Le Conseil d’État valide la proportionnalité d’une sanction de la Cnil

proportionnalité d'une sanction de la CnilLe Conseil d’État confirme la proportionnalité d’une sanction de la Cnil infligée à une association pour manquement à l’obligation de sécurité.

Manquement à l’obligation de sécurité

L’article 45 de la loi Informatique et libertés, aujourd’hui modifiée, mais dans sa rédaction applicable au litige, prévoit que la formation restreinte de la Cnil peut infliger une sanction pécuniaire, au responsable d’un traitement ne respectant pas ses obligations relatives aux données personnelles, après mise en demeure.

L’article 47, dans sa rédaction antérieure, prévoit, quant à lui, la nécessité d’une sanction proportionnée en ces termes : « Le montant de la sanction pécuniaire prévue au I de l’article 45 est proportionné à la gravité du manquement commis et aux avantages tirés de ce manquement. La formation restreinte de la Commission nationale de l’informatique et des libertés prend notamment en compte le caractère intentionnel ou de négligence du manquement, les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées, le degré de coopération avec la commission afin de remédier au manquement et d’atténuer ses effets négatifs éventuels, les catégories de données à caractère personnel concernées et la manière dont le manquement a été porté à la connaissance de la commission ».

En l’espèce, la Cnil, alertée d’un défaut de sécurité permettant à des tiers non autorisés d’accéder aux données personnelles de personnes sollicitant les services de l’association pour le développement des foyers (Adef), avait infligé une sanction pécuniaire à ladite association d’un montant de 75 000 euros, en vertu des pouvoirs que lui confère la loi Informatique et libertés du 6 janvier 1978.

En effet, en modifiant les URL correspondants aux formulaires en ligne de demande de logement pour les bénéficiaires de l’association, un tiers pouvait accéder aux documents téléchargés par les demandeurs de logement et contenant des données personnelles (avis d’imposition, bulletin de salaire et justificatifs d’identité).

Après plusieurs mises en demeure, la Cnil avait effectué un contrôle sur place et sur pièces et constaté la persistance du problème de sécurité.

Si le défaut de sécurité a finalement été corrigé une semaine après le contrôle de l’Autorité administrative indépendante, la Cnil a néanmoins infligé la sanction pécuniaire de 75 000 euros à l’association, en raison d’une part de la gravité du manquement et d’autre part de son manque de diligence à le corriger.

L’association faisait valoir au soutien de son recours, l’absence de sanction proportionnée.

Proportionnalité d’une sanction de la Cnil

Dans sa décision du 17 avril 2019 (1), le Conseil d’État a considéré que « eu égard à la nature et à la gravité du manquement constaté qu’il aurait été possible de prévenir par des mesures simples de sécurité, comme l’occultation des chemins d’accès aux dossiers enregistrés ou l’authentification des utilisateurs du traitement, aux moyens importants dont dispose l’association et au délai avec lequel elle a apporté les mesures correctrices de nature à remédier à ce manquement, la formation restreinte de la Cnil a infligé à l’Adef une sanction proportionnée ».

Il constate ainsi, qu’en dépit de la mise en conformité de l’association, celle-ci était arrivée trop tardivement, et juge alors que la sanction de 75 000 euros infligée à cette association était une sanction proportionnée aux motifs qu’elle disposait notamment de moyens importants pour mettre en œuvre des mesures simples pour corriger le manquement à son obligation de sécurité, susceptibles d’être mises en œuvre dans un délai suffisant.

Virginie Bensoussan-Brulé
Lexing Contentieux numérique

(1) Conseil d’État, 10-9èmes chambres réunies, 17 avril 2019, n°423559.




GRC et données personnelles : peut-on tout savoir sur ses clients ?

relation clientFrédéric Forster évoque pour E.D.I. Magazine la gestion de la relation client à l’aune de la décision Google de la Cnil.

Comme le souligne Frédéric Forster, Avocat, directeur du pôle Télécoms du cabinet Lexing Alain Bensoussan Avocats, dans sa dernière chronique du magazine E.D.I., « tout gestionnaire de la relation client en rêve : en savoir le plus possible sur son client pour être capable de répondre au mieux à ses besoins, voire même les anticiper ». Et d’ajouter : « Dans le domaine de la gestion de la relation client, les ressources quasiment infinies qu’offre le big data constituent un eldorado informationnel qu’il suffit de structurer au moyen d’algorithmes facilement disponibles sur le web pour être en mesure d’offrir un service tellement pertinent et précis qu’il est personnalisable et individualisable à l’envi. Mais attention : les données auxquelles le professionnel de la relation client accède sont, pour beaucoup d’entre elles, des données à caractère personnel protégées, à ce titre, par la loi informatique et libertés et par le RGPD ».

C’est dans ce contexte que s’inscrit la première sanction prononcée par la Cnil sur le fondement du RGPD (Délibération SAN-2019-001 du 21 janvier 2019) prononçant une sanction pécuniaire à l’encontre de Google, qui a fait couler beaucoup d’encre, et qui permet de mieux comprendre « ce que serait la pratique décisionnelle d’une autorité de protection des données alors que le RGPD est entré en application depuis près d’un an ».

Une chose est certaine selon Frédéric Forster : « la Cnil n’hésitera manifestement pas à appliquer le nouveau barème des sanctions prévu par le RGPD », puisqu’en effet la société Google a succombé à une condamnation de 50 millions d’euros.

Pourquoi cette condamnation ? Pour ne pas avoir appliqué scrupuleusement deux principes fondamentaux de la protection des données à caractère personnel :

  • Le premier est celui du droit à l’information dont disposent toutes les personnes physiques dont les données font l’objet d’un traitement ;
  • Le second touche aux modalités de recueil du consentement des personnes, sur la base duquel la société Google assied certains de ses traitements.

Et Frédéric Forster de conclure : « quels que soient les projets d’un responsable de la gestion client, cette première décision démontre qu’il lui faut impérativement prendre en considération les limites posées par ce que ses clients ont autorisé et par ce qui leur a été annoncé lors de la collecte de leurs données ».

Frédéric Forster pour le magazine E.D.I, « Peut-on tout savoir sur ses clients ? », n° 86 de mars 2019.

Eric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la communication juridique




Petit-déjeuner débat : la jurisprudence de la Cnil depuis le RGPD

jurisprudence de la CnilLe cabinet organise le 15 mai 2019 un petit-déjeuner débat intitulé : « La jurisprudence de la Cnil depuis l’entrée en application du RGPD », animé par Virginie Bensoussan-Brulé.

Avocate à la Cour d’appel de Paris, Virginie Bensoussan-Brulé dirige le pôle Contentieux numérique du cabinet Lexing Alain Bensoussan Avocats, elle intervient en conseil et contentieux dans les domaines du droit de la presse, droit pénal, ainsi qu’en contentieux en droit de l’internet et droit de la protection des données personnelles.

Le contentieux Cnil post RGPD

Depuis l’entrée en vigueur du RGPD le 15 mai 218, les pouvoirs de la Cnil se sont élargis. En effet, la Cnil peut effectuer des contrôles plus étendus et prononcer des sanctions plus sévères.

La Cnil a désormais le pouvoir d’effectuer des contrôles sur place, sur pièces, sur audition ou en ligne auprès de l’ensemble des responsables de traitement (entreprises, associations, collectivités territoriales, administrations) pour vérifier l’application de la réglementation sur les données personnelles.

A l’issue de missions de contrôles ou sur plaintes, la Cnil peut prononcer diverses sanctions à l’égard des responsables de traitements ou des sous-traitants qui auraient commis un manquement à l’application de la réglementation sur les données personnelles.

Notamment, la Cnil peut prononcer une sanction pécuniaire d’un montant pouvant aller jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffre d’affaires mondial, le montant le plus élevé étant retenu. Cette sanction peut être rendue publique.

Le 21 janvier 2019, la Cnil a prononcé une amende à l’encontre de la société Google LLC d’un montant de 50 millions d’euros.

Les objectifs du petit-déjeuner débat

Les objectifs du petit-déjeuner débat sont, par l’analyse de la jurisprudence de la Cnil, de :

  • connaître le pouvoir de contrôle et de sanction de la Cnil ;
  • savoir se défendre devant la formation restreinte de la Cnil ;
  • connaître l’actualité des décisions des autorités de contrôle européennes.

Le petit-déjeuner débat a lieu de 9h30 à 11h30 (accueil à partir de 9h00) dans nos locaux, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes.

 




Condamnation de la société Uber à une amende de 400 000 euros

société Uber

La Cnil a condamné la société Uber à payer une amende de 400 000 euros en raison d’un manquement à l’obligation de sécurité des données personnelles.

Violation par la société Uber des exigences de protection des données

Le 19 décembre 2018, la Commission nationale de l’informatique et des libertés (Cnil), réunie en sa formation restreinte, a sanctionné la société de service de transport Uber pour manquement à ses obligations, conformément à la réglementation sur la protection des données à caractère personnel (1).

En novembre 2017, la société Uber avait admis avoir fait l’objet d’un piratage informatique, un an auparavant, à l’occasion duquel les données de 57 millions d’utilisateurs avaient été dérobées.

