PS Consulting sanctionnée par la CNIL pour surveillance de ses salariés et défaut de sécurité
Malgré de multiples mises en demeure de la part de la CNIL, la société de conseil et de services informatiques avait persisté dans ses manquements. La sanction vient d'être publiée.
Professional Service Consulting (PS Consulting) est un cabinet de conseil et de services en assistance maîtrise d'ouvrage et maîtrise d'oeuvre informatiques. Cette entreprise vient de se voir infliger une amende de 10 000 euros par la CNIL (Commission Nationale Informatique et Libertés) pour de multiples manquements persistants aux règles les plus élémentaires tant de sécurité que de respect de ses salariés. La sanction a été rendue publique par la CNIL, cette publicité faisant partie de la sanction par l'effet sur l'image de l'entreprise.
L'autorité administrative indépendante a été pourtant d'une grande patience. La première plainte auprès de la CNIL, déposée par un salarié, a en effet été enregistrée le 15 décembre 2010. Ont suivi des échanges de courriers puis trois contrôles sur place, les 2 février, 15 octobre et 11 décembre 2012. A chaque fois, la CNIL a opéré des recommandations et des mises en demeure. Enfin, le dirigeant de la société a été convoqué à la CNIL le 21 février 2013, convocation à laquelle il n'a pas daigné se rendre. Il n'a pas non plus jugé utile de présenter des observations écrites, possibilité qui lui était offerte en réponse au rapport du commissaire enquêteur qui lui avait été transmis.
Contactée par la rédaction, la société n'a souhaité ni réagir ni répondre à nos questions.
Une surveillance abusive des salariés
Le premier motif de la plainte initiale concernait un dispositif de vidéosurveillance. Les locaux sont tous placés sous la surveillance permanente de caméras depuis l'automne 2010. Malgré le début de la procédure, ce dispositif a suivi l'entreprise lors de son déménagement en novembre 2011. Une surveillance permanente des salariés est par principe excessive à moins de la justifier par des circonstances particulières. Aucune justification n'a été fournie à la CNIL. Les salariés n'étaient informés ni des finalités de cette surveillance, ni de ses conditions (stockage des images, durée de celle-ci...) ni de leurs droits d'accès aux images. En toute fin de procédure, certains nouveaux embauchés recevaient parfois une information partielle.
Sur la base tant du Code du Travail que de la Loi Informatique et Libertés, la CNIL a donc décidé de sanctionner l'entreprise.
Des manquements graves à la sécurité des données...
Des manquements graves à la sécurité des données
Mais le motif initial de la plainte a permis de découvrir, lors des contrôles qui ont été menés, d'autres manquements graves à la Loi. En particulier, cette société traite des données personnelles sur ses ordinateurs mais l'accès à ces données n'était pas correctement sécurisé. Or les clients de PS Consulting appartiennent pour certains au secteur bancaire et financier où la sécurité ne peut pas être négligée. Ainsi, les mots de passe d'accès aux ordinateurs ne changeaient jamais depuis plusieurs années et se réduisaient soit à une suite de cinq caractères soit au prénom ou au nom de famille du salarié. Et ce mot de passe était le seul éément de sécurité !
Malgré les recommandations et mises en demeures de la CNIL de mettre en place des mécanismes simples de sécurisation, la société s'est abstenue de toute modification de ses pratiques.
Ce manquement est en lui-même une faute au titre de l'article 34 de la loi Informatique te Libertés.
Etant donné la persistance des graves fautes de l'entreprise, la CNIL a donc, au bout de deux ans et demi de procédure, enfin sanctionné l'entreprise. PS Consulting n'a pas indiqué si elle souhaitait faire appel de cette sanction devant le Conseil d'Etat, appel qui peut être formé dans les deux mois.