Délibération 2016-204 du 7 juillet 2016

Commission Nationale de l'Informatique et des Libertés
Délibération n°2016-204 du 7 juillet 2016
Délibération de la formation restreinte n° 2016-204 du 7 juillet 2016 prononçant une sanction pécuniaire à l'encontre de la société X
Etat: VIGUEUR

La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de M. Jean-François CARREZ, Président, M. Alexandre LINDEN, Vice-président, M. Philippe GOSSELIN, Mme Dominique CASTERA, M. Maurice RONAI, membres ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 45 et suivants ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu la décision n° 2015-021C du 22 décembre 2014 de la Présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification auprès de la société X ;

Vu la décision de la Présidente de la Commission nationale de l’Informatique et des libertés n° 2015-052 du 3 juillet 2015 mettant en demeure la société X ;

Vu la décision de la Présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur, en date du 8 mars 2016 ;

Vu le rapport de M. François PELLEGRINI, commissaire rapporteur, du 11 mars 2016 ;

Vu la demande de huis clos présentée par la société X le 14 avril 2016 à laquelle il a été fait droit par courrier du 18 avril 2016 ;

Vu les observations écrites versées par la société X le 14 avril 2016 ainsi que les observations orales formulées lors de la séance de la formation restreinte ;

Vu les autres pièces du dossier.

Etaient présents, lors de la séance de la formation restreinte du 21 avril 2016 :

- Monsieur François PELLEGRINI, commissaire, entendu en son rapport ;

- En qualité de représentants de la société X : Monsieur Y, de la Société X ;

- En qualité de conseil de la société X : Maître YY, Avocat.

Madame Catherine POZZO DI BORGO, commissaire du Gouvernement adjoint, n’ayant pas formulé d’observation ;

Les représentants de la société X ayant eu la parole en dernier ;

Après en avoir délibéré, a adopté la décision suivante :

  1. FAITS ET PROCEDURE

La société X (ci-après la société), créée en 2005, a pour activité la vente en ligne, aux particuliers, de produits neufs ou d’occasion, tels que les vêtements, chaussures, accessoires et produits de beauté. Elle édite à cette fin le site […]. Sa base de données compte X comptes clients. Elle emploie 69 salariés et présentait, sur l’exercice 2014-2015, un chiffre d’affaires d’environ 60 millions d’euros. En 2014, une partie du capital de la société a été rachetée par le Groupe Y (...).

La société a effectué, par déclaration n° 1446768 du 4 août 2010, un engagement de conformité à la norme simplifiée de la CNIL n° 48 relative à la gestion des clients et des prospects.

Le 13 janvier 2015, en application de la décision n° 2015-021C du 22 décembre 2014 de la Présidente de la Commission Nationale de l’Informatique et des Libertés (ci-après la CNIL ou la Commission), une délégation de la CNIL a procédé à un contrôle au sein des locaux de la société X. A cette occasion, des manquements à la loi du 6 janvier 1978 modifiée (ci-après loi Informatique et Libertés) ont été constatés. Le procès-verbal n° 2015-021 du 13 janvier 2015 a été notifié à la société le 16 janvier 2015.

Le 21 mars 2015, la CNIL a été saisie par une plaignante qui dénonçait les difficultés qu’elle rencontrait dans l’exercice de son droit d’accès à ses données à caractère personnel auprès de la société. Par courrier du 30 mars 2015, la CNIL a enjoint à la société de faire droit à cette demande. Malgré la réitération de cette injonction au mois de mai 2015, la société n’a pas répondu.

Par décision n° 2015-052 du 3 juillet 2015 de la Présidente de la CNIL, la société a fait l’objet d’une procédure de mise en demeure lui enjoignant, dans le délai de 3 mois, d’adopter des mesures correctives consistant à déposer une demande d’autorisation auprès de la CNIL pour encadrer le traitement relatif à la prévention des fraudes, définir et mettre en œuvre une durée de conservation des données des clients, recueillir le consentement exprès des clients à la conservation de leurs données bancaires dans la perspective d’un achat ultérieur, faire droit à la demande d’accès de la plaignante, informer et obtenir l’accord préalable des personnes concernées au dépôt et à la lecture de cookies sur leur équipement terminal, assurer la sécurité et la confidentialité des données collectées et cesser de transmettre des données à caractère personnel vers des Etats n’assurant pas un niveau suffisant de protection de la vie privée et des libertés et droits fondamentaux.

Le 16 octobre 2015, la Commission a accordé un délai supplémentaire de 3 mois à la société, à la suite de sa demande, pour se mettre en conformité avec les injonctions de la mise en demeure.