Les données concernées par ces attaques sont les nom, prénom, adresse de courrier électronique, ville ou pays de résidence, numéro de téléphone mobile et statut des utilisateurs (conducteur, passager ou les deux).

La société Uber, au courant de cette attaque un an auparavant, avait décidé de payer la somme de 100 000 dollars aux attaquants, afin qu’ils ne révèlent pas cette faille à leurs utilisateurs et qu’ils suppriment les données dérobées.

Les données des utilisateurs concernant, non seulement des utilisateurs français, mais également d’autres Etats membres de l’Union européenne, le groupe des Cnil européennes s’est réuni pour enquêter sur les raisons de cette attaque.

Manquement à l’obligation d’assurer la sécurité et la confidentialité des données

L’enquête menée par les Cnil européennes a révélé que l’attaque aurait pu être évitée si certaines mesures de sécurité avaient été mises en place. La Cnil a ainsi condamné la société Uber pour ne pas avoir suffisamment sécurisé les données de ses utilisateurs.

L’attaque trouve son origine sur la plateforme GitHub, plateforme de travail privée utilisée par les ingénieurs logiciels chez Uber et sur laquelle leurs identifiants étaient stockés en clair. Le nom d’utilisateur était ainsi composé de leur email personnel, accompagné d’un mot de passe individuel.

Les attaquants ont ainsi utilisé ces identifiants pour se connecter à la plateforme GitHub sur laquelle ils ont trouvé une clé d’accès en clair permettant d’accéder à la plateforme d’hébergement sur laquelle étaient stockés les données à caractère personnel des utilisateurs de Uber. Cette clé a également permis aux attaquants d’accéder aux bases de données de la société Uber et ainsi de dérober les données personnelles de 57 millions d’utilisateurs.

La formation restreinte de la Cnil relève, dans sa délibération n°SAN-2018-011 du 19 décembre 2018, que l’accès aurait dû être encadré par des règles de sécurité adéquates, tant au regard des mesures d’authentification que des retraits d’habilitation des anciens ingénieurs, actions non mises en place par la société Uber.

Enfin, la formation restreinte de la Cnil considère que la sécurisation de la connexion aux serveurs « Amazon Web Services S3 » constitue une précaution élémentaire et qu’un filtrage des adresses IP aurait permis d’éviter ces connexions illicites.

Condamnation par la Cnil et publication de la décision

Parmi les 57 millions d’utilisateurs concernés par le vol de leurs données, 1,4 million se trouvait en France. Parmi eux se trouvaient 1,2 million de passager et 163 000 conducteurs. En raison de son manquement à son obligation de sécuriser ces données, la Cnil a condamné la société Uber France SAS à la somme de 400 000 euros d’amende et a publié la décision.

Les faits s’étant produits avant l’entrée en application du Règlement général sur la protection des données (RGPD), les sanctions prévues à l’article 83 du RGPD ne sont pas applicables en l’espèce.

A l’époque des faits s’appliquait la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite loi informatique et libertés, modifiée par la loi n°2016-1321 du 7 octobre 2016 pour une République numérique. En effet, la formation restreinte de la Cnil rappelle que le manquement concerné est un manquement continu qui s’est prolongé après le 7 octobre 2016, date d’entrée en vigueur de la loi pour une République numérique.

L’article 34 de la loi du 6 janvier 1978 modifiée dispose ainsi que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles ne soient déformées, endommagées, ou que des tiers non autorisés y aient accès. La société Uber a alors manqué à son obligation de mettre en œuvre des moyens propres à assurer la sécurité des données à caractère personnel des utilisateurs de son service.

En raison du nombre important de personnes concernées par cette violation de données, la Cnil a également décidé de rendre la sanction publique. En effet et par ce moyen, la Cnil entend sensibiliser les responsables du traitement sur les points ayant fait défaut à la société Uber.

Autres condamnations en Europe

Parmi les 57 millions d’utilisateurs concernés par le vol de leurs données, 1,4 million se trouvaient en France et les autres se trouvaient en dehors du territoire français.

Le 6 novembre 2018, l’autorité néerlandaise de protection des données a sanctionné la société Uber d’une amende de 600 000 euros pour avoir manqué à son obligation de notifier la violation de données. En effet, le piratage des données a eu lieu un an avant que la société Uber en informe les autorités compétentes. La société Uber avait fait le choix de payer les attaquants afin de dissimuler l’attaque.

L’obligation de notifier à la Cnil française n’est apparue qu’avec le RGPD et n’a donc pas fait l’objet de sanction en France en l’espèce, les faits étant intervenus avant l’entrée en application du RGPD.

Le 26 novembre 2018, l’autorité britannique a sanctionné la société Uber d’une amende de 385 000 livres, soit 426 000 euros, pour avoir manqué à son obligation de sécuriser les données.

Virginie Bensoussan-Brulé
Debora Cohen
Lexing Contentieux numérique

(1) Cnil, Délib. SAN-2018-011 du 19-12-2018




Quels sont les motifs de publicité des décisions de la Cnil ?

publicité des décisions de la CnilLa publicité des décisions de la Cnil n’est pas systématique. Quelles sont les motivations qui l’amènent à la publication de ces décisions ?

Virginie Bensoussan-Brulé et Johanna Chauvin nous livrent leur analyse dans un article publié par la Revue Lamy Droit de l’Immatériel en mars 2018.

Lorsque l’on étudie les délibérations de la Cnil sur l’année 2017, la systématisation de la publicité des décisions est tout à fait palpable, étant précisé à titre liminaire que par décisions sont entendues celles relatives aux sanctions pécuniaires, mais également aux mises en demeure et aux avertissements.

En effet, depuis un an, parmi l’ensemble de ces décisions, il est possible de mentionner trois avertissements qui n’ont pas fait l’objet de publication mais la pratique de la Cnil tend à l’assortiment de sanctions complémentaires pour les amendes comme pour les avertissements, tendance qui s’étend jusqu’aux mises en demeure.

Or, si le pouvoir de sanction de la Cnil est précisément encadré par la loi « Informatique et libertés », il n’en est pas de même de sa prérogative en matière de publicité des sanctions. Initiée par la loi du 29 mars 2011, relative au Défenseur des droits, la formation restreinte de la Cnil peut désormais rendre publiques ses délibérations sans avoir à avancer pour motif la mauvaise foi de l’organisme concerné.

Néanmoins, si la pratique n’est pas strictement circonscrite, cette sanction complémentaire doit être motivée et proportionnelle et, en matière de motifs, la Cnil n’hésite pas à user d’un éventail particulièrement large.

Selon Virginie Bensoussan-Brulé et Johanna Chauvin, il est possible de déterminer deux volets dans les motifs avancés par la Cnil pour justifier de la publicité de ses décisions, le premier concernant la volonté de sanctionner les comportements déviants, le second celle d’informer et d’anticiper.

Virginie Bensoussan-Brulé et Johanna Chauvin, « Les motifs de publicité des décisions de la Cnil« , RLDI-5189 n° 146 de février 2018 p.39-52.




Quelles sont les sanctions Cnil à l’encontre des entreprises

Quelles sont les sanctions Cnil à l’encontre des entreprisesEn cas de violation de la loi Informatique et libertés, sont prévues des sanctions Cnil à l’encontre des entreprises.

La loi Informatique et libertés organise les sanctions Cnil à l’encontre des entreprises

Les détails de ce pouvoir de sanction se trouvent aux articles 45 et suivants de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, récemment modifiée par la loi pour une République numérique du 7 octobre 2016, déjà en vigueur. Certains précisions relatives à la procédure sont, par ailleurs, contenues dans le décret n°2005-1309 du 20 octobre 2005 pris pour l’application de la loi n°78-17 (art. 70 à 82), utile à consulter.

Ces pouvoirs de la Cnil peuvent être exercés à l’égard des traitements dont les opérations sont mises en œuvre, en tout ou partie, sur le territoire national, y compris lorsque le responsable du traitement est établi sur le territoire d’un autre Etat membre de la Union européenne (L. 78-17, art 48).

En outre, le président de la Cnil ou sa formation restreinte peuvent, à la demande d’une autorité exerçant des compétences analogues aux leurs dans un autre Etat membre de l’Union européenne, prononcer ces sanctions (L. 78-17, art. 49), dans les conditions prévues par la loi, sauf s’il s’agit de traitements spécifiques, id est des traitements mis en œuvre pour le compte de l’Etat dont le contenu impose qu’ils soient autorisés par arrêté ministériel ou décret en Conseil d’Etat (Traitements mentionnés aux I et II de l’article 26 de la loi 78-17).

Sanctions Cnil à l’encontre des entreprises en cas de non-respect de leurs obligations

Le premier paragraphe de l’article 45 de la loi de 1978 prévoit que la Cnil peut prononcer plusieurs types de sanction dans le cas où le responsable d’un traitement ne respecterait par les obligations procédant de cette même loi.

