Tribunal administratif N° 46350 du rôle du Grand-Duché de Luxembourg ECLI:LU:TADM:2023:46350 4e chambre Inscrit le 11 août 2021 Audience publique du 1er décembre 2023 Recours formé par la société anonyme … SA, …, contre une décision de la Commission nationale pour la protection des données en matière de protection des données
___________________________________________________________________________
JUGEMENT
Vu la requête inscrite sous le numéro 46350 du rôle et déposée le 11 août 2021 au greffe du tribunal administratif par la société en commandite simple Allen & Overy SCS, établie et ayant son siège social à L-1855 Luxembourg, 5, avenue J.F. Kennedy, immatriculée au registre de commerce et des sociétés de Luxembourg sous le numéro B178291, inscrite sur la liste V du tableau de l’Ordre des avocats à Luxembourg, représentée aux fins des présentes par Maître Thomas Berger, avocat à la Cour, inscrit au tableau de l’Ordre des avocats à Luxembourg, au nom de la société anonyme … SA, établie et ayant son siège social à L-…, immatriculée au registre de commerce et des sociétés de Luxembourg sous le numéro …, représentée par son conseil d’administration actuellement en fonctions, tendant à la réformation, sinon à l’annulation d’une décision du 12 mai 2021 de la Commission nationale pour la protection des données (« CNPD »), établissement public, inscrit au registre de commerce et des sociétés de Luxembourg sous le numéro J52, établi et ayant son siège à L-4370 Belvaux, 15, boulevard du Jazz, représentée par son collège des commissaires actuellement en fonctions, lui ayant infligé une amende administrative de 2.600,- euros ;
Vu l’exploit de l’huissier de justice Geoffrey Gallé, demeurant à Luxembourg, du 13 août 2021, portant signification de la prédite requête à la CNPD, préqualifiée ;
Vu la constitution d’avocat à la Cour déposée au greffe du tribunal administratif en date du 6 octobre 2021 par la société à responsabilité limitée DLA Piper Luxembourg SARL, établie et ayant son siège social à L-1855 Luxembourg, 37A, avenue John F. Kennedy, immatriculée au registre de commerce et des sociétés de Luxembourg sous le numéro B 172454, inscrite sur la liste V du tableau de l'Ordre des avocats de Luxembourg, représentée aux fins de la présente procédure par Maître Olivier Reisch, avocat à la Cour, inscrit au tableau de l’Ordre des avocats à Luxembourg, pour la CNPD, préqualifiée ;
Vu le mémoire en réponse déposé au greffe du tribunal administratif le 14 décembre 2021 par la société à responsabilité limitée DLA Piper Luxembourg SARL, préqualifiée, au nom et pour le compte de la CNPD, préqualifiée ;
Vu le mémoire en réplique déposé au greffe du tribunal administratif le 13 janvier 2022 par la société en commandite simple Allen & Overy SCS, au nom et pour le compte de la société anonyme … SA, préqualifiée ;
1 Vu le mémoire en duplique déposé au greffe du tribunal administratif le 11 février 2022 par la société à responsabilité limitée DLA Piper Luxembourg SARL, préqualifiée, au nom et pour le compte de la CNPD, préqualifiée;
Vu les pièces versées en cause et notamment la décision critiquée ;
Le juge-rapporteur entendu en son rapport à l’audience publique du 10 octobre 2023, les parties s’étant excusées.
__________________________________________________________________________
Lors de sa séance de délibération du 14 février 2019, la Commission nationale pour la protection des données, dénommée ci-après « la CNPD », siégeant en formation plénière, dénommée ci-après « la Formation Plénière », décida d'ouvrir une enquête auprès du groupe de sociétés …, dénommé ci-après « le Groupe … », sur base de l'article 37 de la loi modifiée du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données, dénommée ci-après « la loi du 1er août 2018 », tout en désignant Monsieur … comme chef d'enquête, en vue de vérifier le respect des dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données, et abrogeant la directive 95/46/CE, dénommé ci-après « le RGPD », dans le cadre de la mise en place de systèmes de vidéosurveillance et de géolocalisation le cas échéant installés par les deux entités du Groupe ….
En date du 8 août 2019, à l'issue de son instruction, le chef d'enquête notifia à la société anonyme … SA, dénommée ci-après « la société … », en sa qualité de responsable du traitement des données personnelles au sein du Groupe …, la communication des griefs détaillant les manquements constatés, par rapport à laquelle, cette dernière prit position par écrit en date du 18 septembre 2019.
Dans un courrier du 17 août 2020, le chef d'enquête proposa à la formation restreinte de la CNPD, dénommée ci-après « la Formation Restreinte », d'adopter trois mesures correctrices différentes, ainsi que d'infliger à la société … une amende administrative d'un montant de 2.600,- euros.
Suite à une nouvelle prise de position de la part de la société … en date du 15 septembre 2020, l’affaire fut inscrite à la séance de la Formation Restreinte du 17 novembre 2020.
Le 12 mai 2021, la Formation Restreinte décida, par décision référencée sous le n° …, d’infliger à la société … une amende de 2.600,- euros, sur base de la motivation suivante :
« (…) A. Sur le manquement lié au principe de la minimisation des données 1. Sur les principes 14.
Conformément à l'article 5.1.c) du RGPD, les données à caractère personnel doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ».
215.
Le principe de minimisation des données en matière de vidéosurveillance implique qu'il ne doit être filmé que ce qui apparaît strictement nécessaire pour atteindre la ou les finalité(s) poursuivie(s) et que les opérations de traitement ne doivent pas être disproportionnées.
16.
L'article 5.1.b) du RGPD dispose que les données à caractère personnel doivent être « collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités ; […] (limitation des finalités) ».
17.
Avant l'installation d'un système de vidéosurveillance, le responsable du traitement devra définir, de manière précise, la ou les finalités qu'il souhaite atteindre en recourant à un tel système, et ne pourra pas utiliser ensuite les données à caractère personnelle collectées à d'autres fins.
18.
La nécessité et la proportionnalité d'une vidéosurveillance s'analyse au cas par cas et, notamment, au regard de critères tels que la nature du lieu à placer sous vidéosurveillance, sa situation, sa configuration ou sa fréquentation.
2. En l'espèce 19.
Il a été expliqué aux agents de la CNPD que les finalités de la mise en place du système de vidéosurveillance sont la protection des biens du groupe …. Dans son courrier du 23 avril 2019, le contrôlé a mentionné une deuxième finalité par rapport au constat mentionné auparavant, et plus précisément sécuriser les accès à ses locaux.
20.
Lors de l'enquête sur site, les agents de la CNPD ont constaté que le champ de vision d'une caméra comprend une partie de la cantine permettant la surveillance des salariés pendant leur temps libre.
21.
Le chef d'enquête était d'avis que « la surveillance des salariés assis à des tables de consommation ou dans la cafétéria est à considérer comme disproportionnée dès lors que les personnes y présentes seront, de façon permanente, soumis à la vidéosurveillance alors qu'ils choisissent ces endroits comme lieux de rencontre pour passer un bon moment autour d'un repas, pour communiquer, se divertir ou se détendre. Or, les salariés qui restent dans ce type de lieu pendant un laps de temps plus ou moins long, doivent pouvoir légitimement s'attendre à ne pas être filmés pendant ces moments privés. L'utilisation des caméras dans ces espaces est susceptible de filmer le comportement des personnes concernées et peut créer une gêne voire une pression psychologique pour ces dernières qui se sentent observées tout au long de leur présence dans ces espaces. Une telle surveillance permanente constitue une atteinte à la sphère privée des personnes concernées. » (communication des griefs, Ad. A.3.) 22.
Le contrôlé de son côté a expliqué que la finalité de la caméra litigieuse n'était pas de filmer les salariés, mais de surveiller un équipement permettant aux salariés de mettre de l'argent sur leurs badges. Or, comme les agents de la CNPD auraient exprimé lors de leur visite sur site des doutes quant à la conformité de la caméra en cause, le contrôlé aurait décidé de la désinstaller le jour d'après. Toutefois, comme la caméra litigieuse était bel et bien en place au jour de la visite sur site des agents de la CNPD, le chef d'enquête a conclu que la non-conformité à l'article 5.1.c) du RGPD était néanmoins acquise au jour de la visite sur site.
323.
La Formation Restreinte tient à rappeler que les salariés ont le droit de ne pas être soumis à une surveillance continue et permanente sur le lieu de travail. Pour atteindre les finalités poursuivies, il peut paraître nécessaire pour un responsable du traitement d'installer un système de vidéosurveillance sur le lieu de travail. Par contre, en respectant le principe de proportionnalité, le responsable du traitement doit recourir aux moyens de surveillance les plus protecteurs de la sphère privée du salarié et, par exemple, limiter les champs de vision des caméras à la seule surface nécessaire pour atteindre la ou les finalité(s) poursuivie(s). A titre d'exemple, un responsable de traitement peut installer un système de vidéosurveillance au-dessus d'un comptoir-caisse de son magasin en invoquant la finalité de protection des biens contre les actes de vol. Cependant, le principe de proportionnalité implique que ces caméras puissent filmer la caisse elle-même et l'avant du comptoir, mais ne ciblent pas les salariés présents derrière le comptoir-caisse.
24.
Quand il s'agit d'endroits réservés aux salariés sur le lieu de travail pour un usage privé, comme en l'espèce la cantine où les salariés peuvent se rencontrer autour d'un repas, les caméras de surveillance sont en principe considérées comme disproportionnées par rapport aux finalités recherchées. Il en va de même pour des endroits comme, par exemple, les vestiaires, les toilettes, les coins fumeurs, les zones de repos, la kitchenette ou tout autre endroit réservé aux salariés pour un usage privé. Dans ces cas, les droits et libertés fondamentaux des salariés doivent prévaloir sur les intérêts légitimes poursuivis par l'employeur.
25.
