Un avertissement de la Cnil a été adressé à une société pour avoir manqué à son obligation de sécurité, en transmettant par erreur aux éditeurs d’annuaires et aux services de renseignements téléphoniques le fichier des abonnés inscrits sur la « liste rouge ».
En tant qu’opérateur de services de communications électroniques, au sens de l’article L. 33-1 du Code des postes et des communications électroniques (CPCE), ce fournisseur d’accès a l’obligation de mettre à la disposition des éditeurs d’annuaires des abonnés, ainsi que des services de renseignements téléphoniques, les coordonnées de ses abonnés qui ne se sont pas opposés à leur diffusion (art. L. 34 du CPCE), à l’exclusion des abonnés inscrits sur une liste d’opposition.
Or à la suite d’une erreur de programmation informatique, cette société a transmis aux éditeurs, au cours du mois d’avril 2006, une liste comportant les coordonnées de plus de 120.000 personnes qui avaient demandé à ce que leurs coordonnées ne paraissent pas dans les annuaires.
La Cnil a considéré qu’il s’agissait d’un manquement aux dispositions de l’article 34 de la loi du 6 janvier 1978 modifiée en août 2004, qui dispose que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Elle a, par délibération n° 2006-177 du 28 juin 2006, mis en demeure la société d’apporter toute garantie que l’incident ne se reproduira plus.
Elle n’a pas infligé de sanctions pécuniaires mais elle a choisi un autre moyen d’action dissuasif, celui de l’ « avertissement public », prévu par l’article 45 de la loi. Les avertissements publics sont publiés dans le rapport annuel de la Cnil.