Mesures préalables aux sanctions Cnil à l’encontre des entreprises

Dans un premier temps, le président de la Cnil peut mettre ce responsable en demeure (1) de faire cesser le manquement constaté dans un délai qu’il fixe, pouvant, dans un cas d’extrême urgence, être de 24h. Ce délai raccourci, qui remplace celui de 5 jours, est un des apports de la réforme opérée par la loi pour une République numérique. Si le responsable du traitement se conforme à la mise en demeure, le président de la Cnil prononce la clôture de la procédure.

Dans le cas contraire, c’est un autre organe de la Cnil, sa formation restreinte (2), qui prendra le relai et pourra, après une procédure contradictoire, prononcer différentes sanctions.

La Cnil pourra, d’abord, prononcer un avertissement.

Les sanctions Cnil à l’encontre des entreprises peuvent être pécuniaires

La Cnil pourra ensuite choisir de sanctionner pécuniairement le responsable du traitement, à l’exception des cas ou le traitement est mis en œuvre par l’Etat. Quant au montant de cette sanction pécuniaire, les règles entourant sa fixation ont été, elles aussi, modifiées par la loi pour une République numérique. Le nouvel article 47 de la loi du 6 janvier 1978 dispose désormais que le montant de l’amende ne peut excéder 3 millions d’euros (3), ce qui représente une multiplication par dix du plafond antérieur. Cette nouvelle version de l’article détaille également plus précisément qu’auparavant les critères pouvant être pris en compte dans l’évaluation de ce montant (4). Rappelons que lorsque la formation restreinte a prononcé une sanction pécuniaire devenue définitive avant que le juge pénal ait statué définitivement sur les mêmes faits ou des faits connexes, celui-ci peut ordonner que la sanction pécuniaire s’impute sur l’amende qu’il prononce.

Les sanctions Cnil à l’encontre des entreprises peuvent remettre en cause le traitement

La formation restreinte de la Cnil pourra, enfin, si le responsable d’un traitement ne respecte pas les obligations découlant de la loi de 1978, prononcer à son encontre une injonction de cesser le traitement ou retirer son autorisation au traitement, selon le type de traitement en cause (nécessitant, préalablement à sa mise en œuvre, une simple déclaration ou une autorisation).

Ces différentes sanctions peuvent être prononcées par la formation restreinte de la Cnil indépendamment d’une procédure de mise en demeure «lorsque le manquement constaté ne peut pas faire l’objet d’une mise en conformité dans le cadre d’une mise en demeure», par exemple dans des cas où la mise en conformité serait impossible puisque les données traitées auraient disparu. Avant la loi pour une République numérique du 7 octobre 2016, seul un avertissement pouvait être prononcé par la formation restreinte hors procédure de mise en demeure.

Les sanctions Cnil à l’encontre des entreprises en cas de violation des droits et libertés individuels et publics

Le second paragraphe de l’article 45 vise les cas où la mise en œuvre d’un traitement ou l’exploitation des données traitées entraine une violation des droits et libertés mentionnées à l’article 1er de la loi de 1978 (identité humaine, droits de l’homme, vie privée, libertés individuelles et publiques). La formation restreinte, saisie par le président de la Cnil, peut, dans le cadre d’une procédure d’urgence définie par décret en Conseil d’Etat que l’on retrouve dans l’article 79 du décret du 20 octobre 2005, et après une procédure contradictoire, prononcer plusieurs types de sanctions.

Elle peut prononcer un avertissement. Elle peut, d’autre part, décider de l’interruption de la mise en œuvre du traitement ou le verrouillage de certaines des données à caractère personnel traitées, pour un durée maximale de trois mois, ces deux sanctions n’étant possibles que si le traitement en cause n’est pas au nombre de ceux mentionnés aux I et II de l’article 26 ou de l’article 27 de la loi de 1978 (traitements qui, au regard de leur contenu, doivent être autorisés par arrêtés ministériels, décret en Conseil d’Etat ou décision d’un établissement public ou d’une personne morale de droit privé gérant un service public chargé de l’organisation du traitement, pris après avis motivé et publié de la Cnil).

Pour les traitements qui relèvent précisément de ces articles, la formation restreinte peut informer le Premier ministre pour qu’il prenne, le cas échéant, les mesures permettant de faire cesser la violation constatée.

Les sanctions Cnil à l’encontre des entreprises en cas d’atteinte grave et immédiate à ces droits et libertés

Enfin, le dernier paragraphe de l’article 45 permet au président de la Cnil de demander, en cas d’atteinte grave et immédiate aux droits et libertés mentionnés à l’article 1er, par la voie du référé (5), à la juridiction compétente d’ordonner (le cas échéant sous astreinte) toute mesure nécessaire à la sauvegarde de ces droits et libertés.

Le prononcé de ces sanctions suit des règles procédurales contenues dans le décret du 20 octobre 2005 et dans le premier alinéa de l’article 46 de la loi de 1978 (6). Ce qui fait leur force est aussi leur impact sur la réputation des entreprises concernées ; aussi la loi de 1978 organise un système de publicité des sanctions Cnil (L. 78-17, art. 46 al. 2). La formation restreinte peut les rendre publique, ordonner que les personnes sanctionnées informent individuellement de cette sanction, à leur frais, chacune des personnes concernées (encore une nouveauté de la loi pour une République numérique du 7 octobre 2016 !), et peut ordonner leur insertion dans des publications journaux et supports qu’elle désigne. Par ailleurs, le président de la Cnil peut demander au bureau de rendre publique la mise en demeure ou sa clôture. Ces sanctions sont motivées, notifiées au responsable du traitement et peuvent faire l’objet d’un recours en pleine juridiction devant le Conseil d’Etat (L. 78-17, art. 46 al. 3).

Virginie Bensoussan-Brulé
Lexing Contentieux numérique

(1) Pour plus de détails sur la procédure de mise en demeure, voir l’article 73 du décret 2005-1309 du 20 octobre 2005.
(2) Pour plus de détails sur la composition et le fonctionnement de la formation restreinte de la Cnil, voir l’article 70 du décret du 20 octobre 2005.
(3) L’ancien article 47 de la loi du 6 janvier 1978 disposait que, lors du premier manquement, le montant de la sanction pécuniaire ne pouvait excéder 150 000 euros. En cas de manquement réitéré dans les cinq années à compter de la date à laquelle la sanction pécuniaire précédemment prononcée était devenue définitive, il ne pouvait excéder 300 000 euros ou, s’agissant d’une entreprise, 5% du chiffre d’affaires hors taxes du dernier exercice clos dans la limite de 300 000 euros.
(4) « Le montant de la sanction (…) est proportionnée à la gravité du manquement commis et aux avantages tirés de ce manquement. La formation restreinte de la Cnil prend notamment en compte le caractère intentionnel ou de négligence du manquement, les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées, le degré de coopération avec la commission afin de remédier au manquement et d’atténuer ses effets négatifs éventuels, les catégories de données à caractère personnel concernées et la manière dont le manquement a été porté à la connaissance de la commission ».
(5) Des détails à ce propos se trouvent dans l’article 81 du décret du 20 octobre 2005.
(6) « Les sanctions (…) sont prononcées sur la base d’un rapport établi par l’un des membres de la Cnil, désigné par le président de celle-ci parmi les membres n’appartenant pas à la formation restreinte. Ce rapport est notifié au responsable du traitement, qui peut déposer des observations et se faire représenter ou assister. Le rapporteur peut présenter des observations orales à la formation restreinte mais ne prend pas part à ses délibérations. La formation restreinte peut entendre toute personne dont l’audition lui paraît susceptible de contribuer utilement à son information, y compris, à la demande du secrétaire général, les agents de service».

 




RGPD, l’Assemblée se prononce sur son implémentation

RGPD, l’Assemblée se prononce sur son implémentationLe rapport du 22 février 2017 de l’Assemblée nationale (1) prépare l’application du règlement européen en France.

Les nécessaires adaptations de la loi française

C’est avant tout au niveau des sanctions et des pouvoirs accordés à la Cnil que le législateur devra approfondir les modifications déjà amorcées par la loi pour une République numérique.

En effet, si la loi Lemaire avait déjà augmenté le plafond maximal des sanctions pouvant être prononcées par la Cnil (2), elle prévoit surtout qu’à compter du 25 mai 2018, les sanctions entrant dans le champ du règlement européen 2016/679 (RGPD) seront celles prévues par ce dernier. La Cnil pourra donc prononcer des amendes pour un montant maximal de 20 millions d’euros ou 4% du chiffre d’affaires mondial (article 83) (3).

De plus, le RGPD ne limite pas le pouvoir des autorités de contrôle à des sanctions administratives (article 84), mais vise également une série de mesures correctives. Le législateur devra donc déterminer si ces mesures seront prononcées par l’autorité de contrôle ou les juridictions nationales.

Enfin, le règlement souligne, à de nombreuses reprises, l’importance de la coopération des différentes autorités de contrôle, notamment en matière de sanctions. Il prévoit donc de nombreux mécanismes de coopération et de décision. Néanmoins, conscient de la diversité des législations nationales en matière de données personnelles, il ne prévoit aucune disposition procédurale. Ces règles relèveront donc de la seule compétence des Etats membres, qui pourront s’appuyer sur les lignes directrices adoptées par le G29.

