Délibération 2008-028 du 31 janvier 2008

Commission Nationale de l'Informatique et des Libertés
Délibération n°2008-028 du 31 janvier 2008
Délibération n°2008-028 du 31 janvier 2008 sanctionnant la société X
Etat: VIGUEUR

La Commission nationale de l'informatique et des libertés, réunie en formation restreinte, sous la présidence de M. Alex TURK ;

Etant aussi présents, M. François GIQUEL, vice-président, M. Guy ROSIER, vice-président délégué, Mlle Anne DEBET, membre, M. Bernard PEYRAT, membre et M. Hubert BOUCHET, membre ;

Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ;

Vu la délibération n° 2006-147 du 23 mai 2006 fixant le règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu la délibération n° 2007-132 mettant en demeure la société X, adoptée par la Commission nationale de l'informatique et des libertés le 14 juin 2007 ;

Vu la décision n° 2007-035 C en date du 7 mai 2007 du président de la Commission nationale de l'informatique et des libertés de procéder à une mission de contrôle auprès de la société Y ;

Vu le rapport de M. Emmanuel De Givry, commissaire, remis en mains propres le 14 décembre 2007 et par lettre recommandée avec accusé-réception le 3 janvier 2008 ainsi que les observations en réponse reçues, par télécopie le 14 janvier 2008 et par courrier le 15 janvier 2008.

Après avoir entendu, lors de l'audience du 31 janvier 2008, M. Emmanuel De Givry, commissaire, en son rapport et Mme Pascale COMPAGNIE, commissaire du Gouvernement, en ses observations.

Constate les faits suivants :

1. La Commission nationale de l'informatique et des libertés (ci-après CNIL ou Commission) a été saisie d'une plainte d'une personne s'interrogeant sur les conditions dans lesquelles elle a été démarchée, en septembre 2006, par la société Y pour des services d'assurance destinés essentiellement à des ressortissants étrangers.

Les constatations effectuées à l'occasion d'une mission de contrôle réalisée auprès de la société Y, située [...], ont permis d'établir que les données à caractère personnel de la requérante avaient été transmises à la société Y par la société X dans le cadre de l'exécution d'un contrat portant sur une Location adresses postales FICHIER B2C Etrangers (Afrique, Maghreb) en France.

La Commission a observé que la constitution d'un fichier d'adresses postales de personnes d'origine étrangère sélectionnées sur le nom et le prénom avait pour objet de faire apparaître l'appartenance, réelle ou supposée, des intéressés et était ainsi susceptible de ne pas être conforme aux dispositions de l'article 8 de la loi du 6 janvier 1978 modifiée.

En conséquence, la Commission a mis en demeure la société X, dans un délai d'un mois à compter de la notification de la décision (le 30 juillet 2007) :

- de donner toute explication sur les méthodes de collecte de données à caractère personnel mises en œuvre permettant de proposer à la location un fichier d'adresses postales relatif à des personnes originaires d'Afrique et du Maghreb résidant en France ;

- d'apporter toute justification à la Commission permettant de considérer que les traitements mis en œuvre ne portent pas sur des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques des personnes.

2. En réponse à la mise en demeure, la société X a adressé à la CNIL un courrier en date du 28 août 2007, dans lequel elle a précisé avoir effectivement loué à la société Y un fichier d'annuaire téléphonique. Elle a indiqué que la société cliente aurait souhaité utiliser une base de données relatives à des personnes d'origine maghrébine résidant en France et lui aurait suggéré de procéder à une sélection par scoring. La société X a également précisé à la CNIL qu'elle avait indiqué à la société Y ne pas disposer de telles bases de données et a affirmé que seul un fichier brut, de taille supérieure à celle commandée, aurait été fourni au client, sans aucun traitement de scoring, qui pourrait le cas échéant avoir été effectué par le client.

