Dans une décision rendue le 28 avril 2022, la CNIL italienne a sanctionné la société Amiu spa, société de gestion des déchets de la commune de Tarente en Italie, qui agissait en tant que sous-traitant de la commune (détenue à 100% par la commune).
Les faits
Amiu spa a installé des caméras de vidésurveillance dans la zone municipale afin de lutter contre le dépot sauvage de déchets.
Il lui a été reproché de procéder à la publication des vidéos de dépots sauvages sur Facebook. La diffusion de ces vidéos a été contestée par les organisations syndicales.
La mise en place de ce système datait de 2012 et a été résolu en 2022 !
Les manquements
Il était reproché plusieurs manquements à ce sous-traitant.
Appel à un sous-traitant sans l'autorisation de la commune
Un sous-traitant ultérieur avait été missionné par la société Amiu spa pour la mise en place et la maintenance du dispositif de vidéosurveillance. Or, cette société n'avait pas fait l'objet d'une autorisation de la part de la commune. De plus, aucun contrat au sens de l'article 28 du RGPD n'avait été formulé entre la commune et la société de gestion des déchets.
A l'issue de la procédure d'enquête, un contrat a été mis en place prévoyant l'intervention de ce sous-traitant ultérieur mais le manquement était néanmoins constitué.
Absence de base juridique et détournement de finalité par diffusion de vidéos et photos sur facebook
En diffusant les vidéos et photos sur Facebook des incivibilités, la société de gestion des déchets a voulu bien faire en sensibilisant le public via les réseaux.
Or, cette diffusion n'entrait pas dans les finalités du traitement lié à la vidéosurveillance, à savoir, la prévention des dépots sauvages et l'acquisition des moyens de preuve pour constater et contester les infractions administratives découlant de la violation des réglementations municipales sur l'élimination des déchets. Cette dernière finalité pouvait reposer sur la mission de service public de la société, à savoir la gestion des déchets.
Or, la diffusion ultérieure des vidéos sur Facebook ne reposait sur aucune base juridique légitime identifiée ce qui constitue un manquement à l'article 6 du RGPD.
Il ne ressortait pas non plus des documents fournis à l'autorité de contrôle qu'une compatibilité des finalités ultérieures était démontrée et donc, la réutilisation des données à des fins de diffusion sur les réseaux constituait une atteinte au principe de limitation des finalités (article 5 1. b) du RGPD).
En cas de réutilisation des données ultérieures, il est nécessaire que les finalités soient compatibles. Un test de compatibilité peut être effectué pour répondre à cette question. Vous pouvez vous appuyer sur le modèle réalisé par Dastra.
Les images de vidéosurveillance constituent des données à caractère personnel
En effet, bien que les images ne puissent pas nécessairement réveler l'identité des personnes, il convient d'être particulièrement diligent sur la notion d'anonymisation. En effet, il suffit que les personnes soient identifiables soit par identification, corrélation ou déduction pour que les images constituent des données à caractère personnel.
Une erreur par un agent interne engage l'organisation
La société avait beau plaider l'erreur humaine d'un agent interne sur l'absence de floutage d'une séquence vidéo, la responsabilité est bien portée par l'organisation et il lui revient de maîtriser les processus internes et limiter les risques pour les personnes concernées par les traitements.
Absence de désignation d'un DPO
La société n'avait pas désigné de DPO. Or, la société en mettant un traitement de vidéosurveillance faisait un suivi régulier et systématique à grande échelle de données personnelles à des fins de constation et de vérification d'infractions ce qui constitue une exigence de l'article 37 du RGPD.
Une sanction de 200 000 euros pour le sous-traitant
La société a écopée d'une sanction financière de 200 000 euros pour la violation des articles 5, 6, 28, 37 du RGPD.
A savoir, la municipalité de Tarente a été condamnée à une amende de 150 000 euros pour absence de transparence sur le traitement de vidéosurveillance, pour non détermination du responsable de traitement entre la commune et la société de gestion des déchets à travers notamment la convention qui les lie (ce qui a constitué un manquement à l'article 28 du RGPD et à l'absence de réalisation d'un AIPD sur ce traitement (qui aurait résolu tous ces problèmes !).