Par son ordonnance d’injonction du 15 avril 2021, l’Autorité Garante pour la protection des données personnelles (le « Garant ») a sanctionné une société travaillant dans le secteur manufacturier car elle n’avait pas informé correctement et de façon précise les travailleurs concernés sur les caractéristiques d’un système informatique utilisé dans cette entreprise. Ce faisant, la société a traité de façon illégale les données des travailleurs, allant au-delà des limites fixées par l’autorisation de l’Inspection du travail territorialement compétente et des finalités indiquées dans les notes d’information communiquées.
Le Garant est intervenu suite à la réclamation présentée par le syndicat FIOM CGIL, sur mandat de certains travailleurs, par laquelle il demandait de prendre une mesure de contrôle et prescriptive à l’encontre de la société employeur. En particulier, on signalait que le système utilisé dans l’entreprise prévoyait l’insertion d’un mot de passe individuel sur l’ordinateur avant de commencer à travailler, ce qui permettait d’archiver les données de chaque travailleur relatives aux arrêts et à la production pendant toute la journée de travail. Par conséquent, selon le syndicat, les données collectées se référant à l’activité de chaque salarié suite à son authentification au moyen du mot de passe, la société, par ce système, collectait également des données désagrégées et pour d’autres finalités, en plus de celles indiquées aux notes d’information communiquées.
À l’issue de l’instruction menée par le Garant, il est apparu, notamment, que le système informatique coexistait avec la précédente modalité d’organisation du travail, consistant à remplir des formulaires papier sur lesquels le nom des salariés était clairement indiqué. Ces formulaires étaient conservés et enregistrés sur un logiciel, mais sans aucune forme de séparation, en violation de ce qui était indiqué dans les notes d’information sur le fonctionnement du système et dans l’autorisation délivrée par l’Inspection du travail, qui avaient expressément interdit l’utilisation des données collectées à des fins disciplinaires. Il était en effet apparu que les données collectées au travers de cet instrument avaient été utilisées pour vérifier la véracité des affirmations d’un salarié au cours d’une procédure disciplinaire ouverte à son encontre.
De plus, des irrégularités sont apparues dans les délais de conservation des données ainsi collectées et traitées, lesquels, selon ce que la société avait déclaré, auraient dû être proportionnés avec ce qui était nécessaire pour « le contrôle/l’évaluation des cycles de production ».
À la lumière des informations obtenues, le Garant a ordonné la limitation définitive des traitements effectués au moyen des données collectées au travers du système utilisé, en sommant la société (i) d’aligner son organisation et ses traitements sur le Règlement (UE) 2016/679, également en mettant à jour la note d’information communiquée aux salariés concernés, (ii) de prendre des mesures appropriées de ségrégation des données collectées, aussi bien au travers des formulaires papier qu’au moyen du logiciel, et (iii) de payer la somme de 40 000,00 euros à titre de sanction pécuniaire pour les violations constatées.
Autres insights connexes :
L’Autorité Garante pour la protection des données personnelles (le « Garant »), le 10 décembre 2020, a ouvert une consultation publique sur les « Lignes directrices sur l’utilisation des cookies ou d’autres instruments de traçage » (les « Lignes directrices ») rédigées le 26 octobre dernier.
L’intervention du Garant fait suite aux indications fournies par le Comité des Garants européens
(« CEPD » – « Comité Européen de la Protection des Données ») dans les « Lignes directrices 5/2020 sur l’accord donné selon le Règlement (UE) 2016/679 » du 4 mai 2020.
Les cookies sont de petites chaînes de caractères que les sites internet (dits « publishers » ou « première partie ») visités par l’usager ou d’autres sites ou serveurs internet (dits « tiers ») placent et archivent à l’intérieur du dispositif utilisé (par exemple Smartphone, PC ou tablette). Les cookies permettent d’obtenir des informations et d’améliorer la navigation de l’usager / de l’intéressé.
Le Règlement (UE) 2016/679 en matière de protection des données personnelles (« RGPD »), bien que ne modifiant pas directement la réglementation relative à ces instruments de traçage, réglemente de façon précise l’accord donné au traitement de ces données personnelles. Notamment, il dispose que l’accord doit être donné par les intéressés au moyen d’une « manifestation de volonté libre, spécifique, informée et sans ambiguïté » (cf. article 4 du RGPD).