Dans son courrier du 19 septembre 2019, le contrôlé a réitéré les propos contenus dans son courrier du 23 avril 2019 en précisant que l'unique finalité de la caméra litigieuse était de filmer le matériel à des fins de sécurité et non pas les salariés durant leur pause de midi. Le contrôlé a ajouté que la caméra litigieuse aurait été autorisée par la CNPD.
26.
La Formation Restreinte constate que le contrôlé disposait en effet d'une autorisation préalable n°14/2010 de la CNPD en matière de vidéosurveillance du 29 janvier 2010. Néanmoins, en ce qui concerne, entre autre, la vidéosurveillance à l'intérieur de la zone « cafétéria », la CNPD avait estimé que cette dernière « est disproportionnée et excessive par rapport aux finalités consistant à garantir la sécurité des salariés ou encore pour protéger les biens. La Commission nationale estime que les salariés peuvent s'attendre à prendre leurs pauses, repas et boissons sans être exposés à la gêne, voire aux atteintes émanant d'une surveillance par caméras. Ainsi, une vidéosurveillance à l'intérieur de ces zones est susceptible de porter atteinte à la vie privée. » Dans le dispositif de ladite autorisation, la CNPD avait ainsi expressément interdit la vidéosurveillance à l'intérieur de la zone « cafétéria ».
27.
La Formation Restreinte constate que l'annexe 5 du courrier du contrôlé du 23 avril 2019 contient une photo démontrant que la caméra installée à la cantine a été désinstallée.
28.
La Formation Restreinte note par ailleurs que durant l'audience du 17 novembre 2020, le contrôlé expliquait qu'il avait changé l'aménagement du « coffee corner » en oubliant d'adapter le champ de vision de la caméra de sorte que cette dernière ne filmait plus l'équipement permettant aux salariés de mettre de l'argent sur leurs badges.
29.
Au vu de ce qui précède, la Formation Restreinte se rallie au constat du chef d'enquête selon lequel la non-conformité à l'article 5.1.c) du RGPD était acquise au jour de la visite sur site des agents de la CNPD, d'autant plus que la CNPD avait déjà interdit de filmer l'intérieur de la cantine dans son autorisation n° 14/2010 du 29 janvier 2010.
4 B. Sur le manquement lié au principe de la limitation de conservation 1. Sur les principes 30.
Conformément à l'article 5.1.e) du RGPD, les données à caractère personnel doivent être conservées « sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées […] ».
31.
D'après le considérant (39) du RGPD « les données à caractère personnel devraient être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées. Cela exige, notamment, de garantir que la durée de conservation des données soit limitée au strict minimum. Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d'autres moyens. Afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique […]. » 2. En l'espèce 32.
Lors de l'enquête sur site, il a été expliqué aux agents de la CNPD que la finalité de la mise en place du système de vidéosurveillance était la protection des biens du groupe ….
Dans son courrier du 23 avril 2019, le contrôlé mentionnait une deuxième finalité visant à sécuriser les accès à ses locaux.
33.
En ce qui concerne la durée de conservation des images enregistrées par les caméras de vidéosurveillance, il ressort des constatations des agents de la CNPD que les plus anciennes données dataient du 14 décembre 2018, c'est-à-dire que la durée de conservation des données était de deux mois et trois semaines.
34.
D'après le chef d'enquête, ladite durée de conservation des données de vidéosurveillance de deux mois et trois semaines excédait celle qui était nécessaire à la réalisation des finalités précitées et pour lesquelles le dispositif de la vidéosurveillance avait été mis en place. Pour cette raison, le chef d'enquête était d'avis qu'une non-conformité aux prescrits de l'article 5.1.e) du RGPD était acquise au jour de la visite sur site (voir communication des griefs, Ad.A.4). Dès lors, il a proposé à la Formation Restreinte d'ordonner au contrôlé de mettre en œuvre une politique de durée de conservation des données à caractère personnel conforme à l'article 5 du RGPD, notamment en ne conservant pas les images du flux vidéo pour une durée excédant une semaine.
35.
Par courrier du 23 avril 2019, le contrôlé a précisé que son équipe de sécurité utilisait deux différents systèmes de surveillance avec des durées de conservation différentes :
une fois moins d'un mois et une fois deux mois et 3 semaines. Pour se conformer, la durée du dernier système aurait dès lors été modifiée et la durée de conservation des deux systèmes dorénavant fixée à 30 jours.
36.
Durant l'audience de la Formation Restreinte du 17 novembre 2020, le contrôlé a réitéré ses propos contenus dans son courrier du 16 septembre 2020 en insistant qu'une durée de conservation des images issues des caméras de vidéosurveillance d'une semaine ne serait 5pas suffisante, mais qu'une durée de conservation de 30 jours serait absolument nécessaire. Le contrôlé expliquait par exemple que, comme il recevait chaque semaine des livraisons de différents composants qui nécessitent une coordination et coopération de plusieurs équipes sur son site d'une dimension très large, mais aussi avec des parties tierces comme des compagnies de transport maritimes, des incidents étaient souvent détectés qu'après plusieurs jours, voire même des semaines. Par ailleurs, le contrôlé expliquait que souvent il était informé de vols de certains matériaux, comme du cuivre ou de l'acier, par des lanceurs d'alerte ce qui se passerait en général plus qu'une semaine après l'incident.
37.
La Formation Restreinte rappelle qu'il appartient au responsable du traitement de déterminer, en fonction de chaque finalité spécifique, une durée de conservation appropriée et nécessaire afin d'atteindre ladite finalité. Comme susmentionné, le contrôlé estime qu'une durée de conservation de 30 jours est nécessaire afin d'atteindre les finalités poursuivies, c'est-
à-dire protéger les biens du groupe … et sécuriser les accès à ses locaux.
38.
La Formation Restreinte considère que les données à caractère personnel obtenues par le système de vidéosurveillance peuvent en principe seulement être conservées pendant une période maximale de huit jours en vertu du principe susmentionné de l'article 5.1.e) du RGPD. Le responsable du traitement peut exceptionnellement, pour des raisons dument justifiées, conserver les images pour une durée de 30 jours. Une durée de conservation supérieure à 30 jours est généralement considérée comme étant disproportionnée.
39.
En cas d'incident ou d'infraction, la Formation Restreinte est d'avis que les images peuvent être conservées au-delà de ce délai et, le cas échéant, être communiquées aux autorités judiciaires compétentes et aux autorités répressives compétentes pour constater ou pour poursuivre des infractions pénales.
40.
Alors que la Formation Restreinte peut comprendre la nécessite pour le contrôlé de conserver les images issues de la vidéosurveillance pendant 30 jours, comme la CNPD l'avait d'ailleurs autorisée en 2010, elle constate néanmoins que lors de la visite sur site par les agents de la CNPD, la durée était de deux mois et trois semaines ce qui excédait largement la durée nécessaire afin d'atteindre les finalités poursuivies.
41.
Sur base de l'ensemble de ces éléments, la Formation Restreinte conclut qu'au moment de la visite sur site par les agents de la CNPD, l'article 5.1.e) du RGPD n'était pas respecté par le contrôlé.
C. Sur le manquement lié à l’obligation d’informer les personnes concernées 1, Sur les principes 42.
Aux termes de l'alinéa 1 de l'article 12 du RGPD, le « responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l'article 34 en ce qui concerne le traitement à la personne concernée d'une façon concise, transparente, compréhensible aisément accessible, en des termes clairs et simples […]».
43.
L'article 13 du RGPD prévoit ce qui suit :
6« 1. Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :
a) l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;
b) le cas échéant, les coordonnées du délégué à la protection des données ;
c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;
d) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers ;
e) les destinataires ou les catégories de destinataires des données à caractère personnel, s'ils existent ; et f) le cas échéant, le fait que le responsable du traitement a l'intention d'effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l'existence ou l'absence d'une décision d'adéquation rendue par la Commission ou, dans le cas des transferts visés à l'article 46 ou 47, ou à l'article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition ;
2. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée, au moment où les données à caractère personnel sont obtenues, les informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent :
a) la durée de conservation des données à caractère personnel ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée ;
b) l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel, la rectification ou l'effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s'opposer au traitement et du droit à la portabilité des données ;
c) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point a), ou sur l'article 9, paragraphe 2, point a), l'existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci;
d) le droit d'introduire une réclamation auprès d'une autorité de contrôle ;
e) des informations sur la question de savoir si l'exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d'un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données;
7f) l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.
3. Lorsqu'il a l'intention d'effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été collectées, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2.
4. Les paragraphes 1, 2 et 3 ne s'appliquent pas lorsque, et dans la mesure où, la personne concernée dispose déjà de ces informations. » 44.
La communication aux personnes concernées d'informations relatives au traitement de leurs données est un élément essentiel dans le cadre du respect des obligations générales de transparence au sens du RGPD. Lesdites obligations ont été explicitées par le Groupe de Travail Article 29 dans ses lignes directrices sur la transparence au sens du règlement (UE) 2016/679, dont la version révisée a été adoptée le 11 avril 2018 (ci-après :
« WP 260 rév.01 »).
45.
A noter que le Comité européen de la protection des données (ci-après :
« CEPD »), qui remplace depuis le 25 mai 2018 le Groupe de Travail Article 29, a repris et réapprouvé les documents adoptés par ledit Groupe entre le 25 mai 2016 et le 25 mai 2018, comme précisément les lignes directrices précitées sur la transparence.
2. En l'espèce 46.
Pour ce qui concerne l'information des personnes tierces quant au système de vidéosurveillance, le chef d'enquête a constaté que l'autocollant avec la mention « VIDEO SURVEILLANCE IN USE ON THESE PREMISES » ne contenait pas les éléments requis par l'article 13.1 et 2 du RGPD (voir communication des griefs, page 2, Ad.A.1.). Il a par ailleurs estimé que même si le contrôlé a expliqué dans sa lettre du 23 avril 2019 que les autocollants actuels seront mis à jour pendant le mois de mai 2019, la non-conformité à l'article 13 du RGPD était acquise au plus tard le jour de la visite sur site.
