Délibération 2008-029 du 31 janvier 2008

Commission Nationale de l'Informatique et des Libertés
Délibération n°2008-029 du 31 janvier 2008
Délibération n°2008-029 du 31 janvier 2008 sanctionnant la société X
Etat: VIGUEUR

La Commission nationale de l'informatique et des libertés, réunie en formation restreinte, sous la présidence de M. Alex TURK ;

Etant aussi présents, M. François GIQUEL, vice-président, M. Guy ROSIER, vice-président délégué, Mlle Anne DEBET, membre, M. Bernard PEYRAT, membre et M. Hubert BOUCHET, membre ;

Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ;

Vu la délibération n° 2006-147 du 23 mai 2006 fixant le règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu la délibération n° 2007-131 mettant en demeure la société Y, adoptée par la Commission nationale de l'informatique et des libertés le 14 juin 2007 ;

Vu la décision n° 2007-035C en date du 7 mai 2007 du président de la Commission nationale de l'informatique et des libertés de procéder à une mission de contrôle auprès de la société X ;

Vu le rapport de M. Emmanuel de GIVRY, commissaire, remis en mains propres le 14 décembre 2007 et par lettre recommandée avec accusé-réception le 19 décembre 2007, à la société X et à son avocat, le 10 janvier 2008 ;

Vu les observations en réponse reçues par courrier le 21 janvier 2008 et les pièces déposées à l'audience, le 31 janvier 2008 ;

Après avoir entendu, lors de l'audience du 31 janvier 2008, M. Emmanuel de GIVRY, commissaire, en son rapport et Mme Pascale COMPAGNIE, commissaire du Gouvernement, en ses observations ;

Après avoir entendu, lors de l'audience du 31 janvier 2008, les observations orales de Maître L., avocat et Monsieur Z, de la société X, ceux-ci ayant pris la parole en dernier.


Constate les faits suivants :

1. La Commission nationale de l'informatique et des libertés (ci-après CNIL) a été saisie d'une plainte d'une personne s'interrogeant sur les conditions dans lesquelles elle a été démarchée, en septembre 2006, par la société X pour des services d'assurance destinés essentiellement à des ressortissants étrangers.

La Commission a adressé à la société X un courrier en date du 14 novembre 2006, lui demandant d'indiquer par quel moyen et selon quels critères elle avait sélectionné les coordonnées de la plaignante et si elle avait mis en œuvre un fichier, manuel ou informatisé, pour procéder aux opérations de sélection et d'envoi.

Dans une lettre en date du 24 novembre 2006, la société X a affirmé à la CNIL que la plaignante n'avait pas été sollicitée par rapport à sa supposée appartenance ethnique à une communauté et a précisé que les données relatives aux prospects démarchés sont communiquées par des clients reçus dans nos locaux (famille ou relations etc.), des formules de parrainage, des présidents d'association, etc. La société X a ensuite souligné dans ce courrier qu'il est probable que [la requérante] ait été sollicitée de cette façon, mais nous n'avons jamais constitué de fichier quelconque a fortiori basé sur la couleur ou la religion etc., et ceci du fait de la législation en France et, dans le même temps, a précisé ne pas faire appel à des achats de fichiers extérieurs.

En application de la décision n° 2007-035C en date du 7 mai 2007 du président de la CNIL, une délégation de la Commission a procédé à une mission de vérification sur place le 21 mai 2007 auprès de la société X, sise [...], afin d'apprécier l'exactitude des éléments apportés par la société, relatifs à ses opérations de prospection.

Lors de la mission de contrôle, le 21 mai 2007, la délégation de la CNIL a pu constater que la société X utilisait principalement un logiciel dénommé Nov Assur 3, qui lui permettait de gérer ses clients et les personnes qu'elle démarche.

La Commission a également relevé que les opérations de prospection menées par la société X s'effectuaient principalement à partir des données à caractère personnel qui lui ont été communiquées, soit par ses propres clients dans le cadre d'opérations de parrainage soit, plus rarement, par des associations regroupant des personnes d'origine étrangère. Les informations relatives aux personnes démarchées étaient alors intégrées dans le logiciel Nov Assur 3.

