 |
|
Recherche |
|
| |
|
 |
|
Base thématique |
|
| |
|
 |
|
Juristendances |
|
| |
|
 |
|
Archives |
|
| |
|
|
Informatique et libertés
Sanctions Cnil
La Cnil inflige une amende de 40 000 euros à une société
La Cnil use de nouveau de ses pouvoirs de sanctions, attribués par la loi du 6 janvier 1978 modifiée en 2004 (art. 45 et s.). Elle a prononcé, le 11 décembre 2007, une sanction pécuniaire d’un montant de 40 000 euros à l’encontre d’une société. Dans cette affaire, la Cnil avait, dans un premier temps, mis en demeure une société, spécialisée dans les domaines de la force de vente et du marketing, de procéder à la suppression de commentaires particulièrement douteux à l’égard de ses salariés et de veiller au respect de leurs droits d’accès, de rectification et d’opposition. Dans le fichier de gestion des salariés, la Cnil a pu relever des commentaires tels que " trop chiante", "problèmes d’hygiène (odeurs)", "personne sans dents et qui boit", "problèmes alcoolisme", "souffre d’un cancer ne pourra plus travailler", "lui confier le plus de travail possible - prud’hommes en cours ", "serait une voleuse", etc. A l’issue d’une mission de contrôle, il est apparu que cette société n’avait toujours pas supprimé les propos litigieux. Elle a donc prononcé une sanction pécuniaire.
Cnil, Délibération n°2007-374 du 11 décembre 2007
La Cnil sanctionne le manque de coopération et de transparence
La Cnil vient de rendre publique sa décision sanctionnant la société Tyco Healthcare France à 30 000 euros d’amende pour manque de coopération et de transparence. En effet, n’ayant apporté aucune suite satisfaisante aux diverses demandes d’information indispensables à l’instruction du dossier de déclaration de son traitement de gestion des ressources humaines à l’international, déposé fin 2004, le groupe international a été mis en demeure, en mai 2006, de répondre aux questions posées par la Commission ou de lui indiquer que le traitement précité avait été abandonné. La Cnil souhaitait, notamment, avoir le descriptif précis des finalités exactes recherchées, savoir les cas précis dans lesquels des données à caractère personnel étaient envoyées en Grande-Bretagne et aux Etats-Unis, et connaître les lieux exacts d’implantation des serveurs et des systèmes, les fonctionnalités précises de l’application, les destinataires exacts des données, les mesures de sécurité assurant la confidentialité des données et la durée de conservation des données.
La Cnil ne s’estimant pas suffisamment informée par la réponse sur le sort exact ayant été finalement réservé au traitement, a fait procéder à une mission de contrôle sur place, dans les locaux de la société, à l’occasion de laquelle elle a constaté que le traitement, contrairement à ce qui avait été affirmé, était bien utilisé. En outre, le contrôle a permis d’établir des flux transfrontaliers de données entre la société basée en France et les locaux du groupe basés en Angleterre et aux Etats-Unis, et des utilisations du traitement dépassant largement la finalité de « reporting », visée dans la déclaration du 22 septembre 2004. La société a contesté la sanction pécuniaire de 30.000 euros fixée par le rapporteur, dans la mesure où celle-ci ne s’appuierait sur aucune mise en demeure préalable, mais uniquement sur la réalisation de la mission de contrôle du 12 juillet 2006. La Commission a rappelé qu’une procédure de sanction pouvait être engagée, lorsque le responsable d’un traitement ne se conformait pas à la mise en demeure qui lui était adressée (art. 45 de la loi du 6 janvier 1978 modifiée le 6 août 2004). La procédure de sanction s’appuie, ainsi, sur la mise en demeure prononcée par la Cnil le 10 mai 2006 et sur la réponse adressée par la société le 1er juin 2006. La Commission considère, par conséquent, que la procédure de sanction est pleinement régulière.
Cnil, Délibération n°2006-281 du 14 décembre 2006
Nouvelles sanctions pécuniaires prononcées par la Cnil
Saisie d'une plainte attirant son attention sur les pratiques d'une étude d'huissiers de justice qui enregistrait de nombreuses informations dans sa base de données « clients » sans lien direct avec la finalité du traitement, la Cnil a procédé à un contrôle sur place. Elle a ainsi pu constater l’existence de nombreux commentaires sur les fiches informatiques des débiteurs, notamment, la référence à l’état de santé des personnes, à leurs traits de caractère ou à l’existence de mesures à caractère pénal comme par exemple : « séropositif depuis 23 ans », « ex policier accusé de vol puis relaxé », « déprime », « opération cancer des intestins », « incarcéré Baumettes attend liberté conditionnée », « tentative de suicide », « odieuse », « connasse », etc.
La Cnil a également constaté que le fichier utilisé par les huissiers n’avait pas été déclaré. Elle a par conséquent mis en demeure la SCP se régulariser la situation (Délib. du 24/01/2006). Cette dernière ne s’étant pas conformée à la mise en demeure, la Cnil a décidé de faire application des dispositions des articles 45 et 47 de la loi du 6 janvier 1978 modifiée le 6 août 2004 et de prononcer, compte-tenu de la gravité des manquements commis, une sanction pécuniaire à l’encontre de la SCP, d’un montant de 5000 euros.
Délibération n°2006-173 du 28 juin 2006
Première mise en œuvre par la Cnil de son pouvoir de sanction pécuniaire
La loi Informatique et libertés confère à la Cnil le pouvoir de prononcer une sanction pécuniaire proportionnée à la gravité des manquements commis ou aux avantages tirés du manquement. La sanction peut atteindre 150 000 à 300 000 euros selon les cas (art. 45). Les sanctions de la Cnil doivent être motivées et notifiées au responsable du traitement sur la base d’un rapport contradictoire. Elles peuvent faire l’objet d’un recours de pleine juridiction devant le Conseil d’Etat.
Pour la première fois, par délibération du 28 juin 2006, la Cnil a condamné le Crédit Lyonnais au paiement d’une amende de 45 000 euros pour entrave à son action et pour avoir inscrit de façon abusive plusieurs clients dans le fichier des « retraits CB » mis en œuvre par la Banque de France. En outre, la Cnil a ordonné l’insertion de sa décision dans le Figaro et La Tribune.
Cette sanction a été prise à la suite de plaintes adressées à la Cnil par des clients du Crédit Lyonnais qui contestaient leur inscription dans les fichiers centraux de la Banque de France. L’un d’entre eux avait été maintenu dans le fichier des incidents de remboursement de crédit au particulier alors qu’il avait payé sa dette. D’autres clients avaient été inscrits dans le fichier de centralisation des retraits de carte bancaire en l’absence d’incident lié à l’utilisation de leur carte bancaire.
Après un an de démarches et deux contrôles sur place, la Cnil a obtenu des explications de la banque sur les raisons de ces inscriptions dans les fichiers centraux de la Banque de France en violation de la réglementation bancaire applicable. Aussi, a-t-elle estimé qu’il y avait eu, d’une part, entrave à son action et, d’autre part, inscription abusive dans des fichiers et a sanctionné ces manquements, notamment et pour la première fois, en prononçant une sanction pécuniaire.
Les entreprises et les organismes publics sont ainsi avertis qu’ils doivent, au plus vite, mettre en œuvre une politique de mise en conformité de leurs fichiers à la loi Informatique et libertés et prévoir un guide pratique dans le cadre d’un contrôle de la Cnil.
Délibération CNIL n°2006-174 du 28 juin 2006
|
|
|
Loi et réglementation |
|
| |
|
|
|
Thématique |
|
| |
|
|
|
Jurisprudence |
|
| |
|
|