47.
Pour ce qui concerne l'information des salariés quant au système de vidéosurveillance, le chef d'enquête a constaté que ni l'autocollant avec la mention « VIDEO SURVEILLANCE IN USE ON THESE PREMISES », ni le document intitulé « … welcome package » ne contenait les éléments requis par l'article 13.1 et 2 du RGPD (voir communication des griefs, page 1, faits constatés 2 et page 3 Ad.A.2.). Il a par ailleurs estimé que même si le contrôlé a informé la CNPD que la délégation du personnel a été informée de la présence du dispositif de vidéosurveillance, la simple information de la délégation du personnel n'assurait pas que les salariés de la société avaient été informés individuellement concernant les éléments précis de l'article 13. 1 et 2 du RGPD. Finalement, le chef d'enquête a estimé que même si le contrôlé a expliqué dans sa lettre du 23 avril 2019 que les autocollants actuels seraient mis à jour pendant le mois de mai 2019 et que des brochures détaillées destinées à informer les salariés sur le système de vidéosurveillance seraient en train d'être rédigées, la non-conformité à l'article 13 du RGPD était acquise au plus tard le jour de la visite sur site (voir communication des griefs, page 2 Ad.A.2).
8 48.
Par courrier du 23 avril 2019, le contrôlé a en effet indiqué que les salariés et les personnes tierces avaient été informés de la présence du système d'information par les autocollants se trouvant sur les entrées principaux, mais que ces autocollants seraient mis à jour pendant le mois de mai 2019. En ce qui concerne les salariés, le contrôlé a précisé qu'ils étaient informés par une référence à la vidéosurveillance dans le « employees welcome package » et que la délégation du personnel avait été informée, mais que des brochures détaillées destinées à informer les salariés sur le système de vidéosurveillance étaient en cours de rédaction.
49.
Par courrier du 19 septembre 2019, le contrôlé a envoyé au chef d'enquête une photo de l'affichage du nouvel autocollant, ainsi qu'une copie de la note d'information sur la vidéosurveillance que toute personne concernée pourrait dorénavant demander à recevoir à la réception du contrôlé ou en envoyant un mail à l'adresse indiquée sur le sticker. En ce qui concerne spécifiquement les salariés, le contrôlé y a ajouté que lors de la visite sur site, ces derniers avaient déjà été informés par une référence spécifique à la vidéosurveillance dans la politique de confidentialité du groupe … et que par après, une note d'information sur la vidéosurveillance avait été mise à leur disposition sur des panneaux sur les sites …, qu'elle avait été annexée aux nouveaux contrats de travail et insérée sur l'intranet luxembourgeois de ….
50.
La Formation Restreinte tient tout d'abord à souligner que l'article 13 du RGPD fait référence à l'obligation imposée au responsable du traitement de « fournir » toutes les informations y mentionnées. Le mot « fournir » est crucial en l'occurrence et il « signifie que le responsable du traitement doit prendre des mesures concrètes pour fournir les informations en question à la personne concernée ou pour diriger activement la personne concernée vers l'emplacement desdites informations (par exemple au moyen d'un lien direct, d'un code QR, etc.). » (WP260 rev. 01, paragraphe 33).
51.
La Formation Restreinte note que lors de la visite sur site par les agents de la CNPD, les personnes tierces étaient informées de la présence du système de vidéosurveillance par deux autocollants différents, un portant la mention « VIDEO SURVEILLANCE IN USE ON THESE PREMISES et l'autre étant l'ancienne vignette d'autorisation de la CNPD.
52.
La Formation Restreinte constate toutefois que les autocollants précités ne contenaient pas les informations requises au sens de l'article 13 du RGPD et qu'aucune autre notice d'information n'était disponible, lors de la visite sur site, aux personnes tierces.
53.
En ce qui concerne les salariés, la Formation Restreinte note que lors de la visite sur site par les agents de la CNPD, ces derniers étaient informés de la présence du système de vidéosurveillance par les deux autocollants précités, par une référence à la vidéosurveillance dans le « employees welcome package » et par une référence spécifique à la vidéosurveillance dans la politique de confidentialité du groupe …, d'une part, et que la délégation du personnel avait été informée de la présence du système de vidéosurveillance.
54.
Néanmoins, la Formation Restreinte considère tout d'abord que la simple information de la délégation du personnel n'assure pas que les salariés de la société aient été informés individuellement concernant les éléments précis de l'article 13 du RGPD. Ensuite, elle estime qu'une approche à plusieurs niveaux pour communiquer des informations sur la transparence aux personnes concernées peut être utilisée dans un contexte hors ligne ou non 9numérique, c'est-à-dire dans un environnement réel comme par exemple des données à caractère personnel collectées au moyen d'un système de vidéosurveillance. Le premier niveau d'information devrait de manière générale inclure les informations les plus essentielles, à savoir les détails de la finalité du traitement, l'identité du responsable du traitement et l'existence des droits des personnes concernées, ainsi que les informations ayant la plus forte incidence sur le traitement ou tout traitement susceptible de surprendre les personnes concernées. Le deuxième niveau d'information, c'est-à-dire l'ensemble des informations requises au titre de l'article 13 du RGPD, pourraient être fournies ou mises à disposition par d'autres moyens, comme par exemple un exemplaire de la politique de confidentialité envoyé par e-mail aux salariés ou un lien sur le site internet vers une notice d'information pour ce qui concerne les personnes tierces non-salariés. La Formation Restreinte constate toutefois que les autocollants en place lors de la visite sur site ne contenaient pas les éléments requis du premier niveau d'information que ce soit pour les salariés ou les personnes tierces non-salariés et que le « employees welcome package » et la politique de confidentialité du groupe … ne contenaient pas l'intégralité des éléments requis par l'article 13.1 et 2 du RGPD.
55.
Au vu de ce qui précède, la Formation Restreinte conclut qu'au moment de la visite sur site des agents de la CNPD, l'article 13 du RGPD n'était pas respecté par le contrôlé.
II.2 . Sur les mesures correctrices et amendes 1. Les principes 56.
Conformément à l'article 12 de la loi du 1er août 2018, la CNPD dispose du pouvoir d'adopter toutes les mesures correctrices prévues à l'article 58.2 du RGPD « a) avertir un responsable du traitement ou un sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions du présent règlement ;
b) rappeler à l'ordre un responsable du traitement ou un sous-traitant lorsque les opérations de traitement ont entraîné une violation des dispositions du présent règlement ;
c) ordonner au responsable du traitement ou au sous-traitant de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits en application du présent règlement ;
d) ordonner au responsable du traitement ou au sous-traitant de mettre les opérations de traitement en conformité avec les dispositions du présent règlement, le cas échéant, de manière spécifique et dans un délai déterminé ;
e) ordonner au responsable du traitement de communiquer à la personne concernée une violation de données à caractère personnel;
f) imposer une limitation temporaire ou définitive, y compris une interdiction, du traitement ;
g) ordonner la rectification ou l'effacement de données à caractère personnel ou la limitation du traitement en application des articles 16, 17 et 18 et la notification de ces mesures aux destinataires auxquels les données à caractère personnel ont été divulguées en application de l'article 17, paragraphe 2, et de l'article 19 ;
10 h) retirer une certification ou ordonner à l'organisme de certification de retirer une certification délivrée en application des articles 42 et 43, ou ordonner à l'organisme de certification de ne pas délivrer de certification si les exigences applicables à la certification ne sont pas ou plus satisfaites ;
i) imposer une amende administrative en application de l'article 83, en complément ou à la place des mesures visées au présent paragraphe, en fonction des caractéristiques propres à chaque cas ;
j) ordonner la suspension des flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale. » 57.
Conformément à l'article 48 de la loi du 1er août 2018, la CNPD peut imposer des amendes administratives telles que prévues à l'article 83 du RGPD, sauf à l’encontre de l'État ou des communes.
58.
L'article 83 du RGPD prévoit que chaque autorité de contrôle veille à ce que les amendes administratives imposées soient, dans chaque cas, effectives, proportionnées et dissuasives, avant de préciser les éléments qui doivent être pris en compte pour décider s'il y a lieu d'imposer une amende administrative et pour décider du montant de cette amende :
« a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu'elles ont subi ;
b) le fait que la violation a été commise délibérément ou par négligence ;
c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées ;
d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu'ils ont mises en oeuvre en vertu des articles 25 et 32 ;
e) toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant ;
f) le degré de coopération établi avec l'autorité de contrôle en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs ;
g) les catégories de données à caractère personnel concernées par la violation ;
h) la manière dont l'autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation;
i) lorsque des mesures visées à l'article 58, paragraphe 2, ont été précédemment ordonnées à l'encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures ;
11j) l'application de codes de conduite approuvés en application de l'article 40 ou de mécanismes de certification approuvés en application de l'article 42 ; et k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l'espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation ».
59.
La Formation Restreinte tient à préciser que les faits pris en compte dans le cadre de la présente décision sont ceux constatés au début de l'enquête. Les éventuelles modifications relatives aux traitements de données faisant l'objet de l'enquête intervenues ultérieurement, même si elles permettent d'établir entièrement ou partiellement la conformité, ne permettent pas d'annuler rétroactivement un manquement constaté.
60.
Néanmoins, les démarches effectuées par le contrôlé pour se mettre en conformité avec le RGPD au cours de la procédure d'enquête ou pour remédier aux manquements relevés par le chef d'enquête dans la communication des griefs, sont prises en compte par la Formation Restreinte dans le cadre des éventuelles mesures correctrices à prononcer.
2. En l'espèce 2.1. Quant à l'imposition d'une amende administrative 61.
Dans son courrier complémentaire à la communication des griefs du 3 août 2020, le chef d'enquête proposait à la Formation Restreinte d'infliger une amende administrative au contrôlé d'un montant de 2.600 euros.
62.