Pour autant, la délégation de la CNIL a constaté que les données à caractère personnel de la plaignante - qui, selon la société X, a pu être démarchée dans le cadre d'une opération de parrainage - n'étaient pas présentes dans le logiciel de gestion. Une requête effectuée dans cet outil à partir de la référence du courrier qui lui a été adressé (Réf : 904069) renvoyait cependant à une fiche portant sur Test mailing - noms africains, laquelle ne comportait aucune donnée à caractère personnel.

Après interrogation des salariés, il est apparu que la société X avait acquis auprès de la société Y, au cours de l'année 2006, un fichier dont le devis est libellé comme suit : Location adresses postales FICHIER B2C Etrangers (Afrique, Maghreb) en France.

Selon le chef de cellule de production de la société X, ce fichier aurait été constitué par la société Y à partir d'une sélection opérée sur la consonance des noms des personnes figurant dans une base annuaire afin d'en déduire leur origine étrangère, supposée ou réelle. Il a par ailleurs été précisé que ce fichier comprenait de nombreuses adresses erronées et, qu'ainsi, il n'aurait été utilisé qu'une seule fois.

La Commission a rappelé qu'au regard de l'article 3 de la loi du 6 janvier 1978 modifiée, la société X est responsable de traitement, dans la mesure où elle a commandé et acheté le fichier d'adresses postales à la société Y à des fins de prospection commerciale.

La CNIL a également observé que l'utilisation d'un fichier d'adresses postales, pour la prospection de produits d'assurance destinés principalement à des ressortissants étrangers, constitué à partir de l'analyse de la consonance des noms ou prénoms des personnes était susceptible d'être contraire à l'article 8 de la loi du 6 janvier 1978 modifiée qui interdit, sauf en cas de consentement écrit de la personne concernée, de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques des personnes.

La Commission a par ailleurs constaté que les opérations de prospection menées par la société X durant l'année 2006 n'avaient pas fait l'objet des formalités préalables prévues par la loi.

En conséquence, la Commission a mis en demeure, par une délibération n° 2007-131 du 14 juin 2007, la société X, sise [...], dans un délai de quinze jours à compter de la notification de la décision (le 30 juillet 2007) :

- de procéder à l'accomplissement des formalités préalables concernant les traitements à vocation de prospection commerciale mis en œuvre ;

- d'apporter tous éléments garantissant que les traitements qu'elle met en œuvre ne portent pas sur des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques des personnes.

2. En réponse à la mise en demeure du 14 juin 2007, la société X a adressé à la CNIL, le 31 juillet 2007, un courrier auquel elle a joint un exemple de prospectus qu'elle utilise dans le cadre de ses opérations de prospection afin de démontrer qu'il n'est mentionné nulle part de données à caractère personnel faisant apparaître les origines raciales ou ethniques des personnes. La société X a également précisé qu'elle a effectué auprès de la Commission une déclaration normale relative à la gestion et à la prospection de contrats d'assurance.

3. Un rapport de sanction, proposé à la Commission, a été notifié à la société X par huissier le 14 décembre 2007 et par lettre recommandée avec accusé-réception le 19 décembre 2007. Il ressortait des conclusions du rapporteur qu'un des deux manquements à la loi du 6 janvier 1978 modifiée, identifiés par la CNIL, demeurait à l'issue des éléments apportés par la société X. Le rapporteur a également retenu la mauvaise foi de la société.

Le 21 janvier 2008, par courrier, la société X a adressé à la CNIL ses observations en réponse.

4. Dans sa proposition de sanction, le rapporteur de la CNIL a constaté que la société X a déposé, le 8 août 2007, une déclaration normale relative à la prospection et à la gestion des contrats d'assurance et qu'elle s'est bien conformée à la mise en demeure sur ce point.

5. S'agissant du manquement à l'interdiction de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques des personnes, le rapporteur a, au vu des éléments contractuels relevés lors de la mission de contrôle en date du 21 mai 2007 effectuée auprès de la société X, constaté que cette dernière a acheté en connaissance de cause un fichier qui contenait des adresses postales de personnes étrangères originaires d'Afrique et du Maghreb, figurant sur une base annuaire, qui auraient été sélectionnées à partir de la consonance de leurs nom et prénoms par la société Y.