De nombreux éléments encore indéfinis

Les Rapporteurs considèrent, tout d’abord, que les avis du G29 seront indispensables pour éviter toute incertitude juridique concernant la définition de certaines notions. C’est notamment le cas de la notion de « risque élevé » qui oblige un responsable de traitement à consulter l’autorité de contrôle avant d’implémenter un traitement de données. De même, les cas où un responsable devra informer les personnes concernées, en cas de violation de données représentant un risque élevé pour leur vie privée, devront être précisés.

Ensuite, il appartiendra aux Etats membres de maintenir ou d’adopter des règles spécifiques pour certains traitements de données. Ainsi, se posera la question de la compatibilité du droit national avec le RGPD concernant les traitements des données de santé, biométriques et génétiques, relatives aux infractions, condamnations et aux mesures de sûreté, au numéro d’identification national et concernant les traitements aux fins d’expression journalistique, artistique et littéraire. Mis à part les données de santé, l’Assemblée nationale considère que les règles actuelles devraient pouvoir être maintenues.

Concernant les données des consommateurs, la loi pour une République numérique prévoit un droit à la portabilité de l’ensemble des données de la personne concernée. Pour les données personnelles, la loi renvoie au régime prévu à l’article 20 du règlement. L’Assemblée nationale considère que la mise en œuvre de ces deux régimes risque de poser des difficultés d’interprétation et demande qu’ils soient clarifiés et mieux articulés dans le cadre d’une future loi.

Enfin, les Rapporteurs se sont posé la question de l’articulation des dispositions nationales et du RGPD à propos des dispositions relatives aux enfants. En effet, concernant le droit à l’effacement accordé aux personnes mineures, le règlement considère que ce droit peut être exercé par une personne entre 13 et 16 ans alors que la loi pour une République numérique fixe la limite d’âge à 18 ans. Néanmoins, le ministère de la Justice considère, en s’appuyant sur l’article 17 du règlement, qu’il serait possible de fixer une condition supplémentaire par rapport au régime prévu. Par conséquent, la limite d’âge de 18 ans devrait être maintenue.

Lexing Alain Bensoussan Avocats

(1) Mme Le Dain et M. Gosselin, Rapport d’information sur « les incidences des nouvelles normes européennes en matière de protection des données personnelles sur la législation française », Doc Ass. nat. n° 4544 du 22-2-2017.
(2) Cnil, « Ce que change la loi pour une République numérique pour la protection des données personnelles« , article du 17-11-2016
(3) Règlement UE 2016/679 du 27-4-2016, Règlement général sur la protection des données, chap. 8, art. 83.




Les sanctions Cnil après la loi pour une République numérique

Les sanctions Cnil après la loi pour une République numériqueLa loi pour une République numérique modifie la loi Informatique et libertés concernant les sanctions de la Cnil. La loi pour une République numérique du 7 octobre 2016 (1) modifie la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, notamment quant à la question des sanctions que la Cnil peut prononcer et la procédure qu’elle doit suivre, le cas échéant. D’une manière générale, il ressort de l’examen de ces nouvelles dispositions que la Cnil a vu ses pouvoirs de sanction renforcés.

Lorsque le responsable du traitement ne respecte pas les obligations découlant de la réglementation relative à la protection des données à caractère personnel, le président de la Cnil peut le mettre en demeure de faire cesser le manquement en question dans un délai qu’il fixe, qui peut, en cas d’extrême urgence, être de 24 heures (2). Là réside une première modification opérée par la loi pour une République numérique, puisque le délai d’extrême urgence s’élevait auparavant à 5 jours.

La Cnil, dans sa délibération portant avis sur le projet de loi qui préconisait déjà ce délai de 24 heures se félicite de cette modification, considérant « que le délai de cinq jours ne peut plus être considéré comme pertinent au regard de l’immédiateté des conséquences pour les personnes des manquements (…)» (3).

Si le responsable du traitement se conforme à la mise en demeure, le président de la Commission prononce la clôture de la procédure. Dans le cas contraire, la formation restreinte de la Cnil peut prononcer, après une procédure contradictoire, différentes sanctions : un avertissement, une sanction pécuniaire (à l’exception des cas où le traitement est mis en œuvre par l’Etat), une injonction de cesser le traitement, quand ce dernier fait partie de ceux nécessitant une simple déclaration ou un retrait de l’autorisation accordée dans les cas où celle-ci est prescrite.

Si la mise en conformité, dans le cadre d’une mise en demeure, est impossible –c’est-à-dire que le responsable du traitement ne pourra pas, dans tous les cas, rendre sa situation conforme aux prescriptions légales- la formation restreinte peut prononcer toutes ces sanctions directement et sans mesure préalable, id est sans passer par le pouvoir propre du président de mettre en demeure. En effet cette mise en demeure, qui ne peut qu’échouer, est inutile.

Auparavant, la formation restreinte ne pouvait, hors procédure de mise en demeure, ne prononcer qu’un avertissement. La loi pour une République numérique permet ainsi une meilleure réactivité et efficacité de la procédure de sanction, grâce à une nouvelle distribution des rôles entre organes compétents.

Par ailleurs, elle renforce le rôle de dissuasion des pouvoirs de la Cnil, puisque les montants maximum des sanctions pécuniaires, sur le fondement de l’article 45 I 2° de la loi du 6 janvier 1978, ont été significativement revus à la hausse. En effet, l’amende peut désormais s’élever jusqu’à 3 millions d’euros (4), ce qui représente une multiplication par dix du plafond antérieur (5).

Les critères d’appréciation pouvant être pris en compte pour évaluer le montant de cette amende, qui doit être« proportionné à la gravité du manquement commis et aux avantages tirés de ce manquement » ont, en outre, été détaillé pour permettre à la Cnil de prononcer une sanction plus juste et éclairée.

La formation restreinte prend ainsi notamment en compte le caractère intentionnel ou de négligence du manquement, les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées, le degré de coopération avec la commission afin de remédier au manquement et d’atténuer ses effets négatifs éventuels, les catégories de données à caractère personnel concernées et la manière dont le manquement a été porté à la connaissance de la commission.

Ces nouvelles règles restent cependant très en-deçà de ce que prévoit le nouveau règlement européen sur la protection des données à caractère personnel du 27 avril 2016, qui entrera en vigueur le 25 mai 2018. A titre d’exemple, ce dernier prévoit que les amendes administratives peuvent s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuels mondial total de l’exercice précédent, le montant le plus élevé étant retenu (6).

Des difficultés d’articulation entre la loi et le règlement pourraient apparaître et certains déplorent que les nouveaux montants français ne soient toujours pas assez dissuasifs puisqu’il resterait, par exemple pour les multinationales, plus facile de s’acquitter de l’amende plutôt que d’appliquer la réglementation. Affaire à suivre.

Des modifications sont aussi apportées par la loi pour une République numérique dans les cas où la mise en œuvre d’un traitement ou l’exploitation des données traitées entraîne une violation des droits et libertés mentionnés à l’article premier (soit l’identité humaine, les droits de l’homme, la vie privée et les libertés individuelles ou publiques), visés à l’article 45 II de la loi de 1978.

La formation restreinte peut, si elle constate cette violation, dans le cadre d’une procédure d’urgence définie par décret en Conseil d’Etat (7) et après une procédure contradictoire, prononcer différentes sanctions.

Elle doit pour cela être saisie par le président de la Cnil alors qu’elle avait auparavant la charge d’engager la procédure d’urgence.

La version finale de la loi a ainsi tenu compte de l’avis de la Cnil du 19 novembre 2015 relatif au projet de la loi pour une République numérique, qui ne prévoyait pas cette saisine de la formation restreinte par le président. La Cnil l’avait recommandé notamment pour prendre en compte le principe de séparation des fonctions d’instruction et de jugement.

Les sanctions de ce type de violation demeurent, elles, inchangées et sont les suivantes : la Cnil peut prononcer un avertissement. Elle peut, en outre, décider de l’interruption du traitement ou du verrouillage de certaines des données à caractère personnel traitées, pour une durée maximale de trois mois (sauf pour certains traitements spécifiques qui, au regard de leur contenu, ont dû être autorisés par arrêté ministériel, décret en Conseil d’Etat ou décision d’un établissement public ou d’une personne morale de droit privé gérant un service public chargé de l’organisation du traitement, pris après avis motivé et publié de la Cnil (8)).

S’il s’agit de ces traitements spécifiques, la Cnil peut informer le Premier ministre pour qu’il prenne, le cas échéant, les mesures permettant de faire cesser la violation.

La loi pour une République numérique ne modifie pas, par ailleurs, la possibilité pour le président de la Cnil de demander, par la voie du référé, à la juridiction compétente d’ordonner, le cas échéant sous astreinte, toute mesure nécessaire à la sauvegarde des droits et libertés mentionnés à l’article 1premier en cas d’atteinte grave à ces derniers (9), pas plus qu’elle ne modifie les règles de compétence dans le cadre desquels la Cnil peut prononcer toutes les sanctions vues précédemment (ces pouvoirs peuvent être exercés à l’égard des traitements dont les opérations sont mises en œuvre, en tout ou partie, sur le territoire national, y compris lorsque le responsable du traitement est établi sur le territoire d’une autre Etat membre de l’Union européenne (10)).