En réponse à la mise en demeure, la société a adressé à la CNIL deux courriers, les 11 et 19 janvier 2016, par lesquels elle indiquait s’être mise en conformité avec l’ensemble des injonctions, avoir désigné un Correspondant Informatique et Libertés (ci-après CIL), et avoir répondu à la demande de la plaignante.

Les réponses de la société s’étant toutefois révélées lacunaires et cette dernière n’ayant pas fourni l’ensemble des pièces justificatives venant à l’appui de ses propos concernant tous les manquements visés par la mise en demeure, la Présidente de la CNIL a décidé de procéder à une nouvelle mission de contrôle.

Le 18 février 2016, en application de la décision n° 2015-021C du 22 décembre 2014 précitée, une délégation de la CNIL a procédé à un contrôle dans les locaux de la société. A cette occasion, la délégation a constaté la persistance de plusieurs manquements aux dispositions de la loi du 6 janvier 1978 modifiée. Le 1er mars 2016, la CNIL a également procédé à un contrôle en ligne du site […].

Les procès-verbaux n° 2015-021/2 du 18 février 2016 et n° 2015-021/3 du 1er mars 2016 ont été notifiés à la société, respectivement, les 24 février et 3 mars 2016.

En raison de la persistance de certains manquements, la Présidente de la Commission a désigné M. François PELLEGRINI en qualité de rapporteur, le 8 mars 2016, sur le fondement de l’article 46 de la loi du 6 janvier 1978 modifiée.

A l’issue de son instruction, le rapporteur a notifié à la société, par porteur, le 14 mars 2016, un rapport détaillant les manquements à la loi Informatique et Libertés qu’il estimait constitués en l’espèce. Ce rapport proposait à la formation restreinte de la CNIL de prononcer une sanction pécuniaire, dont il sollicitait par ailleurs qu’elle soit rendue publique.

Etait également jointe au rapport une convocation à la séance de la formation restreinte du 21 avril 2016 indiquant à l’organisme qu’il disposait d’un délai d’un mois pour communiquer ses observations écrites.

Le 14 avril 2016, la société a présenté une demande de huis-clos, qui a été acceptée par le Président de la formation restreinte le 18 avril 2016. La société a en outre produit des observations écrites sur le rapport, réitérées oralement lors de la séance de la formation restreinte du 21 avril 2016.

  1. MOTIFS DE LA DECISION

  1. Un manquement à l’obligation de procéder à des formalités préalables à la mise en œuvre d’un traitement

Le chapitre IV de la loi n° 78-17 du 6 janvier 1978 modifiée régit les formalités à effectuer préalablement à la mise en œuvre d’un traitement. En particulier, l’article 25-I-4° dispose que les traitements automatisés susceptibles du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire sont mis en œuvre après autorisation de la CNIL.

La société a été mise en demeure le 3 juillet 2015 de procéder auprès de la CNIL à une demande d’autorisation pour encadrer la mise en œuvre de son traitement ayant pour finalité la prévention de la fraude à la carte bancaire. La société a répondu à cette injonction, par courrier du 11 janvier 2016, en indiquant qu’elle avait désigné un Correspondant Informatique et Libertés. Il a été constaté par la Commission, après l’expiration du délai renouvelé de la mise en demeure, à savoir le 21 janvier 2016, que la société n’avait pas déposé, auprès de la CNIL, de demande d’autorisation pour ce traitement.

En défense, la société a indiqué que la demande d’autorisation avait été effectuée par son CIL le 1er avril 2016. Elle ne conteste pas qu’au jour de la séance, elle n’était pas détentrice de l’autorisation requise, la demande ayant été déposée trois semaines auparavant et non pas dans le délai imparti par la mise en demeure. Elle précise en outre avoir rencontré des difficultés organisationnelles pour effectuer cette formalité auprès de la CNIL.

La formation restreinte constate qu’à l’expiration du délai de conformité prévu par la mise en demeure, lequel avait été renouvelé, la société n’avait procédé à aucune demande d’autorisation auprès de la CNIL. Elle précise que la désignation d’un CIL n’est pas de nature à exonérer un organisme des formalités préalables relevant du régime de l’autorisation. En l’espèce, ce n’est que la réception du rapport de sanction qui a conduit la société à effectuer une demande d’autorisation. En outre, la circonstance que cette demande ait été effectuée trois semaines avant la séance est sans incidence sur la caractérisation de ce manquement aux dispositions de l’article 25-I-4° de la loi du 6 janvier 1978 modifiée.