3. Un rapport de sanction, proposé à la Commission, a été notifié à la société X par huissier le 14 décembre 2007 et par lettre recommandée avec accusé-réception le 3 janvier 2008. Le rapporteur a considéré que le manquement à la loi du 6 janvier 1978 modifiée, identifié par la CNIL, demeurait à l'issue des éléments apportés par la société X. Le rapporteur a également retenu la mauvaise foi de la société.

Le 14 janvier 2008, par télécopie et le 15 janvier 2008, par courrier, la société X a adressé à la CNIL ses observations en réponse.

4. Dans sa proposition de sanction, le rapporteur de la CNIL avait considéré, au vu des éléments contractuels relevés lors de la mission de contrôle du 21 mai 2007 effectuée auprès de la société Y, que la société X avait loué un fichier de 4000 adresses postales libellé comme suit: Location adresses postales FICHIER B2C Etrangers (Afrique, Maghreb) et constitué de coordonnées de personnes étrangères d'Afrique et du Maghreb, sélectionnées à partir de la consonance de leurs nom et prénoms.

Dans ses observations écrites en réponse au rapport de sanction, la société X a soutenu que l'instruction de son dossier aurait fait l'objet d'une erreur, dans la mesure où seul un devis, établi pour la société Y, ferait apparaître l'éventualité d'une collecte de données à caractère personnel contraire aux dispositions de la loi informatique et libertés et non la facture, qui ne mentionnerait qu'une opération d'e-mailing. La société X a également produit l'attestation d'un ancien salarié, qui s'est occupé de la commande, affirmant avoir fourni un fichier brut de taille supérieure de personnes sélectionnées sur des critères uniquement géographiques, à la suite de l'opposition de ses supérieurs.

La Commission considère que si l'objet Location adresses postales FICHIER B2C Etrangers (Afrique, Maghreb) du fichier concerné n'est effectivement inscrit que sur le devis, ce dernier vaut contrat dans la mesure où y figure la mention bon pour accord cachetée par la société Y, ainsi que sur les conditions générales de vente. Les deux cocontractants, les sociétés Y et X, ont en effet convenu de la chose et du prix, l'offre et l'acceptation se sont ainsi rencontrées.

La Commission observe que le devis de la société X stipule expressément que le règlement du fichier concerné est effectué 100% à la commande. Il apparaît ainsi que la facture a été délivrée une fois la prestation conformément exécutée, au regard des éléments convenus dans le devis. Le montant du fichier d'adresses postales est d'ailleurs identique entre le devis et la facture de la société X.

La Commission constate que la société X n'a au surplus apporté aucune justification permettant de considérer qu'elle n'a pas constitué un fichier d'adresses postales faisant apparaître, directement ou indirectement, les origines raciales ou ethniques des personnes.

La Commission considère par conséquent que la société X ne s'est pas conformée à la mise en demeure du 14 juin 2007.

5. Dans sa proposition de sanction, le rapporteur de la CNIL a considéré que la société X était de mauvaise foi dans la mesure où, dans son courrier en date du 28 août 2007, elle soutenait qu'elle ne disposait d'aucune base d'adresses postales de personnes d'origine maghrébine et n'effectuait aucun scoring.

Il a été décidé par la formation restreinte de la CNIL de ne pas retenir la mauvaise foi à l'encontre de la société X.

6. La société X, dans ses observations écrites des 14 et 15 janvier 2008, a fait savoir à la Commission qu'une sanction pécuniaire d'un montant de 20.000 euros était injuste, eu égard notamment à sa trésorerie actuellement disponible.

Bien que la société X ne produise aucun élément comptable, la formation restreinte de la CNIL a tenu compte des informations communiquées.

En conséquence, la Commission décide de faire application des dispositions des articles 45 et suivants de la loi du 6 janvier 1978 modifiée le 6 août 2004 et de prononcer à l'encontre de X, sise [...], compte tenu de la gravité des manquements, une sanction pécuniaire de 15.000 euros (quinze mille euros), qui sera rendue publique.

Le président

Alex TURK




Nature de la délibération: SANCTION
Date de la publication sur legifrance: 6 septembre 2012