Explosion des réseaux sociaux, spams, multiplication des systèmes de vidéosurveillance… La Cnil ne doit pas chômer ces derniers temps !
Yann Padova. Effectivement. Les plaintes sont en forte augmentation. Nous en avons reçu plus de 5000 cette année. Environ 20% d'entre elles émanent de salariés qui se considèrent abusivement surveillés par leur employeur. Depuis 2006, les déclarations des entreprises pour l'installation de systèmes de vidéosurveillance ont augmenté de 50% (3000 cette année). De même l'installation de systèmes biométriques est en pleine explosion (1600 demandes d'autorisation reçues). Sans compter le projet gouvernemental d'installer 70000 caméras sur la voie publique. Nous sommes entrés dans l'ère de la surveillance généralisée, à laquelle participent tous les acteurs sociaux: l'État, les entreprises, mais aussi les individus eux-mêmes, via notamment les réseaux sociaux.
Avez-vous vraiment les moyens de contrôler les déclarations des entreprises ?
Y.P. Clairement, non. Nous effectuons entre 300 et 400 contrôles par an, alors qu'il faudrait en réaliser au moins 1000. Quelque 200 contrôles conduisent à des mises en demeure, et seulement 9 à des sanctions (150000 euros, voire 300000 euros en cas de récidive). Même si nos moyens ont été renforcés ces dernières années et devraient continuer à l'être [de 13 millions d'euros en 2009, le budget de la Cnil devrait passer à 14,7 millions en 2010 et à 16,1 millions l'année prochaine], nous sommes encore loin du compte. Notamment en termes d'effectifs. Ils ont certes doublé en six ans, passant de 70 agents à 144 aujourd'hui, mais comparé à nos équivalents étrangers, ils restent faibles (la Cnil britannique emploie 270 personnes, l'espagnole 180 et l'allemande près de 400). Nous avons le ratio d'agents par habitant le plus faible d'Europe.
Quelles sont les règles à respecter par les entreprises en matière de surveillance des salariés?
Y.P. Biométrie, géolocalisation, cyber ou vidéosurveillance : quelle que soit la technologie installée, les salariés doivent en être informés. De plus, la surveillance se doit d'être proportionnée et justifiée par des raisons précises. L'entreprise doit nous la déclarer et la soumettre à autorisation s'il s'agit d'un système biométrique. Enfin, la surveillance ne peut être constante et les salariés doivent bénéficier d'un accès à son contenu.
L'employeur peut-il consulter la messagerie électronique d'un salarié?
Y.P. Tout courriel reçu ou envoyé depuis un poste de travail a, par principe, un caractère professionnel. L'employeur peut donc à bon droit le consulter, sauf si le message est clairement identifié comme étant personnel dans son objet. Un employeur est également fondé à restreindre l'accès à certains sites Web, à visiter l'historique d'un salarié et, le cas échéant, à prononcer des sanctions disciplinaires. À condition bien sûr que le salarié en ait été averti, dans le cadre par exemple d'une charte informatique.
Quid de l'enregistrement des conversations téléphoniques sur le lieu de travail, qui a cours notamment dans les centres d'appels?
Y.P. Il doit toujours répondre aux mêmes principes: l'information des salariés prévoyant les modalités de leur droit d'accès, le caractère proportionné de l'enregistrement aux buts poursuivis, etc. Mais il faut permettre aux salariés de disposer de lignes téléphoniques non reliées au système d'enregistrement pour leurs besoins privés.
Aujourd'hui, les employeurs ont pris le réflexe de taper le nom d'un candidat sur un moteur de recherche avant un entretien d'embauche. Ont-il le droit de collecter toutes sortes de données ?
Y.P. Sauf cas particulier, des données comme la nationalité d'origine, l'entourage familial, l'état de santé, la vie associative, la situation bancaire, les origines raciales, les orientations religieuses, sexuelles, associatives, etc., ne peuvent être collectées. Le problème pour le candidat sera de prouver que sa non-embauche est liée à ces consultations. Suite à des plaintes, il nous arrive de contrôler des recruteurs et de les mettre en demeure après avoir découvert qu'ils disposaient de ce type d'informations dans leurs fichiers. C'est assez fréquent. Pour autant, cela ne fera pas embaucher le candidat recalé. Alors autant bien réfléchir avant de se dévoiler sur la Toile.
Quels pouvoirs a le regroupement des Cnil européennes (G29) face à des mastodontes comme Google et Facebook, sites par nature transnationaux ?
Y.P. Les moyens d'intervention sont très faibles (lire l'encadré). Dans ses récents avis, appuyés par la pression politique et les associations de consommateurs, le G29 a néanmoins fait avancer les choses en demandant aux moteurs de recherche de ne conserver les données personnelles des utilisateurs que pendant six mois au maximum. Yahoo et Microsoft ont accepté cette demande. Google, de son côté, continue de conserver les données pendant neuf mois. C'est un premier pas car, auparavant, la conservation des données était illimitée pour les moteurs de recherche. Même si ces sites sont transnationaux (ce qui pose des problèmes de lois applicables et de territorialité), nous pouvons parfois les contraindre. Comme nos confrères canadiens, nous avons par exemple obtenu de Google que son logiciel Street View assure le floutage des personnes ou permettre aux internautes de faire retirer leur image du site.
N'existe-t-il pas un moyen de contraindre définitivement moteurs de recherche et réseaux sociaux à protéger les données personnelles des internautes ?
Y.P. Il faudrait une convention internationale réglementant la protection des données de la vie privée. Une première étape a été franchie en novembre dernier. Les 75 Cnil mondiales se sont réunies à Madrid et ont établi de nouvelles règles du jeu. Reste aux gouvernements à s'emparer de ce document et à le transformer en convention internationale pour que ces règles deviennent contraignantes.
(encadré)
Dispute feutrée à la tête du G29 européen
Dans un courrier envoyé le 15 février aux représentants des 27 pays membres du groupe de travail sur la protection des données, Alex Türk, président de la Cnil, s'attaque aux manquements de la Cnil européenne, le G29. «Absence de moyens financiers autonomes», «marges de manœuvre insuffisantes» hormis la mise à disposition de salles de réunion et un service de traduction: la Commission européenne (dont dépend financièrement le G29) est accusée de ne pas remplir son rôle. La Cnil ayant dû dépenser 275000 euros pour les missions européennes, Alex Türk a préféré rendre son tablier et ne pas solliciter le renouvellement de son mandat à la présidence du G29. Il a été remplacé par le Néerlandais Jacob Kohnstamm.
