Panorama des avertissements Cnil depuis le 1er janvier 2008
Depuis le 1er janvier 2008, la Cnil a prononcé 22 avertissements à l’encontre d’entreprises responsables de traitements.
La Cnil peut, selon l’article 45 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, prononcer des avertissements à l’égard des responsables de traitements qui ne respectent pas les obligations découlant de la réglementation Informatique et libertés.
Ces avertissements, rendus publics et souvent relayés par les médias, tirent leur force dissuasive de l’impact qu’ils ont sur la réputation des entreprises concernées.
Rappelons que la Cnil est compétente pour prononcer cette sanction à l’égard des traitements dont les opérations sont mises en œuvre, en tout ou partie, sur le territoire national, y compris lorsque le responsable du traitement est établi sur le territoire d’un autre Etat membre de l’Union européenne (1).
On trouve les délibérations en question sur le site de la Cnil et sur Légifrance : dans leurs motifs sont indiquées la ou les obligations dont le manquement justifie la sanction.
C’est l’obligation de sécurité et de confidentialité, prescrite par l’article 34 de la loi du 6 janvier 1978, qui fait le plus l’objet de manquements ayant justifié depuis 2008 des avertissements de la part de la Cnil.
n en répertorie en effet près de quatorze, dont les détails varient : il peut s’agir, par exemple, de l’absence de règle de sécurité formalisée par écrit ou de l’échec d’assurer la sécurité et la confidentialité des données lorsque ces dernières sont gérées par un sous-traitant. Des failles de sécurité rendant des données, parfois « identifiantes », accessibles sont également rapportées, ainsi que des manquements sur le traitement de vote électronique.
C’est aussi à l’égard du contenu des données traitées que les entreprises en cause sont le plus souvent sanctionnées. On relève, dans les délibérations de la Cnil, douze manquements aux règles relatives au contenu des données (notamment l’obligation de traiter des données exactes et mises à jour), dont trois qui concernent des données sensibles (comme les données de santé ou les incidents de paiement) et relatives aux infractions (2).
Viennent ensuite les manquements à l’obligation de définir et de respecter une durée de conservation proportionnée à la finalité des traitements (3), retrouvé sept fois, les manquements à l’obligation de déterminer des finalités explicites et légitimes et de s’y tenir (4), et à l’obligation d’information des personnes concernées (5), cités cinq fois chacun.
On retrouve quatre manquements caractérisés ayant justifié un avertissement à l’obligation de collecter les données de manière loyale et licite (notamment sur les réseaux sociaux) (6), puis trois manquements aux règles édictant les formalités préalables à la mise en œuvre d’un traitement (7), aux règles relatives au consentement des personnes concernées, et aux droit des personnes (non-respect du droit d’opposition notamment) (8).
Enfin, des défauts de coopération avec la Cnil ou des atteintes à la vie privée et aux libertés individuelles ont pu être constatés.
Le nombre de plaintes reçues, le nombre de personnes concernées, la sensibilité des données en cause et la gravité des atteintes ayant résulté des manquements sont autant de critères ayant contribué au prononcé de ces sanctions.
On observe, pour finir, que les avertissements adressés par la Cnil le sont, la plupart du temps, pour répondre à des violations diverses de la réglementation Informatique et libertés par la même entreprise au cours de la même opération de traitement.
Ainsi, sur les vingt-deux avertissements, quinze ont été prononcés sur le fondement de plusieurs manquements, alors que sept seulement l’ont été pour un manquement unique, la moyenne étant de 2,8 manquements par délibération. Ceci montre que, dans près de deux avertissements sur trois, c’est la pratique générale des entreprises qui est à revoir.
Virginie Bensoussan-Brulé
Lexing Contentieux numérique
(1) Loi 78-17 du 6-1-1978, art. 48
(2) Loi 78-17 du 6-1-1978, art. 8
(3) Loi 78-17 du 6-1-1978, art. 6 5°
(4) Loi 78-17 du 6-1-1978, art. 6 2°
(5) Loi 78-17 du 6-1-1978, art. 32
(6) Loi 78-17 du 6-1-1978, art. 6 1°
(7) Loi 78-17 du 6-1-1978, art. 22 et s.
(8) Loi 78-17 du 6-1-1978, art. 38 et s.