La loi du 6 août 2004, qui a modifié la loi Informatique et libertés, confère à la Cnil le pouvoir de prononcer une sanction pécuniaire proportionnée à la gravité des manquements commis ou aux avantages tirés du manquement. La sanction peut atteindre 150.000 à 300.000 euros selon les cas (Loi n° 2004-801 du 6 août 2004, art. 47.).

Moins de deux ans après l'introduction de cette disposition dans la loi, la Cnil fait usage de ce "super" pouvoir et condamne par délibération du 28 juin 2006, le Crédit Lyonnais (LCL) au paiement d'une amende de 45.000 euros pour entrave à son action et inscription abusive de plusieurs clients dans le fichier central des "retraits CB" mis en œuvre par la Banque de France (Délibération n°2006-174 du 28 juin 2006). Elle ordonne en outre, l'insertion de sa décision dans le Figaro et La Tribune.

Retour sur les faits
En l'espèce, la décision qui a amenée la Cnil à sanctionner le Crédit Lyonnais, a été prise à la suite de plaintes adressées par des clients de l'établissement financier qui contestaient leur inscription dans les fichiers centraux de la Banque de France. L'un d'entre eux avait été maintenu dans le fichier des incidents de remboursement de crédit aux particuliers alors qu'il avait payé sa dette. D'autres clients avaient été inscrits dans le fichier de centralisation des retraits de cartes bancaires en l'absence d'incident lié à l'utilisation de leur carte bancaire.

Il convient de rappeler que l'inscription d'une personne au fichier des retraits "CB" obéit sur le plan juridique, à des règles élaborées par l'arrêté du conseil général de la Banque de France du 16 juillet 1987. Aux termes de ces règles, l'inscription est régulière si elle est liée à des incidents de fonctionnement du compte qui résultent directement de l'usage des dites cartes, nonobstant la faculté réservée à chaque établissement de crédit de prévoir contractuellement des conditions plus larges de blocage de l'utilisation d'une carte bancaire : ce blocage devant être strictement limité à un blocage interne à l'établissement de crédit concerné et non mutualisé à l'ensemble des établissements ayant accès au fichier mis en oeuvre par la Banque de France.

Or dans la présente affaire, l'établissement bancaire n'a apporté à la Cnil aucun élément précis et justifié par des documents comptables attestant de l'existence d'incidents de fonctionnement des comptes qui résultaient directement de l'usage de la carte bancaire des requérants. Il n'a pu apporter aucune explication sur les raisons de ces inscriptions. Il a au contraire indiqué à la Commission que "le secret professionnel auquel nous sommes soumis, et qui est assorti de sanctions pénales, ne nous permet pas de détailler la nature des incidents constatés".

La Cnil a rejeté le secret professionnel
La Cnil n'a pas retenu cette exception considérant que "si les données à caractère personnel concernant un client bancaire sont effectivement protégées par le secret professionnel en application des dispositions de l'article L 511-33 du code monétaire et financier, force est de constater que ce secret a pour vocation de protéger le titulaire du compte lui-même".

La Cnil a considéré que le refus opposé par l'établissement bancaire à ses demandes "outre que celui-ci a été formulé de façon tardive", était donc susceptible de relever du délit d'entrave à son action et que l'inscription dans les fichiers en cause était abusive.

En outre, bien qu'elle n'en fasse pas mention dans sa délibération, il semble qu'elle n'ait fait qu'appliquer la décision rendue par le Conseil constitutionnel le 29 juillet 2004 sollicité sur la question du secret professionnel dans le cadre d'un contrôle de la Cnil. Il avait alors expressément indiqué que "l'invocation injustifiée du secret professionnel pourrait constituer une entrave" à l'exercice des mission de la Cnil (Conseil constitutionnel n° 2004-499 DC - 29 juillet 2004.).

Aussi, a-t-elle sanctionné ces manquements en prononçant pour la première fois une amende "proportionnée à la gravité des manquements commis" estimés en l'occurrence à 45.000 euros. L'établissement financier a décidé d'exécuter la décision sans user de son droit de recours devant le Conseil d'Etat comme la loi le lui permet. Il s'est engagé dans un vaste plan d'action visant à assurer la bonne application de la loi Informatique et libertés dans ses différents services.

La loi a doté la Cnil des mêmes moyens juridiques en matière d'investigation et de sanctions administratives et pécuniaires que la plupart des autres autorités administratives indépendantes (Conseil de la concurrence, Commission bancaire, etc.). Il faut donc intégrer cette nouvelle donne dans le contrôle des traitements a posteriori et tout faire pour éviter la solution ultime des sanctions pécuniaires et des retombées médiatiques négatives pour une entreprise tant au plan national qu'international !