Ces sanctions peuvent toujours être prises par la Cnil à la demande d’une autorité exerçant des compétences analogues aux siennes dans un autre Etat membre de l’Union européenne, sauf pour certains traitements spécifiques (11).

Pour finir, la loi pour une République numérique modifie l’article 46 de la loi de 1978 relativement à la publicité des sanctions prononcées par la Cnil. En effet, la formation restreinte peut désormais ordonner que les personnes sanctionnées informent individuellement de cette sanction, à leur frais, chacune des personnes concernées.

Cela complète le dispositif déjà existant, permettant à la formation restreinte de rendre publiques les sanctions qu’elle prononce, d’ordonner leur insertion dans des publications, journaux et supports qu’elle désigne aux frais des personnes sanctionnées. Le président peut, également, demander au bureau de rendre publique la mise en demeure ou sa clôture. Une publicité efficace des décisions de la Cnil ne peut que renforcer le rôle dissuasif de ses pouvoirs de sanction, faisant craindre aux entreprises –outre des mesures correctives ou pécuniaires- une atteinte à leur réputation.

En ce qui concerne le reste de l’article 46, les détails de procédure (rapport, rôle du rapporteur, personnes pouvant être entendus par la Cnil, décisions motivées et notifiées au responsable susceptibles de recours en pleine juridiction devant le Conseil d’Etat) restent inchangés.

Virginie Bensoussan-Brulé
Lexing Contentieux numérique

(1) Loi 2016-1321 pour une République numérique du 7-10-2016
(2) Loi 78-17 du 6-1-1978, nouvel art. 45 I
(3) Cnil, Délibération 2015-414 du 9-11-2016
(4) Loi 78-17 du 6-1-1978, art. 47
(5) L’ancien article 47 de la loi du 6 janvier 1978 disposait que, lors du premier manquement, le montant de la sanction pécuniaire ne pouvait excéder 150 000 euros. En cas de manquement réitéré dans les cinq ans à compter de la date à laquelle la sanction pécuniaire précédemment prononcée était devenue définitive, il ne pouvait excéder 300 000 euros ou, s’agissant d’une entreprise, 5% du chiffre d’affaire hors taxes du dernier exercice clos dans la limite de 300 000 euros.
(6) Règlement (UE) 2016/679 du 27-4-2016, art. 83
(7) Décret 2005-1309 du 20-10-2005, art. 79 et s.
(8) Traitements mentionnés aux I et II de l’article 26 et à l’article 27 de la loi du 6 janvier 1978
(9) Loi 78-17 du 6-1-1978, art. 45 III
(10) Loi 78-17 du 6-1-1978, art. 48
(11) Loi 78-17 du 6-1-1978, art. 49




Sanction de la Cnil à l’encontre de deux sites de rencontre

Sanction de la Cnil à l'encontre de deux sites de rencontreLe traitement de données à caractère personnel est une affaire sérieuse et la  patience de la Cnil a des limites.

Suite à des contrôles effectués en 2014 auprès de plusieurs sociétés éditant des sites de rencontre, la Cnil avait mis en demeure publiquement les éditeurs de deux sites de rencontre sur internet pour avoir exploité les données sensibles de leurs utilisateurs, dont celles liées à leur vie sexuelle, leurs opinions religieuses ou leurs origines ethniques, sans avoir recueilli au préalable leur consentement explicite.

Treize autres acteurs du secteur de la rencontre en ligne ont également été contrôlés par la Commission. Néanmoins, ces derniers ont su réagir rapidement aux mises en demeure.

Les sociétés condamnées, n’ayant, quant à elles, apportées que des réponses partielles ou insatisfaisantes, un rapporteur a été désigné afin que soient engagées des procédures de sanction à leur encontre.

Les faits reprochés sont simples : les internautes, qui souhaitaient s’inscrire sur ces sites de rencontre, devaient, en une seule fois, par le biais d’un bouton unique, accepter les conditions générales d’utilisation, attester de leur majorité et consentir au traitement de leurs données sensibles.

Sur ce point, la Cnil a précisé que la loi impose que les personnes concernées, en l’espèce les utilisateurs des sites, aient parfaitement conscience de la protection particulière attachée à ces données sensibles dont le traitement est normalement interdit : l’acceptation des conditions générales d’utilisation ne pouvant valoir consentement exprès des personnes à ce que leurs données relevant de leur intimité soient traitées. La Cnil plaidant ainsi pour la mise en place, par les plates-formes concernées, d’une case spécifique à cocher.

Les sociétés ont finalement mis en place un recueil du consentement exprès des internautes en imposant une case dédiée au traitement de ces données sensibles.

Toutefois, compte tenu du délai de réaction des sites de rencontre, de la sensibilité des données traitées et du nombre de personnes concernées (plus de 6,4 millions de visiteurs pour l’un des sites concernés), la Cnil a souhaité rendre les condamnations publiques. Ainsi, des amendes de 10.000 euros pour l’une et 20.000 euros pour l’autre ont été prononcées par deux décisions de la Cnil en date du 15 décembre 2016.

Lexing Alain Bensoussan Avocats
Lexing Informatique et libertés

(1) Délib. Cnil, 15-12-2016, n°2016-405 prononçant une sanction pécuniaire à l’encontre de la société Samadhi SAS
(2) Délib. Cnil, 15-12-2016, n°2016-406 prononçant une sanction pécuniaire à l’encontre de la société Meetic SAS




Un site de vente en ligne sanctionné par la Cnil

site de vente en ligne sanctionné par la CnilUne société de déstockage de mode a été sanctionnée par la Cnil à 30 000 € d’amende pour divers manquements. 

Un site de vente en ligne sanctionné suite à la plainte d’une utilisatrice

Lorsque la Cnil a procédé en janvier 2015 à un contrôle dans les locaux et sur le site internet de la société, des manquements ont été constatés. Quelques semaines plus tard, c’est une cliente du site qui s’adresse à la Cnil pour dénoncer les difficultés qu’elle rencontrait dans l’exercice de son droit d’accès.

Malgré une injonction réitérée de faire droit à la demande de cette cliente et de se mettre en conformité avec la réglementation, sous peine de sanction, la société n’a pas réagi. La Cnil a alors mis en demeure la société de se conformer à la législation. La société, après s’être vu octroyer un délai supplémentaire, a indiqué à la Cnil s’être conformée à la mise en demeure.

La Cnil a alors procédé à un nouveau contrôle pour vérifier l’effectivité de la mise en conformité. Lors de ce contrôle, des manquements ont de nouveau été constatés par la Cnil ; ce qui explique que la Cnil a prononcé une sanction pécuniaire à l’issue d’une procédure contradictoire.

Un site de vente en ligne sanctionné pour manquements répétés

D’une part, la société a manqué de réaliser des formalités préalables nécessaires. D’autre part, elle n’a pas défini de durée maximale de conservation des données.

Il a également été reproché à la société de ne pas s’être mise en conformité avec les dispositions de l’article 32-II relatives aux cookies, en particulier sur l’obligation de recueillir le consentement préalable des visiteurs, avant toute installation de cookies.

La sécurité des données personnelles étaient aussi en cause. Les communications de ces données se faisaient sans protocole sécurisé « https », même sur les pages les plus sensibles du site.

Enfin, les données collectées étaient transférées vers un pays n’offrant pas un niveau de protection suffisant de la vie privée et sans avoir obtenu l’autorisation préalable de la Cnil.

Un site de vente en ligne sanctionné publiquement

Au regard de l’importance des manquements et du volume d’utilisateurs concernés, la Cnil a rendu publique la sanction de 30 000€ contre la société. La Cnil veut ainsi rappeler les obligations des professionnels et sensibiliser les internautes à leurs droits.

La société dispose d’une voie de recours contre la décision.

Lexing Alain Bensoussan Selas
Lexing Publicité et marketing électronique

Délib. Cnil n° 2016-204 du 7-7-2016 prononçant une sanction pécuniaire à l’encontre de la société de vente en ligne.




Google condamné par la Cnil à verser une amende de 150 000 €

Google condamné par la Cnil à verser une amende de 150 000 €La Cnil a infligé à Google Inc une amende de 150 000 euros pour plusieurs manquements à la loi Informatique et Libertés, notamment la non conformité de sa politique de confidentialité et la collecte déloyale de données personnelles (1).

Rappelons que le géant américain a décidé le 1er mars 2013 de fusionner toutes les différentes règles de confidentialité applicables à tous ses services. A la suite d’une analyse effectuée par le G29 (groupe des Cnil européennes) concluant que la politique de confidentialité n’était pas conforme au cadre européen, le G29 a émis plusieurs recommandations le 16 octobre 2012 pour que Google se mette en conformité avec la directive européenne 95/46. Ces recommandations sont restées sans réponse.