  1. Un manquement à l’obligation de définir et mettre en œuvre une durée de conservation des données

L’article 6-5° de la loi du 6 janvier 1978 modifiée prévoit que les données à caractère personnel sont conservées pendant une durée qui n’excède pas celle nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

La norme simplifiée n° 48 relative à la gestion des clients et des prospects, à laquelle la société a pris un engagement de conformité par déclaration du 4 août 2010, prévoit notamment que les données à caractère personnel relatives aux clients ne peuvent être conservées au-delà de la durée strictement nécessaire à la gestion de la relation commerciale. [...] Par ailleurs, et sous réserve du respect de l’article 6 de la présente norme, les données des clients utilisées à des fins de prospection commerciale peuvent être conservées pendant une durée de trois ans à compter de la fin de la relation commerciale (c’est-à-dire par exemple à compter d’un achat, de la date d’expiration d’une garantie, du terme d’un contrat de prestation de services, du dernier contact émanant du client).

La société a été mise en demeure de définir une politique de durée de conservation des données relatives aux clients, conforme à son engagement de conformité à la norme simplifiée n° 48, et de procéder à la purge y afférente.

En réponse à la mise en demeure, la société a indiqué par courrier du 11 janvier 2016, qu’elle s’était mise en totale conformité avec la norme simplifiée n° 48, tout en précisant, de manière contradictoire, avoir fixé une durée de conservation des données des clients de 5 ans à compter de la fin de la relation commerciale, afin qu’elle soit calquée sur la durée de la responsabilité civile contractuelle.

Le contrôle effectué par la CNIL le 18 février 2016, postérieurement à l’expiration du délai de mise en conformité, a permis de constater qu’aucune purge des données n’avait été réalisée.

En défense, la société indique que, lors du contrôle de la CNIL du 18 février 2016, la durée de conservation de cinq ans avait déjà été définie dans le registre du CIL. Elle déclare que seule la purge n’avait pas encore été mise en œuvre à cette date, en raison de la complexité de cette dernière et de l’adaptation de la nouvelle version du site. La procédure avait, quant à elle, été actée par les équipes opérationnelles de la société. La société indique que, au 12 avril 2016, elle a fait constater par huissier de justice la mise en œuvre effective de la purge des données à caractère personnel des clients de la société. Elle précise que les délais initialement pris en compte, à tort, ont été ramenés à trois ans à compter de la dernière demande de documentation ou du dernier achat des clients, afin de pleinement satisfaire aux dispositions de la norme simplifiée n° 48 édictée par la CNIL.

La formation restreinte considère que la société n’a pas respecté les termes de la mise en demeure en ce qu’elle ordonne le respect des dispositions de l’article 6-5° de la loi du 6 janvier 1978 modifiée. Elle retient qu’il n’a pas été satisfait à la demande alors même que la société avait obtenu un délai supplémentaire pour s’y conformer. En effet, à l’échéance du délai de la mise en demeure, la société n’avait pas défini de durées de conservation conformes à la norme simplifiée n° 48 à laquelle elle avait pris un engagement de conformité, celles renseignées dans le registre du CIL étant plus longues. En outre, contrairement à ce qu’elle a déclaré en réponse à la mise en demeure, il est établi que la société n’avait procédé à aucune purge des données au sein de sa base qui comptait toujours X comptes clients. La formation restreinte considère enfin que la société a bénéficié du temps nécessaire à la mise en œuvre des mesures exigées, lesquelles relèvent d’une gestion normale des dossiers des clients et des prospects.

Le manquement aux obligations découlant de l’article 6-5° de la loi du 6 janvier 1978 modifiée est, dès lors, caractérisé.

  1. Un manquement à l’obligation d’informer et d’obtenir l’accord préalable des personnes concernées avant d’inscrire des informations (cookies) sur leur équipement terminal de communications électroniques ou d’accéder à celles-ci

L’article 32-II de la loi du 6 janvier 1978 modifiée dispose que tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :

  • de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;

  • des moyens dont il dispose pour s’y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.

Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :

  • soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;

  • soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

La mise en demeure du 3 juillet 2015 enjoignait à la société d’informer et obtenir l’accord préalable des personnes concernées à l’inscription d’informations sur leur équipement terminal (cookies) et à l’accès à celles-ci (lecture des cookies). En particulier, il lui a été enjoint, sauf à mettre en place un dispositif présentant les mêmes garanties, d’indiquer aux personnes concernées, au préalable et de manière claire et complète, sur le bandeau présent sur le site web, qu’elles ont la possibilité de changer les paramètres de ces cookies en cliquant sur un lien présent dans le bandeau et que la poursuite de la navigation vaut consentement au dépôt des cookies. Il lui a également été enjoint de conditionner cette inscription et cet accès à une action positive préalable des personnes concernées.