Dans sa réponse audit courrier complémentaire du 16 septembre 2020, le contrôlé soutenait notamment que la proposition d'amende du chef d'enquête ne prenait pas suffisamment en compte les éléments atténuants de l'affaire, c'est-à-dire sa diligence à mettre en œuvre des mesures de mise en conformité, ainsi que la nature récente des exigences légales applicables au moment de l'enquête de la CNPD. Pour les raisons détaillées dans ledit courrier, le contrôlé estimait que la proposition d'amende du chef d'enquête devrait être écartée.
63.
Afin de décider s'il y a lieu d'imposer une amende administrative et pour décider, le cas échéant, du montant de cette amende, la Formation Restreinte prend en compte les éléments prévus par l'article 83.2 du RGPD :
- Quant à la nature et à la gravité de la violation (article 83.2.a) du RGPD), la Formation Restreinte relève qu'en ce qui concerne les manquements aux articles 5.1.c) et e) du RGPD, ils sont constitutifs de manquements aux principes fondamentaux du RGPD (et du droit de la protection des données en général), à savoir aux principes de minimisation des données et de la limitation de la conservation des données consacrés au Chapitre II « Principes » du RGPD.
- Quant au manquement à l'obligation d'informer les personnes concernées conformément à l'article 13 du RGPD, la Formation Restreinte rappelle que l'information et la transparence relative au traitement des données à caractère personnel sont des obligations essentielles pesant sur les responsables de traitement afin que les personnes soient pleinement 12conscientes de l'utilisation qui sera faite de leurs données à caractère personnel, une fois celles-ci collectées. Un manquement à l'article 13 du RGPD est ainsi constitutif d'une atteinte aux droits des personnes concernées. Ce droit à l'information a par ailleurs été renforcé aux termes du RGPD, ce qui témoigne de leur importance toute particulière.
- Quant au critère de durée (article 83.2.a) du RGPD), la Formation Restreinte constate que ces manquements ont duré dans le temps, à tout le moins depuis le 25 mai 2018 et jusqu'au jour de la visite sur place. La Formation Restreinte rappelle ici que deux ans ont séparé l'entrée en vigueur du RGPD de son entrée en application pour permettre aux responsables de traitement de se conformer aux obligations qui leur incombent et ce même si les obligations de respecter les principes de minimisation et de la limitation de conservation, tout comme une obligation d'information comparable existaient déjà en application des articles 4.1. a), b) et d), 10.2 et 26 de la loi abrogée du 2 août 2002 relative à la protection des personnes à l'égard du traitement des données à caractère personnel.
- En ce qui concerne la durée de conservation des données, la Formation Restreinte tient à rappeler que déjà dans son autorisation n°14/2010 du 29 janvier 2010, la CNPD avait imposé comme condition que les données à caractère personnel ne pourraient être conservées au-delà d'un mois.
- Quant au nombre de personnes concernées (article 83.2.a) du RGPD), la Formation Restreinte constate qu'il s'agit de tous les salariés travaillant sur le site du contrôlé, ainsi que toutes les personnes tierces, c'est-à-dire les clients, fournisseurs, prestataires de services et les visiteurs se rendant sur ledit site.
- Quant à la question de savoir si les manquements ont été commis délibérément ou non (par négligence) (article 83.2.b) du RGPD), la Formation Restreinte rappelle que « non délibérément » signifie qu'il n'y a pas eu d'intention de commettre la violation, bien que le responsable du traitement ou le sous-traitant n'ait pas respecté l'obligation de diligence qui lui incombe en vertu de la législation.
En l'espèce, la Formation Restreinte est d'avis que les faits et les manquements constatés ne traduisent pas une intention délibérée de violer le RGPD dans le chef du contrôlé.
- Quant au degré de coopération établi avec l'autorité de contrôle (article 83.2.f) du RGPD), la Formation Restreinte tient compte de l'affirmation du chef d'enquête selon laquelle la coopération du contrôlé tout au long de l'enquête était bonne, ainsi que de sa volonté de se conformer à la loi dans les meilleurs délais.
- Quant aux éventuelles circonstances aggravantes ou atténuantes relatives à la détermination de l'amende aux circonstances en l'espèce (article 83.2.k) du RGPD), le contrôlé fait valoir comme circonstance atténuante dans son courrier du 15 septembre 2020 le fait que le système de vidéosurveillance a été autorisé par l'ancienne délibération n°14/2010 du 29 janvier 2010 de la CNPD et que le système en place n'a pas été modifié dès lors, y inclus la manière d'informer les personnes concernées. Néanmoins, en considérant que les mesures d'information mises en place lors de la visite sur site par les agents de la CNPD ne respectaient même pas les exigences des articles 10.2 et 26 de la loi abrogée du 2 août 2002 relative à la protection des personnes à l'égard du traitement des données à caractère personnel, loi en vigueur à l'époque de l'autorisation de la CNPD, la Formation Restreinte ne peut pas considérer cet argument comme circonstance atténuante.
13 64.
La Formation Restreinte constate que les autres critères de l'article 83.2 du RGPD ne sont ni pertinents, ni susceptibles d'influer sur sa décision quant à l'imposition d'une amende administrative et son montant.
65.
La Formation Restreinte relève aussi que si plusieurs mesures ont été mises en place par le contrôlé afin de remédier en totalité ou en partie à certains manquements, celles-
ci n'ont été adoptées qu'à la suite du contrôle des agents de la CNPD en date du 6 mars 2019 (voir aussi le point 59 de la présente décision).
66.
Dès lors, la Formation restreinte considère que le prononcé d'une amende administrative est justifié au regard des critères posés par l'article 83.2 du RGPD pour manquement aux articles 5.1.c), e) et 13 du RGPD.
67.
S'agissant du montant de l'amende administrative, la Formation Restreinte rappelle que le paragraphe 3 de l'article 83 du RGPD prévoit qu'en cas de violations multiples, comme c'est le cas en l'espèce, le montant total de l'amende ne peut excéder le montant fixé pour la violation la plus grave. Dans la mesure où un manquement aux articles 5 et 13 du RGPD est reproché au contrôlé, le montant maximum de l'amende pouvant être retenu s'élève à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
68.
Au regard des critères pertinents de l'article 83.2 du RGPD évoqués ci-avant, la Formation Restreinte considère que le prononcé d'une amende de 2.600 euros apparaît à la fois effectif, proportionné et dissuasif, conformément aux exigences de l'article 83.1 du RGPD.
2.2. Quant à la prise de mesures correctrices 69.
L'adoption des mesures correctrices suivantes a été proposée par le chef d'enquête à la Formation Restreinte dans son courrier complémentaire à la communication des griefs :
« a) Ordonner au responsable du traitement de compléter les mesures d'information destinées aux personnes concernées par la vidéosurveillance, conformément aux dispositions de l'article 13, paragraphes (1) et (2) du RGPD en renseignant notamment l'identité du responsable du traitement, le cas échéant, les coordonnées du délégué à la protection des données, les finalités du traitement et sa base juridique, les catégories de données traitées, les intérêts légitimes poursuivis par le contrôlé, les destinataires, la durée de conservation des données ainsi les droits de la personne concernée et de la manière de les exercer, et le droit d'introduire une réclamation auprès d'une autorité de contrôle.
b) Ordonner au responsable du traitement de ne traiter que des données pertinentes, adéquates et limitées à ce qui est nécessaire au regard des finalités de protection des biens et de sécurisation des accès et, en particulier, adapter le dispositif vidéo afin de ne pas filmer les salariés qui se trouvent dans la cantine, par exemple en supprimant la caméra dénommée "A 06-LUX Cafeteria ".
c) Ordonner au responsable du traitement de mettre en œuvre une politique de durée de conservation des données à caractère personnel conforme aux dispositions du e) de l'article 5 du RGPD, n'excédant pas la durée nécessaire aux finalités pour lesquelles elles sont 14collectées, et notamment en ne conservant pas les images du flux vidéo pour une durée excédant une semaine. » 70.
Dans son courrier de réponse du 15 septembre 2020 au courrier complémentaire à la communication des griefs, le contrôlé était d'avis que, comme son système de vidéosurveillance est dorénavant conforme aux exigences du RGPD, aucune mesure correctrice ne serait nécessaire.
71.
Quant aux mesures correctrices proposées par le chef d'enquête et par référence au point 60 de la présente décision, la Formation Restreinte prend en compte les démarches effectuées par le contrôlé, suite à la visite des agents de la CNPD, afin de se conformer aux dispositions des articles 5.1.c), e) et 13 du RGPD, comme détaillées dans ses courriers du 23 avril 2019, du 18 septembre 2019 et du 15 septembre 2020. Plus particulièrement, elle prend note des faits suivants, qui ont été confirmés par le contrôlé lors de la séance de la Formation Restreinte du 17 novembre 2020 :
- Quant à la mise en place de mesures d'information destinées aux personnes concernées par la vidéosurveillance, conformément aux dispositions de l'article 13.1 et 2 du RGPD, le contrôlé a élaboré et affiché dans ses locaux de nouveaux autocollants, il met à disposition, sur demande orale à la réception ou écrite par e-mail, aux personnes concernées une note d'information sur la vidéosurveillance et finalement il met à disposition des salariés une note d'information sur la vidéosurveillance sur des panneaux sur les sites …. Ladite note est par ailleurs annexée aux nouveaux contrats de travail et insérée sur l'intranet luxembourgeois de …. L'annexe 1 du courrier du 18 septembre 2019 du contrôlé contient une photo du nouvel autocollant, tandis que l'annexe 2 contient une copie de la nouvelle notice d'information.
- Quant à la mise en place d'une politique de durée de conservation des données à caractère personnel conforme aux dispositions de l'article 5.1.e) du RGPD, le contrôlé a adapté après la visite sur site des agents de la CNPD la durée de conservation des données issues du système de vidéosurveillance de 2 mois et 3 semaines à 30 jours. L'annexe 4 du courrier du 23 avril 2019 du contrôlé contient une photo démontrant que les paramètres du système de vidéosurveillance ont été modifiés en ce sens que la durée de rétention a été limitée à 30 jours.