Lors de la séance plénière du G29 du 26 février 2013, il a été décidé d’instaurer un sous-groupe de travail composé de six autorités européennes, piloté par la Cnil, en charge de poursuivre les investigations contre Google Inc. A la suite de ces investigations, les échanges avec Google n’ont pas été estimés satisfaisants.

Le 17 avril 2013, la Cnil a précisé à Google Inc au nom des six autorités, que chacune d’elle mènera ses propres investigations selon ses procédures nationales et qu’il lui appartiendra de répondre à chaque correspondance qui lui est adressée. Le 20 juin 2013, la Cnil a mis en demeure Google Inc de modifier ses nouvelles règles de confidentialité (2).

Dans ce contexte, la formation restreinte de la Cnil a prononcé une sanction pécuniaire à l’encontre de Google Inc pour plusieurs manquements à la loi Informatique et Liberté :

  •  La société n’informe pas suffisamment ses utilisateurs des conditions et finalités du traitement de leurs données personnelles. Ils ne sont pas en mesure d’exercer leurs droits ;
  • Aucune durée de conservation n’est précisée dans la politique de confidentialité de l‘entreprise ;
  • Enfin, elle interconnecte toute les données qu’elle collecte.

La Cnil considère également que Google se livre à une « collecte déloyale » d’informations d’utilisateurs n’ayant pas de compte Google et ignorant que les sites sur lesquels ils naviguent transmettent des informations.

La condamnation a été assortie de l’obligation de publier sous 8 jours, la décision sur la page d’accueil française de Google durant 48 heures afin de la faire connaître aux utilisateurs de ses services.

Google avait déposé un recours en référé devant le Conseil d’Etat mais a été débouté le 7 février 2014 (3). Le Conseil d’Etat a considéré que la publication ordonnée par la Cnil n’était pas de nature à créer pour Google un préjudice d’image et de réputation irréparable ni à nuire « à la poursuite même de son activité ou à ses intérêts financiers et patrimoniaux ».

Google a donc a été contraint d’afficher sur sa page d’accueil française sa condamnation par la Cnil à 150 000 euros pour sa politique de confidentialité des données personnelles, pour une durée de 48 heures, à compter du samedi 8 février.

Chloé Torres 
Lexing Droit Informatique et libertés

(1) Cnil, Délib. 2013-420  du 3-1-2014.

(2) Cf. Post du 9-10-2013.

(3) CE 7-2-2014, ordonnance n°374595.




La Cnil engage une procédure de sanction à l’encontre de Google

GoogleLa société Google Inc. est sous le coup d’une procédure de sanction engagée par la Cnil pour défaut de conformité à sa mise en demeure du 20 juin 2013. Dans sa décision du mois de juin, la présidente de la Cnil rappelait que, suite à l’annonce de Google de modifier ses règles de confidentialité à compter du 1er mars 2012, le groupe de l’article 29 avait souhaité analyser ces nouvelles règles au regard des dispositions relatives à la protection des données à caractère personnel. Elle ajoutait que cette analyse étant terminée par le groupe de l’article 29, c’était à son tour de se saisir de cette question et d’entreprendre sa propre analyse.

Au terme de cette analyse, la Cnil avait alors relevé, dans les règles de confidentialité susvisées, un certain nombre de manquements et mis en demeure la société Google Inc. de :

  • définir des finalités déterminées et explicites s’agissant des traitements de données à caractère personnel qu’elle met en &elig;uvre ;
  • procéder à l’information des personnes concernées, conformément à l’article 32 de la loi Informatique et libertés ;
  • définir une durée de conservation des données qui soit proportionnée à la finalité du traitement ;
  • ne pas procéder à la combinaison potentiellement illimitée des données en dehors de tout encadrement contractuel ou obligation légale ;
  • procéder à une collecte et à un traitement loyal des données ;
  • informer et obtenir le consentement des internautes pour l’inscription ou l’accès aux cookies dans leurs navigateurs.

Un délai de 3 mois avait été laissé à Google pour se conformer à cette mise en demeure. L’expiration de ce délai étant intervenue fin septembre, la Cnil a publié un communiqué sur son site internet précisant que Google n’avait pas satisfait à ses demandes.

A cet égard, elle précise que Google, au dernier jour du délai de 3 mois, a contesté le raisonnement de la Cnil, et notamment l’applicabilité de la loi Informatique et libertés aux services utilisés par des résidents en France, mais n’a pas déployé les mesures correctrices nécessaires à la mise en conformité demandée par la Cnil. Cette dernière annonce qu’elle va désigner un rapporteur afin d’engager une procédure de sanction à l’encontre de Google, procédure qui pourrait notamment se solder par une sanction pécuniaire ou encore une injonction de cesser les traitements illicitement mis en oeuvre.

Céline Avignon
Alain Bensoussan
Lexing Droit Marketing électronique

Cnil, rubrique Actualité, article du 27-9-2013
Cnil, Décision 2013-025 du 10-6-2013
Cnil, Délibération 2013-174 du 13-6-2013




La Cnil sanctionne l’ absence de réactivité à ses mises en demeure

absence de réactivitéLa Cnil sanctionne l’ absence de réactivité à ses lettres de mises en demeure. Elle a récemment eu l’occasion de rappeler que ses courriers et lettres de mise en demeure ne doivent pas rester lettre morte.

La formation contentieuse de la Commission a ainsi sanctionné d’un avertissement une agence immobilière à qui elle avait adressé plusieurs courriers, dont la plupart étaient demeurés sans réponse.

L’absence de réactivité et le caractère succinct de la réponse du service juridique de l’organisme, suite au quatrième courrier, a engendré le prononcé d’une sanction de la Commission, marquant ainsi le fait qu’il ne s’agit pas de simples observations à titre indicatif et que ses demandes doivent faire l’objet d’une attention toute particulière.

Il convient donc que les organismes objets de demande spécifique de la Cnil fassent preuve de réactivité dans leur réponse et que celle-ci soit complète, circonstanciée et intervienne dans un délai raisonnable.

Cnil, rubrique Actualité, article du 6 décembre 2011




La Cnil sanctionne la collecte des données des profils publics sur les réseaux sociaux

profils publics sur les réseaux sociauxLa Cnil a sanctionné une société proposant un service d’annuaire sur internet permettant d’ajouter aux résultats obtenus sur une personne déterminée les données personnelles collectées sur des réseaux sociaux.

Le but poursuivi est que les profils des personnes portant le même patronyme s’affichent au surplus des coordonnées référencées dans l’annuaire.

Saisie par des plaintes de particuliers ayant souhaité exercer leur droit d’opposition, le président de la Cnil a ordonné une mission de contrôle sur place ayant donné lieu à la désignation d’un rapporteur afin d’engager, à l’encontre de la société, une procédure de sanction.

Les profils publics sur les réseaux sociaux

Dans sa délibération, la formation restreinte de la Cnil retient, tout d’abord, qu’en se livrant à un recueil massif, répétitif et indifférencié de données sur des profils personnels affichés sur internet sans en avoir préalablement informé les personnes, la société procédait à une collecte ne répondant pas à la condition de loyauté posée par la loi Informatique et libertés, et contrevenait à l’obligation d’information des personnes concernées.

Elle ajoute également que la pratique consistant à extraire des données de son annuaire, aux fins de filtrage des informations recueillies sur les réseaux sociaux, pour s’assurer que les données recueillies correspondent à des adresses de personnes résidant en France, constitue un détournement de la finalité de l’annuaire, et est comme tel illicite.

Les manquement reprochés

Enfin, la formation restreinte retient, à l’encontre de la société proposant ses services d’annuaire en ligne, plusieurs autres manquements aux dispositions relatives à la protection des données à caractère personnel, tels que :

  • le non-respect de l’obligation de mise à jour des données, les demandes de modification ou de rectification adressées aux réseaux sociaux n’ayant pas été prises en compte par la société d’annuaire dans des délais satisfaisants ;
  • le non-respect des droits des personnes concernées, notamment de leur droit d’opposition et de rectification, considérant que les procédures instaurées pour que les personnes puissent faire valoir leurs droits n’étaient pas conformes aux dispositions applicables ;
  • le non-respect de l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données traitées du fait de la collecte des adresses IP associées aux contenus, date et heure des requêtes effectuées sur le portail.

La formation restreinte a alors prononcée à l’encontre de la société concernée un avertissement qu’elle a décidé de rendre public. Cette délibération est susceptible d’un recours de plein contentieux devant le Conseil d’Etat dans un délai de deux mois à compter de sa notification au responsable du traitement.

Cnil, délibération n° 2011-203 du 21-9-2011




Sanction des manquements à la loi Informatique et libertés

La Cnil a récemment fait usage de son pouvoir de sanction à l’encontre d’une société ayant procédé à des opérations de prospection commerciale par fax sans s’être conformée aux dispositions légales applicables en la matière. Dans cette affaire, la Cnil avait été saisie de nombreuses plaintes concernant une société de commerce de détail d’habillement qui effectuait régulièrement des opérations de prospection commerciale par télécopie sans avoir obtenu, conformément à la loi, le consentement préalable des personnes concernées, et surtout sans tenir compte des demandes d’opposition qui avaient été formulées par les destinataires de ces télécopies.