En réponse à la mise en demeure, par courrier du 11 janvier 2016, la société a indiqué qu’un bandeau d’information avait été mis en place sur la page d’accueil de son site et que le dépôt de cookies ne s’opérait qu’après avoir recueilli le consentement des utilisateurs.

Le contrôle en ligne réalisé le 1er mars 2016 a permis de constater que le bandeau d’information relatif aux cookies était rédigé de telle sorte qu’il n’informait pas les utilisateurs de leur possibilité de paramétrer le dépôt de cookies. Il a été constaté en outre que plusieurs cookies ayant des finalités publicitaires étaient déposés dès l’arrivée des internautes sur la page d’accueil du site, sans recueil préalable de leur consentement.

En défense, la société a indiqué avoir, dès le mois d’août 2015, engagé des pourparlers avec la société U afin que soit mis en place un module de gestion des cookies déposés via son site web. Ces pourparlers n’auraient pas abouti en raison notamment (...) et de la sortie de la version 6 de son site. Elle a finalement signé ce bon de commande le 16 mars 2016. Elle ajoute avoir fait constater par huissier de justice le 8 avril 2016 qu’aucun autre cookie que ceux bénéficiant d’une exemption ne pouvait se déposer sur les terminaux des utilisateurs du site […] sans le consentement exprès et préalable de ces derniers.

La formation restreinte relève, s’agissant du recueil préalable du consentement des utilisateurs au dépôt et à la lecture de cookies sur leur terminal de communications électroniques, que des cookies à finalité publicitaire sont déposés dès l’arrivée sur la page d’accueil du site […] et qu’en cela, les obligations issues de l’article 32-II de la loi du 6 janvier 1978 modifiée ne sont pas satisfaites. Toutefois, la formation restreinte s’estime insuffisamment éclairée, au cas d’espèce, sur la répartition exacte des responsabilités entre l’éditeur du site, les annonceurs et les régies publicitaires concernés, pour se prononcer sur ce point du manquement. Elle ne retient donc pas, en l’espèce, ce grief.

La formation restreinte considère, s’agissant de l’information des personnes sur les modalités de paramétrage des cookies, qu’à l’expiration du délai renouvelé de la mise en demeure, la société n’a pas procédé, dans le bandeau, à une information claire et complète concernant les moyens de paramétrage mis à la disposition des utilisateurs pour s’opposer au dépôt et à la lecture des cookies sur leur terminal de communications électroniques. En effet, l’information délivrée était trop imprécise pour que les utilisateurs soient en mesure de comprendre qu’ils bénéficiaient de la possibilité d’exprimer leur choix. Dès lors, la formation restreinte considère que le manquement à l’article 32-II de la loi du 6 janvier 1978 modifiée est caractérisé sur ce point.

  1. Un manquement à l’obligation d’assurer la sécurité et la confidentialité des données

L’article 34 de la loi du 6 janvier 1978 modifiée dispose que Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

La mise en demeure du 3 juillet 2015 enjoignait notamment à la société de mettre en œuvre un chiffrement du canal de communication et une authentification du site distant lors de l’accès au site […]. Or, le contrôle du 18 février 2016 a permis de constater l’absence de sécurisation du site, la version accessible par défaut utilisant le protocole http non sécurisé. En particulier, les pages de connexion au compte des utilisateurs et les pages comportant un formulaire de renseignement de données à caractère personnel n’étaient pas sécurisées.

En défense, la société a indiqué que le 29 mars 2016, elle a fait constater par huissier de justice la mise en œuvre sur son site du protocole sécurisé https à tous les stades d’accès de l’utilisateur et/ou du client, en particulier lors de la consultation du site, de la création d’un compte, de la prise de commande ou du paiement.

La formation restreinte considère que l’absence de mise en œuvre d’un protocole sécurisé sur le site de la société ne permettait pas de garantir le chiffrement des communications, ni l’authentification du site, pour sécuriser les échanges de données à caractère personnel. Elle prend acte des mesures correctives apportées a posteriori mais considère qu’à l’expiration du délai de conformité à la mise en demeure, la société n’avait pas mis en œuvre des moyens suffisants pour répondre à l’obligation de sécurité et de confidentialité des données imposée par la loi du 6 janvier 1978 modifiée. Il en résulte que le manquement à l’article 34 de la loi du 6 janvier 1978 modifiée est caractérisé.

