Dans une décision du 18 novembre 2015, le Conseil d’Etat a donné raison à la Cnil qui avait infligé une sanction de 10 000 €, rendue publique, envers un prestataire informatique qui avait persisté dans ses manquements à la loi de 1978 pendant deux ans, malgré les mises en demeure et les contrôles sur place. Il était reproché à cette société de ne pas avoir mis en œuvre un dispositif de vidéosurveillance proportionné aux finalités poursuivies, de ne pas avoir respecté les obligations d’information des salariés et de sécurité des données.
La Cnil avait été saisie par la plainte d’un salarié contre la mise en place d’un dispositif de vidéosurveillance intrusif par son employeur, PS Consulting. La Cnil lui avait d’abord reproché l’absence de proportionnalité du système. Lors de son premier contrôle sur place, elle avait constaté qu’une caméra pointait vers le poste d’une salariée et qu’une seconde était orientée vers une salle où travaillaient 6 personnes. Suite à deux lettres de rappel, elle a effectué un deuxième contrôle qui lui a permis de voir que les angles des caméras avaient été modifiés mais qu’une troisième caméra était désormais orientée vers le poste d’un autre salarié. Or, la loi Informatique et libertés impose que les données collectées soient adéquates, pertinentes et non excessives par rapport aux finalités envisagées et l’article L. 1121-1 du code du travail prévoit que les libertés ne peuvent être restreintes que pour des motifs justifiés par la nature de la tâche, de manière proportionnée au but recherché.
La Cnil lui reprochait aussi son défaut d’information de l’installation du système de vidéosurveillance. Certes, PS Consulting avait apposé des affiches dans ses locaux, mais en omettant des mentions obligatoires. Quant à l’information individuelle, elle aurait dû être délivrée par le correspondant Informatique et libertés de l’entreprise, et des chargés de recrutement. Or, ils ne l’ont pas faite ou n’ont pas été en mesure de la faire.

Enfin, PS Consulting a été sanctionné pour manquement à son obligation de sécurité. Cela concernait la faiblesse du mot de passe du poste de la salariée qui avait accès aux images enregistrées. Suite à la mise en demeure de la Cnil de renforcer le mot de passe qui ne comportait que 5 chiffres, la société avait assuré qu’elle allait en prévoir un de 16 caractères alphanumériques. Lors du 3ème contrôle sur place, la Cnil a pu constater que le mot de passe ne comportait toujours que 5 chiffres et que, de façon générale, aucune politique de sécurité n’avait été mise en place.