- Quant à l'obligation de ne traiter que des données pertinentes, adéquates et limitées à ce qui est nécessaire au regard des finalités de protection des biens et de sécurisation des accès et, en particulier, adapter le dispositif de vidéosurveillance afin de ne pas filmer les salariés qui se trouvent dans la cantine, le contrôlé a désinstallé la caméra litigieuse de la cantine le jour après la visite sur site des agents de la CNPD. L'annexe 5 du courrier du 23 avril 2019 du contrôlé contient deux photos démontrant que ladite caméra a été désinstallée.
72.
En considération des mesures de mise en conformité prises par le contrôlé en l'espèce et le point 60 de la présente décision, la Formation Restreinte considère qu'il n'y a pas lieu de prononcer des mesures correctrices à l'égard du contrôlé.
Compte tenu des développements qui précèdent, la Commission nationale siégeant en formation restreinte et délibérant à l'unanimité des voix décide :
15- de prononcer à l'encontre de la société « … S.A. » une amende administrative d'un montant de deux mille six cents euros (2600 euros), au regard de la violation des articles 5.1.c), e) et 13 du RGPD. (…) ».
Par requête déposée au greffe du tribunal administratif le 11 août 2021, inscrite sous le numéro 46350 du rôle, la société … a fait introduire un recours tendant à la réformation, sinon à l’annulation de la décision précitée de la CNPD du 12 mai 2021, lui notifiée en date du 14 mai 2021.
Etant donné qu’aux termes de l’article 55 de la loi du 1er août 2018, « Un recours contre les décisions de la CNPD prises en application de la présente loi est ouvert devant le Tribunal administratif qui statue comme juge du fond. », le tribunal est compétent pour connaître du recours principal en réformation dirigé contre la décision précitée du 12 mai 2021.
Il s’en suit qu’il n’y a pas lieu de statuer sur le recours subsidiaire en annulation figurant dans la requête introductive d’instance.
Dans son mémoire en réponse, la CNPD se rapporte à prudence de justice quant à la recevabilité du recours en la pure forme.
Si le fait de se rapporter à prudence de justice équivaut à une contestation, une contestation non autrement développée est cependant à écarter, étant donné qu’il n’appartient pas au tribunal de suppléer la carence des parties dans la présentation de leurs moyens, étant encore relevé que le tribunal n’entrevoit pas de moyen d’irrecevabilité qui serait à soulever d’office.
Le recours principal en réformation ayant, par ailleurs, été introduit dans les formes et délai de la loi, est partant recevable.
A l’appui de son recours et en fait, la partie demanderesse, tout en citant certains des rétroactes passés en revue ci-avant, explique qu’elle appartiendrait au groupe …, qui serait un leader mondial de l'industrie des plastiques et dont l'activité consisterait à commercialiser des moules et des machines de moulage par injection pour permettre la production de produits finis pour une multitude de marchés médicaux et de produits de consommation.
Compte tenu de ces activités et afin d'assurer la protection de son personnel, de ses biens et de ses bâtiments, ainsi que la sécurité de l'accès à son site, elle aurait installé un système de vidéosurveillance composé de 20 caméras, dont 3 seraient hors-service et qui ne seraient pas remplacées.
Concernant d’abord la caméra de la cafétéria, la partie demanderesse donne à considérer que celle-ci aurait été placée de telle sorte que son champ de vision aurait été ciblé sur un équipement spécifique permettant à ses salariés de mettre de l'argent sur leur badge professionnel, équipement dont l’emplacement à la cafétéria se serait imposé en raison du fait que les salariés allaient ensuite pouvoir utiliser l'argent enregistré sur leur badge.
La partie demanderesse concède que le champ de vision de ladite caméra aurait été plus large que le seul emplacement de l'équipement à surveiller, alors qu’il aurait également intégré une partie équivalente à environ 1/5e de l'espace dédié au coin café se trouvant à proximité de 16l'équipement, ce qui serait cependant la conséquence des caractéristiques intrinsèques de la caméra en question et non d'un réglage particulier de sa part.
Elle fait relever que suite aux observations faites par les agents de la CNPD lors de leur visite, elle aurait immédiatement retiré cette caméra de son système de vidéosurveillance, et ce sans discuter de la conformité de cette caméra aux dispositions légales applicables, mais sans aucune reconnaissance préjudiciable d'une quelconque infraction à la loi du fait dudit dispositif.
Quant à la durée de détention de certaines données à caractère personnel, la partie demanderesse donne à considérer qu’elle utiliserait deux systèmes différents pour la conservation des images collectées par ses caméras de surveillance, dont seul le premier serait paramétré de manière à ce que les images soient conservées durant trente jours et puis détruites, alors que le second système, surveillant la réception et l'expédition de matériaux, serait paramétré en vue d’une conservation des images durant deux mois et trois semaines, délai justifié par la finalité recherchée, à savoir celle de prévenir la commission d'infractions telles que, par exemple, des vols de marchandises, lesquels seraient souvent découverts plusieurs semaines voire plusieurs mois après les faits.
La partie demanderesse fait souligner que malgré ce besoin spécifique, elle aurait, toujours dans le souci de se conformer à l’avis de la CNPD, et sans aucune reconnaissance, immédiatement modifié les paramètres de ce second système de stockage afin de réduire la durée de conservation à trente jours.
En ce qui concerne l’information des personnes concernées sur la présence du système de vidéosurveillance et la captation d'images, la partie demanderesse fait relever que les personnes concernées en auraient été averties, d’un côté, par des autocollants comportant la mention « Video surveillance in use on these premises », ainsi que par les autocollants recommandés à l'époque par la CNPD et, d’un autre côté, par un document spécifique relatif à la politique globale de confidentialité du groupe ….
Par ailleurs elle aurait également transmis une information additionnelle à ses salariés concernant la présence du système de vidéosurveillance par la remise de documents lors de leur embauche regroupés dans le « welcome package », les informant qu'un système de vidéosurveillance serait installé dans ses locaux. De même, le comité mixte aurait été mis au courant de l'existence du système de vidéosurveillance et des finalités poursuivies par l'utilisation d'un tel système.
A nouveau, la partie demanderesse donne à considérer qu’elle aurait, sans discuter de la légalité des dispositifs existants, mais toujours sans acquiescement quant aux reproches lui adressés par la CNPD, pris les mesures sollicitées par les agents de cette dernière lors de leur visite sur place, en remplaçant les autocollants existants par des nouveaux permettant de transmettre davantage d'informations aux personnes concernées, de même qu’elle aurait élaboré et mis à disposition des personnes concernées une nouvelle notice spécifique au système de vidéosurveillance et contenant l'ensemble des informations requises par les dispositions légales applicables.
Dans son mémoire en réplique, la partie demanderesse fait préciser en fait qu’avant la mise en place de son système de vidéosurveillance, elle aurait, conformément à la loi applicable, sollicité l'autorisation préalable de la CNPD en détaillant, dans sa demande, les 17finalités poursuivies par la mise en place d'un tel système, à savoir assurer « la sécurité du personnel et des usagers » ainsi que « protéger les biens ».
Par sa délibération n°14/2010 du 29 janvier 2010, la CNPD aurait d’ailleurs admis la légalité des finalités invoquées en précisant que « la nécessité de surveillance par caméras apparait justifiée au regard des dispositions légales mentionnées ci-avant et par rapport aux risques allégués par les requérantes », tout en ajoutant que « les requérantes sont encore fondées à procéder au traitement des données à des fins de surveillance permettant de restreindre l'accès au site de la requérante luxembourgeoise à certaines zones aux seules personnes autorisées, ce qui contribue par la même occasion à prévenir un danger potentiel pour l'intégrité physique des employés et des usagers ainsi que des atteintes aux biens ».
Concernant plus précisément l'usage de caméras dans la cafétéria, la CNPD aurait précisé qu'un tel usage ne devait pas permettre de filmer les salariés durant « leurs pauses, repas et boissons ». La partie demanderesse soutient à cet égard qu’elle aurait expliqué et démontré que la caméra de la cafétéria aurait visé à assurer (i) la protection d'un équipement spécifique et (ii) la protection des employés lors de l’usage de cet équipement, le champ de vision de la caméra ayant de ce fait été directement pointé en direction de l'emplacement initialement occupé par cet équipement.
La partie demanderesse fait encore répliquer que, contrairement à ce que la partie défenderesse soulignerait, elle n’aurait jamais admis avoir commis les manquements reprochés, respectivement admis que son système de traitement des données à caractère personnel ne respectait pas les prescriptions légales applicables, alors que le simple fait d’avoir pris des mesures correctrices en procédant à des modifications de son système de traitement des données à caractère personnel sur base des observations des agents de la CNPD lors de leur visite sur place, ne saurait valoir acquiescement quant aux griefs lui reprochés.
Ainsi, le retrait de la caméra de la cafétéria, la réduction de la durée de conservation de certaines images collectées à un maximum de trente jours, respectivement la modification des éléments de communication relatifs à l'existence d'un système de vidéosurveillance sur son site, auraient certes été faits de manière spontanée, mais bien entendu sous réserves et sans aveu quant à une quelconque infraction à la loi. En effet, il faudrait seulement en conclure qu’elle serait soucieuse de la protection des données à caractère personnel de son personnel, ce qui démontrerait sa bonne foi et sa volonté de coopérer avec la CNPD, sans attendre l’issue d’un litige contentieux.
En droit, la partie demanderesse fait plaider que son système de vidéosurveillance, la durée de rétention des données à caractère personnel collectées ainsi que l’information des personnes concernées par ladite collecte auraient été conformes aux dispositions légales applicables, de sorte que ce serait à tort que la CNPD lui aurait infligé une amende administrative. A titre subsidiaire, elle estime que cette amende serait excessive et devrait dès lors être revue à la baisse.
