PS Consulting sanctionnée par la CNIL pour surveillance de ses salariés et défaut de sécurité

le 04/07/2013, par Bertrand LEMAIRE, Sécurité, 594 mots

Malgré de multiples mises en demeure de la part de la CNIL, la société de conseil et de services informatiques avait persisté dans ses manquements. La sanction vient d'être publiée.

PS Consulting sanctionnée par la CNIL pour surveillance de ses salariés et défaut de sécurité

Professional Service Consulting (PS Consulting) est un cabinet de conseil et de services en assistance maîtrise d'ouvrage et maîtrise d'oeuvre informatiques. Cette entreprise vient de se voir infliger une amende de 10 000 euros par la CNIL (Commission Nationale Informatique et Libertés) pour de multiples manquements persistants aux règles les plus élémentaires tant de sécurité que de respect de ses salariés. La sanction a été rendue publique par la CNIL, cette publicité faisant partie de la sanction par l'effet sur l'image de l'entreprise.

L'autorité administrative indépendante a été pourtant d'une grande patience. La première plainte auprès de la CNIL, déposée par un salarié, a en effet été enregistrée le 15 décembre 2010. Ont suivi des échanges de courriers puis trois contrôles sur place, les 2 février, 15 octobre et 11 décembre 2012. A chaque fois, la CNIL a opéré des recommandations et des mises en demeure. Enfin, le dirigeant de la société a été convoqué à la CNIL le 21 février 2013, convocation à laquelle il n'a pas daigné se rendre. Il n'a pas non plus jugé utile de présenter des observations écrites, possibilité qui lui était offerte en réponse au rapport du commissaire enquêteur qui lui avait été transmis.

Contactée par la rédaction, la société n'a souhaité ni réagir ni répondre à nos questions.

Une surveillance abusive des salariés

Le premier motif de la plainte initiale concernait un dispositif de vidéosurveillance. Les locaux sont tous placés sous la surveillance permanente de caméras depuis l'automne 2010. Malgré le début de la procédure, ce dispositif a suivi l'entreprise lors de son déménagement en novembre 2011. Une surveillance permanente des salariés est par principe excessive à moins de la justifier par des circonstances particulières. Aucune justification n'a été fournie à la CNIL. Les salariés n'étaient informés ni des finalités de cette surveillance, ni de ses conditions (stockage des images, durée de celle-ci...) ni de leurs droits d'accès aux images. En toute fin de procédure, certains nouveaux embauchés recevaient parfois une information partielle.

Sur la base tant du Code du Travail que de la Loi Informatique et Libertés, la CNIL a donc décidé de sanctionner l'entreprise.

Des manquements graves à la sécurité des données...



Des manquements graves à la sécurité des données

Mais le motif initial de la plainte a permis de découvrir, lors des contrôles qui ont été menés, d'autres manquements graves à la Loi. En particulier, cette société traite des données personnelles sur ses ordinateurs mais l'accès à ces données n'était pas correctement sécurisé. Or les clients de PS Consulting appartiennent pour certains au secteur bancaire et financier où la sécurité ne peut pas être négligée. Ainsi, les mots de passe d'accès aux ordinateurs ne changeaient jamais depuis plusieurs années et se réduisaient soit à une suite de cinq caractères soit au prénom ou au nom de famille du salarié. Et ce mot de passe était le seul éément de sécurité !

Malgré les recommandations et mises en demeures de la CNIL de mettre en place des mécanismes simples de sécurisation, la société s'est abstenue de toute modification de ses pratiques.

Ce manquement est en lui-même une faute au titre de l'article 34 de la loi Informatique te Libertés.

Etant donné la persistance des graves fautes de l'entreprise, la CNIL a donc, au bout de deux ans et demi de procédure, enfin sanctionné l'entreprise. PS Consulting n'a pas indiqué si elle souhaitait faire appel de cette sanction devant le Conseil d'Etat, appel qui peut être formé dans les deux mois.

Cisco alerte sur des failles dans IOS XE

Cisco a émis une alerte concernant une vulnérabilité critique au niveau de l'interface utilisateur web de son système d'exploitation d'interconnexion réseau IOS XE. Aucun patch n'est pour l'instant disponible...

le 17/10/2023, par Dominique Filippone, 506 mots

Emergency Responder et d'autres produits de Cisco vulnérables

Les dernières vulnérabilités corrigées par Cisco pourraient donner aux attaquants un accès root, permettre un déni de service ou une escalade des privilèges. En fin de semaine dernière, Cisco a corrigé des...

le 10/10/2023, par Lucian Constantin, IDG NS (adaptation Jean Elyan), 593 mots

IBM lance un service de connectivité multicloud basé sur le DNS

Le service NS1 Connect proposé par IBM peut prendre des décisions dynamiques sur l'endroit où envoyer des requêtes Internet pour assurer les meilleures connexions dans des environnements réseau complexes et...

le 27/09/2023, par Michael Cooney, IDG NS (adapté par Jean Elyan), 989 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...