Interruption de traitements informatiques par la Cnil

Conformément à l’article 45-I-2 de la loi Informatique et libertés, la Cnil peut, en cas d’urgence et lorsque la mise en oeuvre d’un traitement entraîne une violation des droits et libertés, après une procédure contradictoire, décider de l’interruption de la mise en oeuvre d’un traitement pour une durée maximale de 3 mois. Pour la première fois, la Cnil a usé de ce pouvoir de sanction conféré par la loi Informatique et liberté, et ce, à deux occasions. Par une délibération n°2010-072 du 18 mars 2010, la Cnil a rendu une première décision consistant en l’interruption d’une durée de 3 mois d’un système biométrique mis en oeuvre pour contrôler l’accès aux locaux d’une société. La Cnil a effectué un contrôle dans cette société afin de vérifier que celle-ci s’était conformée au refus d’autorisation, délivré en 2007, de mettre en oeuvre un tel dispositif biométrique. Lors de ce contrôle, la Cnil a pu constater que le système biométrique avait été mis en oeuvre malgré cette décision de refus. La Cnil a également constaté que les salariés n’étaient ni informés de ce traitement, ni de leurs droits issus de la loi Informatique et libertés et qu’aucune durée de conservation des données n’avait été mise en place par la société.

Par une délibération n°2010-112 du 22 avril 2010, la Cnil a rendu une seconde sanction qui a consisté à ordonner l’interruption en urgence d’un système de vidéosurveillance permanente des salariés. Un salarié a porté plainte auprès de la Cnil pour défaut de réalisation des formalités préalables et défaut d’information et consultation du comité d’entreprise. Suite à cette plainte, la Cnil a opéré un contrôle et constaté que le dispositif surveillait les salariés de façon permanente. Or cette surveillance constante n’était justifiée par aucun motif de sécurité ou de lutte contre des dégradations matérielles. En outre, les salariés n’étaient pas informés de la mise en place d’un tel dispositif.

Il convient de rappeler que cette mesure d’interruption de mise en oeuvre d’un traitement prononcée par la Cnil peut être cumulative à d’autres mesures de sanctions prises par la formation restreinte, telles que le prononcé de sanctions pécuniaires, l’injonction de cesser le traitement ou le retrait d’une autorisation. Les motifs les plus fréquemment invoqués à l’appui du prononcé d’une interruption de mise en oeuvre d’un traitement concernent l’absence de justification de mise en conformité d’un traitement ou l’absence d’adoption par le responsable du traitement de dispositions nouvelles conformes à la loi Informatique et libertés.

Cnil, Délibération n° 2010-112 du 22-4-2010

Cnil, Délibération n° 2010-072 du 18-3-2010