  1. Un manquement à l’obligation de respecter les règles relatives aux transferts de données à caractère personnel hors Union européenne

L’article 68 de la loi du 6 janvier 1978 modifiée dispose que Le responsable d’un traitement ne peut transférer des données à caractère personnel vers un Etat n’appartenant pas à la Communauté européenne que si cet Etat assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l’égard du traitement dont ces données font l’objet ou peuvent faire l’objet. / Le caractère suffisant du niveau de protection assuré par un Etat s’apprécie en fonction notamment des dispositions en vigueur dans cet Etat, des mesures de sécurité qui y sont appliquées, des caractéristiques propres du traitement, telles que ses fins et sa durée, ainsi que de la nature, de l’origine et de la destination des données traitées.

L’article 69 de la loi du 6 janvier 1978 susmentionnée dispose qu’il peut également être fait exception à l’interdiction prévue à l’article 68, par décision de la Commission nationale de l’informatique et des libertés (...) lorsque le traitement garantit un niveau de protection suffisant de la vie privée ainsi que des libertés et droits fondamentaux des personnes, notamment en raison des clauses contractuelles ou règles internes dont il fait l’objet.

La mise en demeure du 3 juillet 2015 enjoignait à la société de cesser de transférer les données à caractère personnel de ses clients en dehors de l’Union européenne, en l’espèce vers le Maroc et la Tunisie par l’intermédiaire de ses sous-traitants, les sociétés Z et ZZ, sauf à remplir l’une des conditions prévues à l’article 69 de la loi du 6 janvier 1978 modifiée.

En réponse à la mise en demeure, la société a indiqué, par courrier du 11 janvier 2016, qu’elle avait désormais conclu des contrats avec ses deux prestataires sans toutefois fournir à la Commission ces éléments permettant d’en attester. Lors du second contrôle réalisé le 18 février 2016, il a été indiqué que les transferts de données en cause avaient toujours cours et il a été constaté que seul le contrat conclu avec la société Z comportait désormais des clauses contractuelles types de la Commission européenne.

En défense, la société ne conteste pas l’absence de clauses contractuelles types de la Commission européenne dans le cadre du contrat originel conclu avec la société Z. En revanche, elle indique que le contrat conclu initialement avec la société ZZ comprenait de telles clauses contractuelles types. Elle indique, en tout état de cause, avoir rencontré des difficultés pour effectuer les formalités nécessaires auprès de la CNIL au mois de février 2016 afin d’obtenir une décision de la Commission quant aux transferts de données opérés.

La formation restreinte rappelle que le principe d’interdiction de transférer des données vers des Etats n’appartenant pas à l’Union européenne et n’assurant pas un niveau de protection suffisant de la vie privée, tel qu’en l’espèce, ne peut être levé qu’après une décision de la CNIL. En effet, celle-ci doit apprécier si le traitement garantit un niveau de protection suffisant, notamment en raison des clauses contractuelles ou règles internes dont il fait l’objet.

Par conséquent, sans décision préalable de la CNIL, les traitements de flux ne sauraient en aucune manière être mis en œuvre. Or, en l’espèce, avant l’expiration du délai prévu par la mise en demeure, la société n’a pas présenté de demande à la CNIL relative aux transferts de données devant être encadrés par des garanties adéquates. Ainsi, la société a continué à transférer des données à caractère personnel, hors de l’Union européenne, sans autorisation de la CNIL. La formation restreinte considère ainsi que le manquement aux articles 68 et 69 de la loi du 6 janvier 1978 susmentionnée est caractérisé.

  1. SUR LA SANCTION ET LA PUBLICITE

La formation restreinte considère que les manquements aux articles 6-5°, 25-I-4°, 32-II, 34, 68 et 69 de la loi du 6 janvier 1978 modifiée ont persisté au-delà du délai imparti par la mise en demeure de la Présidente de la Commission et justifient que soit prononcée une sanction d’un montant de 30.000 € à l’encontre de la société X. En outre, elle estime les faits d’une particulière gravité au regard du volume de personnes concernées par les traitements en cause, à savoir […] comptes clients.

(...) les manquements susmentionnés sont caractérisés.

Compte tenu du nombre et de la gravité des manquements commis par la société X, ainsi que de la nécessité de sensibiliser les internautes et les responsables de traitements quant à leurs droits ou obligations en la matière, la formation restreinte décide de rendre publique sa décision.

PAR CES MOTIFS

La formation restreinte de la CNIL, après en avoir délibéré, décide :

- de prononcer à l’encontre de la société X une sanction pécuniaire d’un montant de 30.000 € ;

- de rendre publique sa délibération.

Le Président

Jean-François CARREZ

Cette décision peut faire l’objet d’un recours devant le Conseil d’Etat dans un délai de deux mois à compter de sa notification.




Nature de la délibération: SANCTION
Date de la publication sur legifrance: 19 juillet 2016