les salariés n’en soient informés ;
- Lors d’un appel entrant, les interlocuteurs n’étaient pas informés de l’identité du responsable de traitement et de leur droit d’opposition ;
- Les mots de passe permettant d’accéder au logiciel contenant les données enregistrées via le boitier biométrique et l’outil de gestion de la société n’étaient pas suffisamment robustes et n’avaient pas été modifiés depuis 5 ans.
Au vu de ces manquements, la Présidente de la CNIL a alors mis en demeure la société, dans un délai de trois mois de :
- ne collecter et ne traiter que des données adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées;
- procéder à l’information des personnes concernées, notamment concernant les dispositifs d’appels téléphoniques ;
- procéder à l’information des interlocuteurs en cas d’appels sortants et entrants par une mention orale en début de conversation et leur permettre le cas échéant de s’opposer à l’enregistrement de la conversation ;
- prendre toute mesure nécessaire pour garantir la sécurité et la confidentialité des données à caractère personnel traitées, notamment en mettant en place une politique rigoureuse et contraignante imposant des mots de passes robustes et instaurant un verrouillage automatique des sessions des postes informatiques en cas d’inactivité prolongée;
- justifier auprès de la CNIL que l’ensemble des demandes précitées a bien été respecté, et ce dans le délai de trois mois à compter de la notification de la mise en demeure.
Malgré plusieurs échanges avec la société ASSISTANCE CENTRE D’APPELS et des relances, les termes de la mise en demeure de la CNIL n’ont pas été respectés.
La CNIL a donc condamné la société à 10 000€ d’amende.
1/ Le pointage biométrique : un dispositif excessif pour contrôler les temps de présence des salariés
La CNIL a constaté lors de son second contrôle que le système biométrique mis en place par la société ASSISTANCE CENTRE D’APPELS demeurait toujours effectif.
Pourtant, sous l’empire de l’ancienne Loi informatique et liberté, un tel système devait avoir été autorisé par la Commission.
En effet, dans la mesure où les données biométriques « ont la particularité d’être uniques et permettent donc d’identifier un individu à partir de ses caractéristiques physiques ou biologiques » elles disposent d’un régime protecteur particulier.
La Commission rappelle que depuis 2012, elle interdit l’utilisation des systèmes biométriques pour contrôler les horaires des salariés. Elle ajoute que si une telle utilisation, pour une telle finalité peut faire l’objet d’une demande d’autorisation (sous l’empire de l’ancienne loi), le responsable de traitement doit néanmoins démontrer l’existence de circonstances exceptionnelles fondées sur un impératif spécifique de sécurité.
La société n’a pas apporté la preuve de l’existence de telles circonstances exceptionnelles. Par conséquent, la CNIL considère que la société a procédé à une collecte de données excessives au regard des finalités pour lesquelles elles étaient collectées.
Par ailleurs, la CNIL s’est aperçue que les données n’avaient pas été purgées depuis environ 7 ans.
2/ L’enregistrement des conversations téléphoniques : le manquement à l’obligation d’informer les personnes
Le responsable d’un traitement doit fournir à la personne concernée, au moment de la collecte des données, un certain nombre d’informations concernant les données collectées, les finalités de la collecte, les durées de conservation etc.
La société ASSISTANCE CENTRE D’APPELS a mis en place un dispositif d’enregistrement des appels téléphoniques sans en avertir ses salariés.
Malgré la mise en demeure adressée à la société, la CNIL s’est aperçue lors de son second contrôle que le message d’information diffusé pour les appels entrants pouvait être tronqué lorsque l’opérateur prenait l’appel avant la fin de la diffusion de celui-ci. Elle a également pu constater qu’aucun message d’information relatif à l’enregistrement des appels n’était délivré par les opérateurs aux interlocuteurs en cas d’appels sortants.
Enfin, la note d’information intitulée « Enregistrement des communications téléphoniques » à destination des salariés n’informaient pas ces derniers de leurs droits (droits d’accès, d’opposition etc.), contrairement à ce que préconise l’article 32 de la Loi informatique et libertés.
3/ Les mots de passe : le manquement à l’obligation d’assurer la sécurité et la confidentialité des données
La CNIL a constaté que la société n’avait pas été en mesure de se conformer à la mise en demeure qui lui avait été adressée. Lors du second contrôle de la CNIL, la société n’a pas pu fournir la preuve de la mise en place de mots de passe robustes. Par ailleurs, le verrouillage des postes n’est intervenu que 5 mois après la réception de la mise en demeure, c’est-à-dire en dehors du délai imparti par la CNIL.
La CNIL rappelle qu’un mot de passe robuste « comporte au minimum 12 caractères contenant au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial ou comporte au moins 8 caractères, contenant 3 de ces 4 catégories de caractères et s’accompagne d’une mesure complémentaire comme par exemple la temporisation d’accès au compte après plusieurs échecs, (suspension temporaire de l’accès dont la durée augmente à mesure des tentatives), la mise en place d’un mécanisme permettant de se prémunir contre les soumissions automatisées et intensives de tentatives (ex : captcha ) et/ou le blocage du compte après plusieurs tentatives d’authentification infructueuses ».
Enfin, elle précise que l’obligation de sécuriser les données concerne toutes les données à caractère personnel et non pas seulement les données sensibles.
Compte tenu de tous ces manquements, la CNIL a donc prononcé une sanction pécuniaire de 10 000€ ainsi que la publicité de la mesure. Ce montant s’explique par le fait qu’au jour du prononcé de la sanction, la société était devenue partiellement conforme à la mise en demeure de la CNIL. Par ailleurs, la CNIL a également tenu compte des difficultés financières auxquelles la société devaient faire face.
NB : rappelons qu’avec l’entrée en vigueur du RGPD, le traitement des données biométriques ne suppose plus l’autorisation de la CNIL pour la mise en œuvre de ces traitements.
Néanmoins, il s’agit d’une donnée sensible nécessitant le consentement des salariés. Or ce consentement ne peut pas, par définition, être libre. Le fondement légal de ce genre de traitement demeure donc incertain.
Précisons enfin que la CNIL a lancé une consultation publique sur le thème de « la biométrie au travail » afin d’adapter le droit national en la matière au RGPD.
Charlotte GALICHET
Sophie RENAUDIN