En ce qui concerne en premier lieu l'obligation de minimiser les données à caractère personnel collectées, la partie demanderesse estime que son système de caméras de surveillance serait conforme aux exigences de l’article 5, paragraphe (1) du RGPD, alors que la finalité de la vidéosurveillance dans son entreprise aurait été d'assurer tant la protection de son personnel, de ses équipements et de ses marchandises que la sécurité de l'accès à ses bâtiments, tel que ces finalités précises et légitimes auraient été expliquées à la CNPD dès le jour de sa visite, au 18cours de laquelle cette dernière aurait d’ailleurs constaté que l'utilisation de 16 caméras (sur 17) aurait été conforme aux prescriptions légales.
En ce qui concerne justement la caméra de la cafétéria, seule caméra dont l'utilisation aurait été jugée disproportionnée par rapport à la finalité recherchée, au motif qu'elle permettrait de surveiller les salariés pendant leur temps libre, la partie demanderesse fait rappeler que cette caméra aurait été placée de telle sorte que son champ de vision aurait été ciblé sur un équipement spécifique permettant à ses salariés de mettre de l'argent sur leur badge professionnel, de sorte que la finalité de cette dernière aurait donc été limitée à la protection des salariés lorsqu'ils auraient fait usage de cet équipement particulier, ainsi qu’à la protection de l'équipement lui-même. Contrairement à ce qu'affirmerait la CNPD, cette caméra n'aurait jamais eu comme objectif de surveiller les salariés durant leur temps libre et n'aurait jamais été utilisée à une telle fin.
Etant donné que ladite caméra aurait été installée pour une finalité déterminée et légitime et que son utilisation aurait été proportionnée à ladite finalité, ce serait à tort que la CNPD aurait déclaré son système de vidéosurveillance comme étant non conforme aux prescriptions légales de l'article 5, paragraphe (1) du RGPD.
Dans son mémoire en réplique, la partie demanderesse ajoute que dès lors que la CNPD aurait validé la justification du système de vidéosurveillance litigieux dans le cadre de sa délibération du 29 janvier 2010, elle ne pourrait actuellement pas revenir sur cette position en affirmant que les finalités mises en avant seraient excessives.
La partie demanderesse fait ensuite préciser, en ce qui concerne la zone cafétéria, que la délibération de la CNPD du 29 janvier 2010 aurait précisé que l'usage de caméras à l'intérieur de cette zone serait « disproportionné et excessif par rapport aux finalités consistant à garantir la sécurité des salariés ou encore pour protéger les biens » au motif que « les salariés peuvent s'attendre à prendre leurs pauses, repas et boissons sans être exposés à la gêne, voire aux atteintes émanant d'une surveillance par caméras », de sorte que l'usage de caméras à l'intérieur de la zone cafétéria aurait été admis à condition de ne pas filmer les salariés durant leurs pauses, repas et boissons.
Il serait ainsi faux d'affirmer, comme le ferait la partie défenderesse, que la délibération du 29 janvier 2010 aurait expressément interdit la vidéosurveillance à l'intérieur de la zone cafétéria, alors que cette interdiction n’aurait visé que la surveillance des salariés durant leurs pauses, repas et boissons, de sorte que, d’après la partie demanderesse, il se serait agi à l’époque d’une autorisation conditionnelle d'installer des caméras au sein de la cafétéria à condition que celles-ci ne visent pas à filmer les salariés durant leurs pauses, repas et boissons, finalité qui n’aurait pas été celle de la caméra litigieuse laquelle aurait uniquement eu comme but la surveillance de l'équipement spécifique concerné avant que ce dernier ne soit déplacé.
La partie demanderesse fait encore une fois souligner que la circonstance que le champ de vision de la caméra de la cafétéria n'était pas restreint au seul périmètre occupé initialement par l'équipement spécifique à surveiller, serait seulement due aux caractéristiques intrinsèques de cette caméra et non à un réglage particulier de sa part, tout en précisant que, contrairement à ce qui serait soutenu par la partie défenderesse, ses explications complémentaires sur le champ de vision de la caméra ne se contrediraient pas avec ses explications précédemment fournies à la CNPD, suivant lesquelles elle aurait oublié de réajuster ladite caméra suite au 19réaménagement récent du « coffee corner », impliquant une modification de l'emplacement l’équipement spécifique concerné par la vidéosurveillance.
La partie demanderesse fait souligner que sa nouvelle argumentation ne viserait qu’à répondre à l’exigence de la CNPD de recourir aux moyens de surveillance les plus protecteurs de la sphère privée du salarié en limitant le champ de vision des caméras à la seule surface nécessaire pour atteindre les finalités poursuivies, expliquant ainsi qu’en raison des spécificités techniques de ladite caméra, elle n’aurait pas été en mesure d’adapter le champ de vision de cette dernière afin de le réduire à la seule surface occupée par l'équipement spécifique faisant l’objet de la vidéosurveillance.
En tout état de cause, le champ de vision de la caméra de la cafétéria n'aurait en rien été disproportionné par rapport aux finalités recherchées, étant donné qu’elle aurait permis de filmer non seulement l'équipement mais également les salariés qui en auraient fait usage et qui se seraient trouvé à proximité, de sorte à lui permettre de capter tout événement dangereux en lien avec l'usage de cet équipement se produisant à ses abords.
La partie défenderesse conclut au rejet de ce moyen.
Aux termes de l’article 5, paragraphe (1) du RGPD, « 1. Les données à caractère personnel doivent être:
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence);
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités; le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n'est pas considéré, conformément à l'article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités);
c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données); (…) ».
En vertu de cette disposition, non seulement la finalité de la collecte de données doit être bien déterminée, interdisant l’utilisation ultérieure des données à caractère personnel à d'autres fins, mais encore uniquement les données strictement nécessaires à la réalisation des finalités peuvent être collectées et traitées.
Or, en l’espèce, force est de retenir qu’au-delà de la question litigieuse de savoir si la finalité de la vidéosurveillance par le biais de la caméra installée à la cafétéria avait été justifiée ou non par la sécurité de l’appareil de rechargement des cartes de cantine, respectivement si son champ de vision avait été exclusivement ciblé sur ledit appareil, il est constant en cause qu’au jour du contrôle et suite à l’enlèvement de l’équipement en question et le réaménagement du coin café, ladite caméra ne filmait plus que l’espace où les salariés font leur pause. Or, ceci avait d’ailleurs, contrairement à l’argumentation de la partie demanderesse, expressément été interdit1 par la délibération de la CNPD du 29 janvier 2010 relative à la demande d’autorisation préalable introduite la partie demanderesse, laquelle a retenu, en référence aux travaux parlementaires numéro 4735/13 relative à la loi entretemps abrogée du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel2, ayant 1 Délibération n° 14/2010 du 29 janvier 2010 de le CNPD, p. 5/7.
2 Trav. Parl. n° 4735/13, Rapport de la commission des media et des communications, p. 22.
20souligné que l'employeur doit recourir aux moyens de surveillance les plus protecteurs de la sphère privée du salarié, que « (…) l’installation de caméras à l’intérieur de la zone « cafétéria » est disproportionnée et excessive par rapport aux finalités consistant à garantir la sécurité des salariés ou encore pour protéger les biens. La commission nationale estime que les salariés peuvent s’attendre à prendre leurs pauses, repas et boissons sans être exposés à la gêne, voire aux atteintes émanant d’un système de surveillance par caméras. Ainsi, une vidéosurveillance à l’intérieur de ces zones est susceptible de porter atteinte à leur vie privée. (…) ».
Il s’ensuit que c’est à bon droit que la CNPD a relevé qu’au jour de son contrôle, seul moment pertinent dans le cadre de la présente analyse, la caméra installée dans la cafétéria ne servait aucune finalité autre que de surveiller les salariés pendant leur temps de pause, surveillance qui est cependant excessive par rapport au respect de la vie privée de ces derniers, de sorte que le point c) de l’article 5, paragraphe (1) du RGPD s’est bien trouvé violé, sans que cette conclusion ne puisse être énervée ni par la bonne foi de la partie demanderesse, laquelle ne saurait ignorer les motifs de la délibération précitée du 29 janvier 2010, ni par le fait que la caméra ait entretemps été enlevée sur avis des agents de la CNPD, démarche qui ne saurait pas faire disparaître l’infraction consommée.
Il s’ensuit que ce premier moyen est partant à rejeter.
En ce qui concerne ensuite, en deuxième lieu, l'obligation de limiter la durée de conservation des données à caractère personnel collectées, la partie demanderesse fait plaider qu’étant donné que la durée de conservation des données à caractère personnel serait à déterminer en fonction de la finalité recherchée par la collecte desdites données, à savoir en l’occurrence (i) la protection de son personnel, de ses équipements et de ses marchandises ainsi que (ii) la sécurité de l'accès à ses bâtiments, finalités qui n'auraient d’ailleurs fait l'objet d'aucune observation de la CNPD, le temps de garde pour certaines images fixé à deux mois et 3 semaines ne serait pas à considérer comme étant disproportionné au sens de l'article 5, paragraphe (1) du RGPD, alors qu’il aurait au contraire été de nature à garantir l'efficacité de la finalité recherchée.
Ainsi, tout en soulignant que la durée de conservation de deux mois et trois semaines n’aurait pas concerné toutes les données collectées par le système de vidéosurveillance, mais seulement les images pour lesquelles une telle durée de conservation aurait été strictement nécessaire, à savoir la surveillance de la réception et de l'expédition de matériaux et de marchandises, tels que notamment des matériaux recyclés comme le cuivre et l'acier, la partie demanderesse donne à considérer que si les images du système de vidéosurveillance faciliteraient grandement la résolution de l'enquête et minimiseraient le dommage subi, les vols de matériaux stockés seraient souvent seulement découverts plusieurs semaines, voire plusieurs mois après leur commission, notamment dans le cas où leur utilisation se ferait seulement plusieurs semaines, voire plusieurs mois après leur réception, respectivement lorsque la réception de matériaux expédiés se ferait après plusieurs mois de transport.
Il aurait donc été tout à fait nécessaire que ces images puissent être consultées plusieurs semaines, voire plusieurs mois, après leur captation.