Cela met l’accent, selon le « principe de responsabilité » sur l’application desprincipes de protection des données dès la conception et pour des configurations prédéfinies (« privacy by design » et « by default » – protection des données « dès la conception » et « par défaut »), rendant nécessaire une analyse des modalités correctes de communication de la note d’information en ligne aux usagers / intéressés et d’obtention, si nécessaire, de leur accord.
Ceci dit, les Lignes directrices, recevant les dispositions du CEPD, précisent, notamment, que :
Les Lignes directrices ajoutent que chaque titulaire du traitement a le devoir de fournir à ses propres intéressés / usagers des informations précises sur le traitement de leurs données. Cette note d’information doit être fournie à un double niveau : (i) note d’information dite « brève » ou bannière contenant le lien de renvoi (ii) à la note d’information dans sa version intégrale.
Au terme de la consultation publique adressée aux chefs d’entreprise, aux consommateurs, aux usagers et aux opérateurs du secteur et de l’analyse, suivie de l’éventuelle réception des observations parvenues, l’Autorité émettra la décision finale.
Le 5 décembre dernier, l’Autorité Garante pour la protection des données personnelles (l’« Autorité ») a rédigé une FAQ (« Foire Aux Questions ») sur le traitement des données personnelles effectué par des personnes publiques et privées au moyen de l’utilisation de systèmes de vidéosurveillance.
Les précisions de l’Autorité tiennent compte des dispositions introduites par le Règlement (UE) 2016/679 en matière de protection des données personnelles (appelé « RGDP ») et par les Lignes Directrices adoptées par le Comité Européen pour la protection des données (« CEPD ») sur ce point.
Cette FAQ précise, tout d’abord, que (i) les traitements effectués au moyen de l’utilisation de systèmes de vidéosurveillance doivent avoir lieu dans le respect du principe de minimisation, sur la base du choix des modalités de prise de vues et de l’emplacement du système, et que (ii) les données traitées doivent être pertinentes et non excédantes par rapport aux finalités poursuivies.
Sur la base du principe de accountability (appelé « principe de responsabilisation »), chaque Responsable du traitement est tenu d’effectuer des évaluations sur le caractère licite et proportionnel du traitement, en tenant compte du contexte et des finalités relatives, ainsi que du risque pour les droits et les libertés des personnes concernées.
Selon l’Autorité, chaque Responsable du traitement doit évaluer si les conditions pour effectuer une analyse d’impact relative à la protection des données (« AIPD ») sont remplies avant de réaliser ce traitement.
En ce qui concerne Ia note d’information à fournir aux personnes concernées, la FAQ précise que l’on peut adopter le modèle simplifié (appelé panneau) mis au point par le CEPD et diffusé avec ses Lignes Directrices. Ce panneau doit indiquer (i) les coordonnées du Responsable du traitement et, s’il existe, du Délégué à la protection des données (DPD) ; (ii) la période de conservation des informations collectées ainsi que (iii) les finalités des traitements effectués. Le panneau doit être placé avant d’entrer dans la zone surveillée, pour que les personnes concernées puissent comprendre quelle zone est couverte par une caméra, et il doit renvoyer à une note d’information complète, contenant toutes les informations visées à l’article 13 du RGPD, y compris les indications sur les modalités de visionnement.
L’Autorité rappelle, également, que les images enregistrées devraient être effacées sous quelques jours (24/48 heures) et que, plus la période de conservation prévue est prolongée, plus l’analyse sur la légitimité de l’objectif et sur la nécessité effective d’une conservation plus longue devra être argumentée.
Enfin, elle rappelle que sur les lieux de travail il est possible d’installer des systèmes de vidéosurveillance exclusivement pour des exigences liées à l’organisation et à la production, pour la sécurité du travail et pour la protection du patrimoine de l’entreprise, dans le respect des garanties prévues par l’article 4 de la loi n° 300/1970.
◊◊◊◊
En conclusion, la FAQ, disponible sur le site de l’Autorité (www.garanteprivacy.it), contient des indications sur les conditions nécessaires pour que le traitement des données personnelles effectué au moyen de l’utilisation de systèmes de vidéosurveillance soit légal.
Cette FAQ, bien que partiellement, va au-delà de la précédente « Décision en matière de vidéosurveillance du 8 avril 2010 », car elle en adapte le contenu aux dispositions introduites par le RGPD et par les Lignes Directrices du CEPD.
