Contentieux Cnil : une autorisation unique de la Cnil

La Cnil a adopté le 14 janvier 2016 une autorisation unique n°46 relative à la gestion des contentieux Cnil.

Les responsables de traitements peuvent être contraints de défendre leurs intérêts en justice ; il est dès lors souvent nécessaire de recourir à un traitement de données à caractère personnel.

Or, les traitements utilisés pour préparer et gérer des contentieux sont, par nature, susceptibles de porter sur des données relatives à des infractions et condamnations pénales, ou sur des mesures de sûreté, en application de l’article 25-I-3° de la loi Informatique et libertés, la mise en œuvre de tels traitements doit être autorisée par la Cnil.

Il n’est pas nécessaire qu’un comportement répréhensible ait été constaté par une personne assermentée ou qu’un tribunal ait rendu une décision pour relever de la procédure d’autorisation. En effet, la Cnil interprète largement les notions d’infractions, condamnations et mesures de sûreté. Conformément à la jurisprudence du Conseil d’Etat, la Cnil considère que le champ d’application de l’article précité couvre également les données qui, en raison des finalités du traitement, ne sont collectées que dans le but d’établir l’existence ou de prévenir la commission d’infraction, y compris par un tiers.

Par une récente délibération (1), la Cnil est venue simplifier et accélérer le processus d’obtention de ces autorisations en adoptant une nouvelle autorisation unique : l’autorisation AU-46.

Ainsi, la Cnil considère que peuvent faire l’objet d’un engagement de conformité à l’autorisation unique les traitements de données relatives à des infractions, condamnations et mesures de sûreté pour préparer, exercer et suivre une action disciplinaire ou un recours juridictionnel et , le cas échéant, faire exécuter la décision rendue. Cette autorisation concerne tous les secteurs d’activité et tous les types de contentieux.

Encore faut-il que le cadre fixé par la Cnil dans sa délibération soit respecté en termes notamment de données, de destinataires, de durée de conservation de sécurité et d’information des personnes concernées.

L’AU-46 autorise par exemple la collecte des données relatives à :

• l’identification des personnes mises en cause, des victimes, des témoins et des auxiliaires de justice mandatés dans la procédure ;
• des infractions, condamnations ou mesures de sûreté, en particulier :
• les faits litigieux ;
• les informations, documents et pièces recueillis tendant à établir des faits ;
• les caractéristiques du contentieux (dates, juridiction, griefs, etc.) ;
• la date, la nature, les motifs, le montant et les échelonnements des condamnation ;
• les commentaires relatifs à la description et au suivi de la procédure.

Concernant la durée de conservation, la Cnil précise que :

• les données collectées et traitées dans le cadre de la gestion d’un pré-contentieux doivent être supprimées dès le règlement amiable du litige ou, à défaut, dès la prescription de l’action en justice correspondante ;
• les données collectées et traitées dans le cadre d’un contentieux doivent être supprimées lorsque les voies de recours ordinaires et extraordinaires ne sont plus possibles contre la décision rendue ;
• en revanche, les décisions rendues peuvent être conservées par le responsable de traitement à titre d’archive définitive en raison d’un intérêt historique.

Dans les faits, il appartiendra donc aux entreprises de vérifier la conformité de leurs traitements relatifs à la gestion des contentieux à l’autorisation unique n°46.

Lexing Alain Bensoussan Avocats
Lexing, Droit Informatique et libertés

(1)  Cnil, Délib. 2016-005 du 14-1-2016