La partie demanderesse fait encore répliquer à cet égard que la durée de stockage plus longue se justifierait pleinement par la valeur des matières premières concernées, afin non 21seulement de dissuader des personnes malintentionnées de voler ces biens, mais également afin de retrouver plus facilement les auteurs d’un éventuel vol.
En ce qui concerne le reproche de la partie défenderesse selon lequel elle prendrait trop de temps à constater qu'elle aurait été victime d'un vol de marchandises, la partie demanderesse explique que la durée de conservation de 2 mois et 3 semaines correspondrait, d’un côté, au temps de stockage des matériaux dans ses entrepôts et, d’un autre côté, au temps de livraison des matériaux lorsqu’ils seraient notamment expédiés à l'étranger.
La partie demanderesse estime également, contrairement à ce qui serait suggéré par la partie défenderesse, qu’elle n’aurait pas à verser la preuve qu'elle aurait déjà été victime de vols de marchandises, alors que la CNPD admettrait elle-même, dans la décision déférée, que « le risque de vol ou de vandalisme est caractérisé de sorte que la nécessité de la surveillance par caméras apparait justifiée ». Ainsi, la CNPD ne pourrait pas légitimement adopter une telle position initiale, figurant également dans son autorisation préalable du système de vidéosurveillance, à laquelle un opérateur économique serait censé se conformer, pour ensuite changer de position quelques années plus tard, sous peine de heurter le principe de la confiance légitime. Ce revirement d’attitude ne serait pas non plus justifié par les modifications législatives intervenues entretemps, alors que l’obligation de limiter la durée de conservation des données à caractère personnel aurait déjà existé sous l’égide de la loi modifiée du 2 août 2002 relative à la protection des personnes à l'égard du traitement des données à caractère personnel.
De plus, cette attitude contradictoire reviendrait à empêcher les acteurs économiques d'adopter des mesures préventives par rapport à la commission d'infractions.
La partie défenderesse conclut au rejet de ce moyen.
Aux termes de l’article 5, paragraphe (1), point e) du RGPD, les données à caractère personnel doivent être conservées « sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées (…) », de sorte à ce que la durée de conservation des données doit être limitée au strict minimum.
Force est d’abord au tribunal de retenir qu’il n’y a pas de contradictions dans la position de la CNPD, alors que si cette dernière a certes retenu que la finalité de la vidéosurveillance est justifiée en principe, en raison notamment des risques de vols de marchandises au sein de l’entreprise de la partie demanderesse, c’est en l’occurrence seulement la durée de conservation des images qui est mise en cause en l’espèce, durée qui, dans le cadre de sa délibération précitée de la CNPD du 29 janvier 2010, avait été fixée à 30 jours.
Etant donné qu’il a été constaté lors de la visite que pour certaines caméras la durée de conservation des images était de 2 mois et 3 semaines, soit presque trois fois plus que la durée autorisée, il ne saurait être reproché à la CNPD d’avoir sollicité des éléments de preuve visant à justifier une telle augmentation de la durée de conservation des images filmées, ce qui aurait éventuellement pu se faire par rapport aux circonstances spécifiques de vols commis dans le passé, afin de démontrer que la durée de 2 mois et 3 semaines serait effectivement nécessaire pour élucider les vols en question, d’autant plus qu’il ressort de la délibération de la CNPD du 29 janvier 2010 que la partie demanderesse avait elle-même expressément demandé de fixer la durée de conservation des images de son système de vidéosurveillance à 30 jours, durée qu’elle 22estime, par ailleurs, toujours suffisant dans le cadre de son courrier du 15 septembre 2020 adressé à la CNDP à la suite de la visite de la part de cette dernière3.
Il ne saurait dès lors y avoir ni revirement de position ni violation de la légitime confiance de la part de la CNPD.
Il suit de ces considérations que le moyen relatif à durée de conservation des images laisse d’être fondé.
En troisième lieu et quant à l'obligation d'informer les personnes concernées par la collecte de certaines données à caractère personnel, la partie demanderesse estime qu’elle aurait été conforme par rapport aux dispositions des articles 12 et 13 du RGPD, alors que la mise en place de son système de vidéosurveillance et la captation d'images auraient été portées à la connaissance des personnes concernées par deux types de signalements apposés par elle, à savoir des autocollants comportant la mention « Video surveillance in use on these premises », ainsi que des vignettes recommandées à l'époque par la CNPD, de sorte que toute personne concernée aurait donc été informée de la collecte d'images par le système de vidéosurveillance.
De plus, elle aurait également informé ses salariés de la présence d'un système de vidéosurveillance et de la collecte d'images à travers la politique globale de confidentialité du groupe …, reprenant l'identité et les coordonnées du responsable du traitement, les personnes à contacter, ainsi que les moyens de communication à leur disposition en cas de questions sur le traitement de leurs données à caractère personnel. Ce même document informerait les salariés sur la finalité recherchée et les intérêts légitimes poursuivis par la collecte de ces données, parmi lesquelles figurerait la volonté d’« assurer la sécurité des sites de … » et plus particulièrement d’« assurer notamment la sécurité des sites, la protection des biens, des intérêts commerciaux légitimes,… », le même document précisant encore les conditions dans lesquelles, le cas échéant, les données collectées seraient partagées avec d'autres entités.
Ce document informerait également les salariés de leurs droits relatifs aux données à caractère personnel collectées, à savoir le droit de solliciter l'accès aux données, leur rectification ou leur effacement, tout en les informant, le cas échéant, de leur possibilité de retirer leur consentement au traitement de leurs données à caractère personnel. Enfin, les critères appliqués pour déterminer la durée de conservation des données collectées y seraient précisés.
La partie demanderesse fait également souligner qu’elle aurait également transmis une information additionnelle à ses salariés concernant la présence du système de vidéosurveillance lors de leur embauche, par la remise à ces derniers de documents regroupés dans le « welcome package ».
Enfin, le Comité mixte aurait été informé de l'existence du système de vidéosurveillance et des finalités poursuivies par l'utilisation d'un tel système.
Alors même que les dispositifs de transmission d'informations qu’elle aurait mis en place auraient été conformes aux prescriptions légales, la partie demanderesse explique qu’elle aurait immédiatement pris les mesures sollicitées par les agents de la CNPD lors de leur visite, 3 « (…) a retention period of 30 days for our video surveillance footage is adequate, relevant and limited to what is necessary for the purposes pursued, notably ensuring the security of the premises and the protection of … property. ».
23en remplaçant les autocollants placés dans ses locaux visant à avertir les personnes concernées de l'existence du système de surveillance et en élaborant et mettant à disposition des personnes concernées une nouvelle notice spécifique au système de vidéosurveillance et contenant l'ensemble des informations requises par les dispositions légales applicables, à savoir l'identité et les coordonnées du responsable du traitement, la nature des données à caractère personnel collectées ainsi que les finalités recherchées, la durée de détention des données collectées, 30 jours, ainsi que les droits des personnes concernées par la collecte des données.
Cette nouvelle notice serait accessible au bureau de réception, de sorte que tant ses salariés que ses visiteurs pourraient accéder aux informations requises, ces premiers étant également informés par d’autres canaux, en ce que ladite notice serait non seulement annexée à leur contrat de travail, mais également librement téléchargeable sur l'intranet de l’entreprise.
La partie demanderesse donne encore à considérer, dans ce contexte, que du fait qu'une partie des autocollants qu’elle aurait utilisés par le passé auraient été les autocollants recommandés à l'époque par la CNPD, toute violation des dispositions légales applicables résultant de l'utilisation de ces autocollants relèverait de la seule responsabilité de la CNPD, laquelle ne saurait sanctionner un responsable de traitement qui n’aurait fait qu'appliquer les consignes de cette dernière.
La partie défenderesse conclut au rejet de ce moyen.
Aux termes de l'article 13, paragraphes (1) et (2) du RGPD, « 1. Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes:
a) l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement b) le cas échéant, les coordonnées du délégué à la protection des données;
c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;
d) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;
e) les destinataires ou les catégories de destinataires des données à caractère personnel, s'ils existent; et f) le cas échéant, le fait que le responsable du traitement a l'intention d'effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l'existence ou l'absence d'une décision d'adéquation rendue par la Commission ou, dans le cas des transferts visés à l'article 46 ou 47, ou à l'article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition;
2. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée, au moment où les données à caractère personnel sont obtenues, les informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent:
a) la durée de conservation des données à caractère personnel ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;
b) l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel, la rectification ou l'effacement de celles-ci, ou une limitation du 24traitement relatif à la personne concernée, ou du droit de s'opposer au traitement et du droit à la portabilité des données;
c) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point a), ou sur l'article 9, paragraphe 2, point a), l'existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci;
d) le droit d'introduire une réclamation auprès d'une autorité de contrôle;
e) des informations sur la question de savoir si l'exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d'un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données;
f) l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée. ».
Il ressort de manière non contestée des éléments du dossier qu’au jour de la visite de la part de la CNPD, seul moment pertinent pour la vérification de la mise en conformité de la partie demanderesse aux dispositions du RGPD concernant son système de vidéosurveillance, les personnes concernées par ledit traitement de données litigieux, à savoir d’un côté, les visiteurs du site et, de l’autre côté, les salariés de l’entreprise, n’ont été informées de manière visuelle que par quelques autocollants se limitant à avertir, de manière générale, sur l’existence d’un système de vidéosurveillance sur le site, sans que les personnes concernées ne soient informées sur les renseignements figurant à l’article 13 précité du RGPD.
Cette conclusion n’est pas énervée par le fait que la partie demanderesse avait utilisé, entre autres, des autocollants proposés dans le temps par la CNPD pour avertir les personnes concernées de l’existence d’un système de surveillance autorisé par elle, alors qu’au-delà du constat que la partie demanderesse ne saurait se dérober derrière son ignorance des nouvelles obligations, respectivement se prévaloir d’un droit acquis relatif à la législation antérieurement en vigueur, l’ancienne législation prévoyait déjà le droit à l’information de la personne concernée notamment sur l’identité du responsable du traitement, les finalités du traitement, le droit à l’accès et la durée de conservation4, informations que la partie demanderesse est toujours tenue de fournir sous l’égide du RGPD, qui a encore précisé le droit à l’information des personnes concernées par le traitement des données.
