01net. | Actualités | Comparatifs et tests | Jeux | Astuces | Vidéo | Telecharger.com | Services | Forums
01net Pro Entreprise informatique
Actualités gestion et logiciel informatique professionnel
Offre et recherche Emploi informatique internet
Salon conférences inofrmatique IT ebusiness 01
Le Cloud Computing
Vidéos reportage entreprise acteur informatique
Retrouvez tous les services 01Net dédiés aux professionnels !
Télécharger logiciels Pro et progiciels
Livres blancs e-commerce informatique et nouvelles technologies
Retrouvez l'ensemble des dossiers de la rédaction 01net Entreprise
Les synthèses des bonnes pratiques sur les sujets IT du moment
01net Entreprises

Le pouvoir de sanction de la Cnil

La Commission a condamné lourdement une société refusant de lui transmettre des informations sur un traitement de données en cours de déclaration. Malgré une mise en demeure.
01net.
le 04/05/07 à 00h00

L'affaire

La Cnil a rendu publique sa décision sanctionnant la société Tyco Healthcare France à 30 000 euros d'amende(*) pour manque de coopération et de transparence dans l'instruction de son dossier de déclaration de traitement de gestion des ressources humaines à l'international, déposé en fin 2004. Considérant qu'il lui manquait des éléments indispensables à l'instruction du dossier, la Cnil a adressé plusieurs courriers au déclarant, lui demandant notamment de décrire les finalités précises de cette opération, de notifier les cas d'envoi de données à l'étranger, de donner les lieux d'implantation des serveurs, d'indiquer les mesures de sécurité assurant la confidentialité des données, et de préciser la durée de conservation de ces données. La société n'a pas répondu aux demandes de la Cnil, qui, par délibération du 10 mai 2006, lui a adressé une mise en demeure la sommant de répondre aux questions posées. En réponse à cette injonction, le responsable a indiqué avoir suspendu le traitement, ayant d'autres projets plus urgents à mener.

La sanction

Ne s'estimant pas suffisamment informée sur le sort exact réservé au traitement, la Cnil a fait procéder à une mission de contrôle dans les locaux de la société, et constaté que le traitement, loin d'être suspendu, était utilisé en dépit des nombreuses incertitudes relevées par la Cnil. Le contrôle a notamment permis d'observer des flux transfrontaliers de données entre la société basée en France et les locaux du groupe installés au Royaume-Uni et aux Etats-Unis, et des utilisations du traitement dépassant largement la finalité de ' reporting ', décrite dans la demande de déclaration du 22 septembre 2004. Aussi la Cnil a-t-elle considéré que la société n'avait ' pas pris la mesure de la gravité des manquements qui lui étaient reprochés concernant son manque de coopération et de transparence '. Elle a donc prononcé à son encontre une sanction pécuniaire de 30 000 euros sur le fondement des articles 45 et suivants de la loi Informatique et libertés. Cette décision démontre, s'il en était besoin, que la Cnil opère un contrôle minutieux des traitements qui lui sont soumis pour déclaration, et pas uniquement de ceux nécessitant son autorisation.
(*) Cnil, délib. n?' 2006-281 du 14 décembre 2006.

Les faits saillants : Le rôle clé de la mise en demeure

Une procédure de sanction peut être engagée au titre de l'article 45 de la loi Informatique et libertés modifiée lorsque le responsable d'un traitement ne se conforme pas à la mise en demeure qui lui est adressée.

La tendance : une sanction directement proposée par la Cnil

Cette sanction est intéressante à plusieurs égards. D'abord, elle confirme la tendance de la Cnil à user de ses pouvoirs pour sanctionner lourdement tout obstacle à son action. Ensuite, elle révèle une certaine prise d'autonomie de la Commission, qui choisit de prononcer elle-même une sanction plutôt que de s'en remettre au Parquet sur le fondement d'un éventuel délit d'entrave à son action.

À retenir

La société a contesté la sanction pécuniaire fixée par le rapporteur de la Cnil puisque celle-ci ne s'était appuyée sur aucune mise en demeure préalable, mais sur la seule réalisation de la mission de contrôle du 12 juillet 2006. A cette occasion, la Commission a rappelé qu'une procédure de sanction peut être engagée lorsque le responsable d'un traitement ne se conforme pas à la mise en demeure qui lui est adressée(*).

La procédure de sanction sest appuyée sur la mise en demeure prononcée par la Commission le 10 mai 2006 et sur la réponse adressée par la société le 1er juin 2006. La Cnil considère, par conséquent, que la procédure est pleinement régulière.

Les responsables de traitement doivent particulièrement veiller au contenu de leurs déclarations et impérativement répondre à toutes les demandes de la Cnil, sous peine de sanction particulièrement sévère.

(*) Art. 45 de la loi du 6 janvier 1978, modifiée le 6 août 2004.

envoyer
par mail
imprimer
l'article
Nos partenaires
 
Nous contacter | Charte de confiance | Mentions légales et CGU | Conditions d'abonnement | 01net. recrute
01net. - 01men - RMC - RMC Sport - BFM BUSINESS - BFMTV - Association RMC-BFM