Actualités Emploi Start-up Evénements 01 Avis d'expert Vidéos Indicateurs Distribution Telecharger Pro Livres blancs
01 Informatique

Le pouvoir de sanction de la Cnil

La Commission a condamné lourdement une société refusant de lui transmettre des informations sur un traitement de données en cours de déclaration. Malgré une mise en demeure.
01 Informatique
le 04/05/2007 à 00h00
envoyer
par mail
imprimer
l'article
partager sur Viadeo
partager sur Facebook
partager sur LinkedIn
partager sur Scoopeo
partager sur Technorati
partager sur Digg
partager sur Delicious
partager sur Google
partager sur Myspace
partager sur Yahoo!

L'affaire

La Cnil a rendu publique sa décision sanctionnant la société Tyco Healthcare France à 30 000 euros d'amende(*) pour manque de coopération et de transparence dans l'instruction de son dossier de déclaration de traitement de gestion des ressources humaines à l'international, déposé en fin 2004. Considérant qu'il lui manquait des éléments indispensables à l'instruction du dossier, la Cnil a adressé plusieurs courriers au déclarant, lui demandant notamment de décrire les finalités précises de cette opération, de notifier les cas d'envoi de données à l'étranger, de donner les lieux d'implantation des serveurs, d'indiquer les mesures de sécurité assurant la confidentialité des données, et de préciser la durée de conservation de ces données. La société n'a pas répondu aux demandes de la Cnil, qui, par délibération du 10 mai 2006, lui a adressé une mise en demeure la sommant de répondre aux questions posées. En réponse à cette injonction, le responsable a indiqué avoir suspendu le traitement, ayant d'autres projets plus urgents à mener.

La sanction

Ne s'estimant pas suffisamment informée sur le sort exact réservé au traitement, la Cnil a fait procéder à une mission de contrôle dans les locaux de la société, et constaté que le traitement, loin d'être suspendu, était utilisé en dépit des nombreuses incertitudes relevées par la Cnil. Le contrôle a notamment permis d'observer des flux transfrontaliers de données entre la société basée en France et les locaux du groupe installés au Royaume-Uni et aux Etats-Unis, et des utilisations du traitement dépassant largement la finalité de “ reporting ”, décrite dans la demande de déclaration du 22 septembre 2004. Aussi la Cnil a-t-elle considéré que la société n'avait “ pas pris la mesure de la gravité des manquements qui lui étaient reprochés concernant son manque de coopération et de transparence ”. Elle a donc prononcé à son encontre une sanction pécuniaire de 30 000 euros sur le fondement des articles 45 et suivants de la loi Informatique et libertés. Cette décision démontre, s'il en était besoin, que la Cnil opère un contrôle minutieux des traitements qui lui sont soumis pour déclaration, et pas uniquement de ceux nécessitant son autorisation.

(*) Cnil, délib. n  2006-281 du 14 décembre 2006.

Les faits saillants : Le rôle clé de la mise en demeure

Une procédure de sanction peut être engagée au titre de l'article 45 de la loi Informatique et libertés modifiée lorsque le responsable d'un traitement ne se conforme pas à la mise en demeure qui lui est adressée.

La tendance : une sanction directement proposée par la Cnil

Cette sanction est intéressante à plusieurs égards. D'abord, elle confirme la tendance de la Cnil à user de ses pouvoirs pour sanctionner lourdement tout obstacle à son action. Ensuite, elle révèle une certaine prise d'autonomie de la Commission, qui choisit de prononcer elle-même une sanction plutôt que de s'en remettre au Parquet sur le fondement d'un éventuel délit d'entrave à son action.

À retenir

La société a contesté la sanction pécuniaire fixée par le rapporteur de la Cnil puisque celle-ci ne s'était appuyée sur aucune mise en demeure préalable, mais sur la seule réalisation de la mission de contrôle du 12 juillet 2006. A cette occasion, la Commission a rappelé qu'une procédure de sanction peut être engagée lorsque le responsable d'un traitement ne se conforme pas à la mise en demeure qui lui est adressée(*).

La procédure de sanction s'est appuyée sur la mise en demeure prononcée par la Commission le 10 mai 2006 et sur la réponse adressée par la société le 1er juin 2006. La Cnil considère, par conséquent, que la procédure est pleinement régulière.

Les responsables de traitement doivent particulièrement veiller au contenu de leurs déclarations et impérativement répondre à toutes les demandes de la Cnil, sous peine de sanction particulièrement sévère.

(*) Art. 45 de la loi du 6 janvier 1978, modifiée le 6 août 2004.

publicité
à lire aussi
SUR LES MÊMES THÈMES
Dashboard : pour savoir tout ce que Google sait sur vous
Fuite de données personnelles : l'iPhone n'est pas un mouchard
L'iPhone accusé de moucharder les numéros personnels (MAJ)
Grippe A : la Cnil alerte les entreprises
Comment maîtriser Facebook
Des réparateurs informatiques beaucoup trop curieux
Facebook s'interroge sur son degré de confidentialité
Les entreprises pourront bientôt demander un label Cnil
« Le correspondant informatique et libertés est un succès phénoménal »
La vie dissolue d'officiers britanniques sur un ordinateur volé
Les eurodéputés s'inquiètent du fichage des citoyens
Google lance la fonction « cherchez-moi »
Les entreprises devront peut-être payer une redevance Cnil
Encyclopédie de la sécurité numérique
La vie d'un internaute qui s'exposait sur le Web mise à nu dans la presse
Fichage des élèves : les données sensibles retirées
Des centaines d'associations disent non au fichier Edvige
Les premiers passeports biométriques seront disponibles à l'automne
Les déclarations de revenus de 40 millions d'Italiens étalées sur le Net
Comment la Cnil préserve les différences
01Informatique
01 INFORMATIQUE
L'hebdo de référence des décideurs informatiques.
Micro Hebdo
MICRO HEBDO
L'hebdo qui vous simplifie la micro
et Internet.
L'Ordinateur Individuel
L'ORDINATEUR INDIVIDUEL
Le mensuel informatique qui vous informe et vous conseille.
Tous droits réservés © 1999 - 2009 Internext - 01net.