Après une mise en demeure de la Cnil non suivie d’effets, cette dernière avait condamnée la société concernée au paiement d’une sanction pécuniaire d’un montant de 5000 euros . Toutefois, malgré cette condamnation, qui n’a d’ailleurs été exécutée que partiellement, les agissements de la société ont perduré et d’autres plaintes ont été reçues de la Cnil.

Pour se défendre, la société mise en cause arguait de ce que ces envois de télécopies étaient de la responsabilité de son prestataire, ce dernier s’étant contractuellement engagé à respecter les dispositions de la loi Informatique et libertés dans le cadre des opérations de prospection dont il était en charge. Dans sa décision, la Cnil rappelle que la société donneuse d’ordre demeure responsable du traitement même lorsqu’elle fait appel à un sous-traitant. Elle précise également de manière détaillée les manquements constatés, à savoir :

  • mise en place d’opérations de prospection commerciale sans avoir obtenu le consentement préalable des destinataires ;
  • non respect du droit d’opposition des personnes concernées ;
  • manquement à l’obligation d’accomplir les formalités préalables adéquates auprès de la Cnil.

Enfin, la Cnil, faisant pour la première fois usage du pouvoir dont elle dispose pour condamner la réitération de manquements aux dispositions «Informatique et libertés», condamne la société mise en cause au paiement d’une sanction pécuniaire d’un montant de 15000 euros et décide de la publication de la délibération sur son site et sur le site internet Légifrance.

Cnil, Délib. 2010-232 du 17-6-2010
Cnil, Délib. 2007-352 du 22-11-2007




La prospection commerciale non sollicitée par fax sanctionnée par la Cnil

Les sociétés faisant de la prospection commerciale par télécopie doivent avoir recueilli préalablement le consentement des personnes démarchées. C’est en effet ce qu’a rappelé la Cnil dans une délibération portant sanction à l’encontre d’une société qui avait envoyé des milliers de fax sans l’accord des prospects. Après avoir tenté en vain d’exercer leur droit d’opposition à ne plus recevoir des sollicitations commerciales adressées par télécopie par cette société, de nombreux particuliers ont saisi la Cnil. Cette dernière a d’abord rappelé à la société, dont le message commercial prévoyait pourtant la mise en oeuvre du droit d’opposition, ses obligations.

Puis la Cnil a mis en demeure cette société de «procéder à l’accomplissement des formalités préalables auprès de la Cnil pour tout traitement automatisé de données à caractère personnel mis en oeuvre ; cesser toute prospection commerciale par télécopie auprès des personnes qui n’auront pas préalablement donné leur accord pour être démarchées (…) ; supprimer les coordonnées des requérants ayant exercé leur droit d’opposition ; apporter toute garantie que, pour l’avenir, les droits des personnes dont les données à caractère personnel font l’objet d’un traitement automatisé à des fins commerciales soient respectés (…) ; indiquer par quels moyens la société (…) s’est procuré les numéros des télécopieurs de ses prospects et apporter toute garantie qu’une telle collecte a bien été réalisée conformément aux dispositions de la loi Informatique et libertés ».

La société n’y ayant donné aucune suite, un rapport de sanction lui a été notifié. Suite aux observations en réponse à la Cnil, cette dernière a considéré que la société n’avait apporté aucune garantie permettant d’établir qu’elle collectait et traitait les données à caractère personnel de manière loyale et licite, qu’elle n’avait apporté aucun élément attestant qu’elle avait cessé toute prospection commerciale par télécopie auprès des personnes physiques n’ayant pas préalablement donné leur accord pour être démarchées, qu’elle n’avait procédé à aucune formalité préalable que le système de gestion des oppositions de la société était insuffisant et qu’elle n’avait pas répondu dans le temps qui lui était imparti à l’ensemble des demandes formulées dans la mise en demeure. La Cnil a donc prononcé le 22 novembre 2007 à l’égard de cette société une sanction pécuniaire de 5 000 euros.

Cnil, Délibération n° 2007-352 du 22-11-2007




Une nouvelle sanction pécuniaire prononcée par la Cnil

La Cnil a prononcé une sanction pécuniaire à l’encontre d’un établissement bancaire à la suite d’une plainte concernant l’inscription d’un de ses clients au Fichier national des incidents de remboursement des crédits aux particuliers (FICP) plus de seize ans après la survenance de l’incident de paiement. La Commission a demandé à l’établissement bancaire que la personne concernée soit « défichée ». Au lieu de cela, il l’a fichée une seconde fois. La Cnil a constaté que ce dysfonctionnement n’était pas isolé et avait eu des conséquences sur plusieurs autres clients de l’établissement bancaire. Ce dernier n’ayant communiqué à la Cnil aucune mesure significative organisationnelle et technique de nature à ce que ces manquements ne se reproduisent pas à l’avenir, la Cnil a sanctionné l’établissement bancaire d’une amende de 20 000 euros au titre de l’article 45 de la loi du 6 janvier 1978 modifiée.

Cnil, Délibération n°2006-245 du 23-11-2006




Condamnation d’une banque pour entrave à l’action de la Cnil

La loi Informatique et libertés confère à la Cnil le pouvoir de prononcer une sanction pécuniaire proportionnée à la gravité des manquements commis ou aux avantages tirés du manquement. La sanction peut atteindre 150 000 à 300 000 euros selon les cas (art. 45). Les sanctions de la Cnil doivent être motivées et notifiées au responsable du traitement sur la base d’un rapport contradictoire. Elles peuvent faire l’objet d’un recours de pleine juridiction devant le Conseil d’Etat.

Pour la première fois, par délibération du 28 juin 2006, la Cnil a condamné le Crédit Lyonnais au paiement d’une amende de 45 000 euros pour entrave à son action et pour avoir inscrit de façon abusive plusieurs clients dans le fichier des « retraits CB » mis en œuvre par la Banque de France. En outre, la Cnil a ordonné l’insertion de sa décision dans le Figaro et La Tribune.

Cette sanction a été prise à la suite de plaintes adressées à la Cnil par des clients du Crédit Lyonnais qui contestaient leur inscription dans les fichiers centraux de la Banque de France. L’un d’entre eux avait été maintenu dans le fichier des incidents de remboursement de crédit au particulier alors qu’il avait payé sa dette. D’autres clients avaient été inscrits dans le fichier de centralisation des retraits de carte bancaire en l’absence d’incident lié à l’utilisation de leur carte bancaire.

Après un an de démarches et deux contrôles sur place, la Cnil a obtenu des explications de la banque sur les raisons de ces inscriptions dans les fichiers centraux de la Banque de France en violation de la réglementation bancaire applicable. Aussi, a-t-elle estimé qu’il y avait eu, d’une part, entrave à son action et, d’autre part, inscription abusive dans des fichiers et a sanctionné ces manquements, notamment et pour la première fois, en prononçant une sanction pécuniaire.

Les entreprises et les organismes publics sont ainsi avertis qu’ils doivent, au plus vite, mettre en œuvre une politique de mise en conformité de leurs fichiers à la loi Informatique et libertés et prévoir un guide pratique dans le cadre d’un contrôle de la Cnil.

Cnil, Délibération n° 2006-174 du 28-6-2006




Nouvelles sanctions pécuniaires prononcées par la Cnil

Saisie d’une plainte attirant son attention sur les pratiques d’une étude d’huissiers de justice qui enregistrait de nombreuses informations dans sa base de données « clients » sans lien direct avec la finalité du traitement, la Cnil a procédé à un contrôle sur place. Elle a ainsi pu constater l’existence de nombreux commentaires sur les fiches informatiques des débiteurs, notamment, la référence à l’état de santé des personnes, à leurs traits de caractère ou à l’existence de mesures à caractère pénal comme par exemple : « séropositif depuis 23 ans », « ex policier accusé de vol puis relaxé », « déprime », « opération cancer des intestins », « incarcéré Baumettes attend liberté conditionnée », « tentative de suicide », « odieuse », « connasse », etc.

La Cnil a également constaté que le fichier utilisé par les huissiers n’avait pas été déclaré. Elle a par conséquent mis en demeure la SCP se régulariser la situation (Délib. du 24/01/2006). Cette dernière ne s’étant pas conformée à la mise en demeure, la Cnil a décidé de faire application des dispositions des articles 45 et 47 de la loi du 6 janvier 1978 modifiée le 6 août 2004 et de prononcer, compte-tenu de la gravité des manquements commis, une sanction pécuniaire à l’encontre de la SCP, d’un montant de 5000 euros.