En ce qui concerne les autres canaux d’information dont la partie demanderesse a fait état lors de la visite de son site par les agents de la CNPD, ainsi que dans sa prise de position du 23 avril 2019 adressée à cette dernière, force est de retenir, à l’instar de ce qui est souligné par la partie défenderesse, que la mention, par une seule phrase dans le « employees welcome package » distribué à chaque salarié lors de son embauche, de l’existence d’un système de vidéosurveillance dans l’entreprise5 n’est manifestement pas de nature à remplir les exigences précitées de l’article 13 du RGPD, sans ce que cette conclusion ne soit énervée par le fait qu’au cours des années, le comité mixte de l’entreprise avait été informé sur le fait que le système de vidéosurveillance serait conforme à la législation applicable et aurait comme seul finalité 4 Loi modifiée du 2 août 2002 relative à la protection des personnes à l'égard du traitement des données à caractère personnel, article 26.
5 « Please take note that for security reasons our campus is monitored by video surveillance. ».
25d’assurer la sécurité sur le site, tel que cela ressort des extraits y relatifs versés par la partie demanderesse.
Si dans le cadre de son courrier du 18 septembre 2019 adressé à la CNPD à la suite de la communication des griefs par cette dernière en date du 8 août 2019, soit in tempore suspecto, la partie demanderesse a encore fait référence, dans ce contexte, à un document non daté, intitulé « Global privacy policy of the … group », qui comprendrait certaines des informations prévues par l’article 13 RGPD, cette dernière, au-delà du fait qu’elle n’explique pas pour quelle raison elle n’en avait pas déjà fait état lors de sa première prise de position en avril 2019, n’y explique pas comment ce document aurait été mis à disposition de ses salariés, la partie demanderesse se limitant en effet à affirmer que ces derniers auraient pu consulter ledit document pour avoir les informations y figurant. En tout état de cause, la partie demanderesse concède qu’elle aurait encore, par la suite, établi une nouvelle notice spécifique au système de vidéosurveillance contenant l'ensemble des informations requises par les dispositions légales applicables qu’elle annexerait dorénavant au contrat de travail de ses salariés, de sorte qu’elle n’a pas établi qu’au jour du contrôle par la CNPD, sa politique d’information aurait été conforme aux exigences précitées du RGPD.
Il suit de ces considérations que c’est à bon droit que la décision déférée a retenu une violation par la partie demanderesse de l’article 13 du RGPD, de sorte que le moyen afférent encourt également le rejet.
Dans son mémoire en réplique, la partie demanderesse fait finalement préciser que l'existence même d'une amende lui porterait un préjudice grave, et ce indépendamment de son montant, alors qu’elle serait amenée à communiquer à ses parties prenantes, y compris ses clients, des informations précisant, entres autres, si elle a dû s'acquitter d'amendes, y compris des amendes en lien avec le traitement des données à caractère personnel, de sorte que l'existence d'amendes aurait nécessairement un impact négatif sur son profil vis-à-vis de ses clients potentiels, lesquels solliciteraient sa soumission à des audits sociaux et éthiques prenant notamment en considération l'existence d'amendes, y compris en lien avec le traitement des données à caractère personnel.
A titre subsidiaire, si le tribunal devait considérer que le système de vidéosurveillance n'aurait pas été conforme à certaines prescriptions légales applicables, il y aurait lieu de réduire le montant de l'amende prononcée par la CNPD, laquelle n’aurait, lors de la fixation du montant de l’amende en application de l'article 83, paragraphe (2) du RGPD, pas pris en considération i) le fait que si des violations avaient été commises, elles l'auraient été par négligence, alors qu’elle aurait toujours cherché à se conformer aux prescriptions légales et aux avis de la CNPD, ii) l'existence des mesures correctrices spontanées selon les observations faites par les agents de la CNPD en vue d’atténuer ainsi le prétendu dommage subi par les personnes concernées, ainsi iii) sa bonne foi avec laquelle elle aurait coopéré avec la CNPD tout au long de la procédure d'enquête.
La partie défenderesse conclut au rejet de ce dernier moyen.
Force est d’abord au tribunal de relever qu’il résulte de toutes les considérations qui précèdent que c’est à bon droit que la CNPD a retenu, dans le chef de la partie demanderesse, une violation des articles 5, paragraphe (1), points c) et e), ainsi que 13 du RGPD.
26Aux termes de l’article 48 de la loi du 1er août 2016, « (1) La CNPD peut imposer les amendes administratives telles que prévues à l’article 83 du règlement (UE) 2016/679, sauf à l’encontre de l’État ou des communes. (…) ».
Suivant l'article 83 du RGPD, « 1. Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives.
2. Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l'article 58, paragraphe 2, points a) à h), et j). Pour décider s'il y a lieu d'imposer une amende administrative et pour décider du montant de l'amende administrative, il est dûment tenu compte, dans chaque cas d'espèce, des éléments suivants:
a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu'elles ont subi;
b) le fait que la violation a été commise délibérément ou par négligence;
c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées;
d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu'ils ont mises en œuvre en vertu des articles 25 et 32;
e) toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant;
f) le degré de coopération établi avec l'autorité de contrôle en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs;
g) les catégories de données à caractère personnel concernées par la violation;
h) la manière dont l'autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation;
i) lorsque des mesures visées à l'article 58, paragraphe 2, ont été précédemment ordonnées à l'encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures;
j) l'application de codes de conduite approuvés en application de l'article 40 ou de mécanismes de certification approuvés en application de l'article 42; et k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l'espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation.
3. Si un responsable du traitement ou un sous-traitant viole délibérément ou par négligence plusieurs dispositions du présent règlement, dans le cadre de la même opération de traitement ou d'opérations de traitement liées, le montant total de l'amende administrative ne peut pas excéder le montant fixé pour la violation la plus grave.
(…) 5. Les violations des dispositions suivantes font l'objet, conformément au paragraphe 2, d'amendes administratives pouvant s'élever jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu:
27a) les principes de base d'un traitement, y compris les conditions applicables au consentement en vertu des articles 5, 6, 7 et 9;
b) les droits dont bénéficient les personnes concernées en vertu des articles 12 à 22 c) les transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale en vertu des articles 44 à 49;
d) toutes les obligations découlant du droit des États membres adoptées en vertu du chapitre IX;
e) le non-respect d'une injonction, d'une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l'autorité de contrôle en vertu de l'article 58, paragraphe 2, ou le fait de ne pas accorder l'accès prévu, en violation de l'article 58, paragraphe 1. (…) ».
Il ressort du paragraphe (5) de l’article 83 précité du RGPD que les violations du RGPD retenues à l’encontre de la partie demanderesse sont a priori sanctionnées par des amendes administratives pouvant s'élever jusqu'à 20.000.000,- euros ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, de sorte que le principe d’une amende est indiqué, sans que cette conclusion ne soit énervée par le fait que la partie demanderesse estime que cela risquerait de nuire à sa réputation, considération étrangère à ce contexte, étant relevé que les manquements lui reprochés ont bien été relevés au moment du contrôle, constat qui ne saurait être remis en cause par la mise en conformité de la partie demanderesse par la suite.
En ce qui concerne ensuite le montant de l’amende retenue, lequel s’élève à 2.600,-
euros, c’est à bon droit que la partie défenderesse a relevé qu’il ressort de la décision déférée que ledit montant a été justifié par le fait notamment que d’un côté, les faits sont certes constitutifs de manquements aux principes fondamentaux du RGPD, tel que les principes de minimisation des données et de limitation de la conservation des données et du droit à l’information, et que ces manquements ont perduré pendant un certain temps, mais que, d’un autre côté, la partie demanderesse n’était pas à considérer comme avoir délibérément enfreint les règles lui applicables, qu’elle avait fait preuve d’une bonne collaboration avec les autorités de contrôle, de même qu’elle avait une volonté sincère de se conformer à la loi dans les meilleurs délais, en ce que plusieurs mesures avaient été mises en place afin de remédier à certains manquements dès avant le prononcé de la sanction.
Il s’ensuit que l'amende litigieuse est à considérer comme étant parfaitement proportionnée compte tenu des critères de l’article 83, paragraphe (2) du RGPD, de sorte que le moyen afférent de la partie demanderesse est également à rejeter.
Au vu de l’issue du litige, il n’y a pas lieu de faire droit à la demande de la société … en allocation d’une indemnité de procédure de 5.000,- euros sollicitée sur base des dispositions de l'article 33 de la loi du 21 juin 1999.
La CNPD omettant de justifier en quelle mesure il serait inéquitable qu’elle supporte seule les frais non inclus dans les dépens, elle est également à débouter de sa demande en allocation d’une indemnité de procédure d’un montant de 2.500,- euros.
Par ces motifs, le tribunal administratif, quatrième chambre, statuant contradictoirement ;
28se déclare compétent pour connaître du recours principal en réformation ;
déclare le recours principal en réformation non fondé, et en déboute ;
dit qu’il n’y a pas lieu de statuer sur le recours subsidiaire en annulation ;
rejette les demandes respectives en allocation d’une indemnité de procédure formulées par les parties ;
condamne la partie demanderesse aux frais et dépens de l’instance.
Ainsi jugé et prononcé à l’audience publique du 1er décembre 2023 par :
Paul Nourrissier, vice-président, Olivier Poos, vice-président, Emilie Da Cruz De Sousa, premier juge, en présence du greffier Marc Warken.
s.Marc Warken s.Paul Nourrissier Reproduction certifiée conforme à l’original Luxembourg, le 1er décembre 2023 Le greffier du tribunal administratif 29