Cnil, Délibération n° 2006-173 du 28-6-2006




La Cnil sanctionne le manque de coopération et de transparence

La Cnil a publié sa décision sanctionnant une société pour manque de coopération et de transparence. N’ayant pas satisfait aux demandes d’information de la Commission, le groupe a été mis en demeure de répondre à ses questions ou d’indiquer à la Cnil que le traitement avait été abandonné. La Cnil souhaitait, notamment, avoir le descriptif précis des finalités exactes recherchées, savoir les cas précis dans lesquels des données à caractère personnel étaient envoyées en Grande-Bretagne et aux Etats-Unis, et connaître les lieux exacts d’implantation des serveurs et des systèmes, les fonctionnalités précises de l’application, les destinataires exacts des données, les mesures de sécurité assurant la confidentialité des données et la durée de conservation des données.

La Cnil ne s’estimant pas suffisamment informée par la réponse sur le sort exact ayant été finalement réservé au traitement, a fait procéder à une mission de contrôle sur place, dans les locaux de la société, à l’occasion de laquelle elle a constaté que le traitement, contrairement à ce qui avait été affirmé, était bien utilisé. En outre, le contrôle a permis d’établir des flux transfrontaliers de données entre la société basée en France et les locaux du groupe basés en Angleterre et aux Etats-Unis, et des utilisations du traitement dépassant largement la finalité de « reporting », visée dans la déclaration du 22 septembre 2004. La société a contesté la sanction pécuniaire de 30.000 euros fixée par le rapporteur, dans la mesure où celle-ci ne s’appuierait sur aucune mise en demeure préalable, mais uniquement sur la réalisation de la mission de contrôle du 12 juillet 2006. La Commission a rappelé qu’une procédure de sanction pouvait être engagée, lorsque le responsable d’un traitement ne se conformait pas à la mise en demeure qui lui était adressée (art. 45 de la loi du 6 janvier 1978 modifiée le 6 août 2004). La procédure de sanction s’appuie, ainsi, sur la mise en demeure prononcée par la Cnil le 10 mai 2006 et sur la réponse adressée par la société le 1er juin 2006. La Commission considère, par conséquent, que la procédure de sanction est pleinement régulière.

Cnil, Délibération n° 2006-281 du 14-12-2006




Sanction pécuniaire pour non-suppression de commentaires litigieux

La Cnil use de nouveau de ses pouvoirs de sanctions, attribués par la loi du 6 janvier 1978 modifiée en 2004 (art. 45 et s.). Elle a prononcé, le 11 décembre 2007, une sanction pécuniaire d’un montant de 40 000 euros à l’encontre d’une société. Dans cette affaire, la Cnil avait, dans un premier temps, mis en demeure une société, spécialisée dans les domaines de la force de vente et du marketing, de procéder à la suppression de commentaires particulièrement douteux à l’égard de ses salariés et de veiller au respect de leurs droits d’accès, de rectification et d’opposition. Dans le fichier de gestion des salariés, la Cnil a pu relever des commentaires tels que  » trop chiante », « problèmes d’hygiène (odeurs) », « personne sans dents et qui boit », « problèmes alcoolisme », « souffre d’un cancer ne pourra plus travailler », « lui confier le plus de travail possible – prud’hommes en cours « , « serait une voleuse », etc. A l’issue d’une mission de contrôle, il est apparu que cette société n’avait toujours pas supprimé les propos litigieux. Elle a donc prononcé une sanction pécuniaire.

Cnil, délibération n° 2007-374 du 11-12-2007




Amende de 30 000 euros à l’encontre d’une société de distribution

Après réception d’une plainte d’un particulier, la Cnil a procédé à des investigations auprès d’une société de distribution. La plainte dénonçait l’enregistrement de commentaires dans le champ « remarques » de la base de données de la société, visant à constituer une liste de clients indésirables. Les investigations diligentées par la Commission ont confirmé le bien fondé de cette plainte, mais surtout ont permis de révéler la présence de nombreux manquements à la loi Informatique et libertés.

Ces manquements sont les suivants :

  • un dispositif de vidéosurveillance non déclaré à la Cnil ;
  • un manquement à l’obligation d’information des personnes ;
  • des zones de commentaires libres visant à créer une liste de clients indésirables ;
  • l’absence d’une politique de durée de conservation.

La Cnil a alors mis en demeure la société de procéder à une mise en conformité rapide au regard de la loi Informatique et libertés. Ainsi, la société a, notamment, désigné un Cil, mais sans pour autant assurer la conformité de ses traitements à la loi Informatique et libertés. La Cnil a, par exemple, relevé que l’information des personnes, conformément à l’article 32 de la loi Informatique et libertés, ou encore la fixation d’une durée de conservation des données n’ont pas été réalisées. Face au maintien de tels manquements manifestes à la loi Informatique et libertés, la Cnil a décidé de sanctionner la société par une amende de 30 000 euros et la publication de sa décision sur le site de la Cnil et dans la base de données « Légifrance ».

Cnil, Délibération n° 2008-187 du 3-7-2008
Cnil, Communiqué de presse du 27-3-2009




Une société condamnée pour prospection commerciale abusive

Une société spécialisée dans la vente et la pose de portes et de fenêtres a été condamnée par la Cnil à 30 000 euros d’amende pour de nombreux manquements à la réglementation Informatique et libertés. A la suite de plaintes de consommateurs constamment dérangés par téléphone, la Cnil a mené deux missions de contrôle sur place.

A l’occasion de ces contrôles, la Commission a notamment constaté que :

  • le traitement de gestion des clients et prospects n’avait pas fait l’objet de déclaration ;
  • l’obligation légale de mettre à jour les données n’était pas respectée ;
  • le système mis en place ne permettait pas une gestion efficace et pérenne du droit d’opposition des personnes démarchées à ne plus figurer dans le fichier ;
  • le droit d’information des personnes démarchées téléphoniquement n’était pas respecté puisque aucune information ne leur était délivrée par les téléopérateurs ;
  • les téléopérateurs n’étaient pas informés de la mise en œuvre d’un traitement relatif à l’écoute téléphonique de leur conversation à des fins d’évaluation ;
  • l’obligation à la charge de tout responsable de traitement d’assurer la sécurité et la confidentialité des informations collectées n’était pas respectée.En outre, la société concernée avait tardé à répondre au demandes de la Cnil et n’avait apporté aucune réponse à la première mise en demeure adressée par la Commission.

A la suite des contrôles, elle a pris des mesures correctives (régularisation des formalités préalables) qui ont été jugées tardives et partielles. Par ailleurs, la Cnil, ayant observé que le droit d’opposition et d’information des personnes n’étaient toujours par respecté, a condamné la société concernée à 30 000 d’amende et la publication de la délibération sur le site internet de la Cnil et sur le site de légifrance.

La prospection commerciale par téléphone et par voie électronique est strictement encadrée par la loi Informatique et libertés et le Code des postes et communications électroniques. Rappelons que ce type d’opération nécessite au préalable la réalisation des actions suivantes :

  • déclarer les fichiers clients et prospects et les écoutes téléphoniques auprès de la Cnil ;
  • intégrer dans les scripts téléphoniques un argumentaire relatif aux droits des personnes démarchées (droit d’accès, de rectification, d’opposition, etc.) ;
  • définir une politique de durée de conservation des données ;
  • établir une procédure permettant de gérer, en interne, les demandes d’opposition dans les délais légaux ;
  • mettre en œuvre des mesures permettant d’assurer la sécurité et la confidentialité des données (mots de passe d’au moins 6 caractères alphanumériques, renouvelés régulièrement) ;
  • établir, en interne, une procédure facilitant les relations avec la Cnil.

Cnil, Délibération n° 2008-470 du 27-11-2008




Site de notation : confirmation en appel de l’injonction de suspension

La Cour d’appel de Paris confirme l’injonction faite à un site de notation de suspendre la mise en ligne des données personnelles concernant les enseignants. A la suite de l’assignation de la société éditant ce site par des enseignants, le Président du Tribunal de grande instance de Paris a fait injonction à cette société de suspendre l’utilisation de données personnelles relatives aux enseignants aux fins de notation, y compris sur le forum de discussion qui devra également comporter une modération préalable à cette fin. La société en cause a fait appel. Dans un arrêt rendu le 25 juin dernier, la Cour d’appel de Paris a confirmé cette ordonnance de référé, à l’exception de la mise en place d’un procédé de modération sur le forum de discussion. La cour d’appel a, en effet, jugé que les données mises en ligne sur ce site, sans qu’aucune règle ne soit fixée aux élèves qui souhaitent noter leurs professeurs, ne sont manifestement pas collectées de manière loyale, et ne présentent aucune garantie quant à leur pertinence et à leur caractère adéquat.

Le forum de discussion étant « accessoire » au site de notation proprement dit, la Cour d’appel de Paris a jugé que l’injonction précitée serait vaine si le forum était maintenu en l’état, y compris avec un procédé de modération. Pour sa part, la Cnil, saisie de très nombreux signalements et plaintes d’enseignants, a publié un communiqué aux termes duquel elle a reconnu le caractère illicite dudit site mais « tenant compte de la publication de l’ordonnance du juge des référés du 3 mars 2008, la formation contentieuse de la Cnil ne jugeait pas utile de faire usage de son pouvoir de sanction s’en réservant la possibilité en cas de nouveau manquement constaté. »

CA Paris 14e ch. section A, 25 juin 2008