Dans ses observations écrites en date du 21 janvier 2008 et orales, au jour de l'audience, la société X a rappelé ses procédures de recherche de prospects et a affirmé qu'elle ne constituait aucun fichier de personnes qui auraient été sélectionnées selon leurs origines raciales ou ethniques.

S'agissant plus précisément du fichier loué par la société Y, la société X a tout d'abord précisé que la facture, sur laquelle s'est fondé le rapporteur, mentionne une opération d'e-mailing et non une Location adresses postales FICHIER B2C Etrangers (Afrique, Maghreb), figurant sur le seul devis établi entre les deux sociétés.

La Commission considère que si l'objet Location adresses postales FICHIER B2C Etrangers (Afrique, Maghreb) du fichier concerné n'est effectivement inscrit que sur le devis, ce dernier vaut contrat dans la mesure où y figure la mention bon pour accord cachetée par la société X, ainsi que sur les conditions générales de vente. Les deux cocontractants, les sociétés X et Y, ont en effet convenu de la chose et du prix, et l'offre et l'acceptation se sont ainsi rencontrées.

La Commission observe que le devis de la société Y stipule expressément que le règlement du fichier concerné est effectué 100% à la commande. Il apparaît ainsi que la facture a été délivrée une fois la prestation conformément exécutée, au regard des éléments convenus dans le devis. Le montant du fichier d'adresses postales est d'ailleurs identique entre le devis et la facture de la société Y.

La société X a ensuite reconnu, dans ses observations écrites et orales en réponse au rapport de sanction, avoir commandé et loué le fichier contesté auprès de la société Y mais a précisé, d'une part, qu'il a été détruit et, d'autre part, qu'elle ne pouvait contrôler ni l'initiative prise par un de ses salariés d'acquérir le fichier concerné, ni les activités de la société Y.

La Commission entend rappeler que le I de l'article 3 de la loi du 6 janvier 1978 modifiée précise qu'est responsable de traitement la personne qui détermine sa finalité et ses moyens. Or, si la société Y a constitué un fichier à partir de données dont la collecte est contraire aux dispositions de la loi informatique et libertés, c'est la société X qui l'a acquis et utilisé. C'est cette dernière qui traite des données à caractère personnel faisant apparaître les origines raciales ou ethniques des personnes et est, à cet égard, responsable de traitement.

L'argument selon lequel la location du fichier aurait été initiée par un salarié de la société n'enlève en rien la qualité de responsable de traitement à la société X.

La Commission constate que la société X a bien acquis et utilisé un fichier faisant apparaître, directement ou indirectement, les origines raciales ou ethniques des personnes et considère par conséquent qu'elle ne s'est pas conformée à la mise en demeure du 14 juin 2007 sur ce point.

6. Dans sa proposition de sanction, le rapporteur de la CNIL a considéré que la société X était de mauvaise foi dans la mesure où, dans son premier courrier adressé le 24 novembre 2006 à la CNIL, elle a soutenu qu'elle ne faisait appel à aucun fichier extérieur s'agissant de ses opérations de prospection commerciale alors qu'elle avait acquis un fichier d'adresses postales auprès de la société Y.

Dans ses observations écrites et orales, la société X a affirmé qu'elle n'avait pas sciemment souhaité maintenir l'opacité de sa situation quant au fichier concerné mais qu'il s'agissait d'une erreur dans la mesure où elle ne se souvenait plus l'avoir utilisé. Elle a rappelé avoir détruit le fichier d'adresses postales acquis auprès de la société Y.

Le rapporteur a pris en considération ces éléments, lors de la l'audience, et a retiré de ses conclusions la mauvaise foi initialement retenue à l'encontre de la société X.

Il a été décidé par la formation restreinte de la CNIL de ne pas retenir la mauvaise foi.

7. La société X, dans ses observations écrites du 21 janvier 2008, a fait savoir à la Commission qu'une sanction pécuniaire d'un montant de 30.000 euros était disproportionnée, eu égard à son chiffre d'affaires. A ce titre, la société a produit de nombreux documents comptables en attestant.

La formation restreinte de la CNIL a tenu compte des informations communiquées par la société X.

En conséquence, la Commission décide de faire application des dispositions des articles 45 et suivants de la loi du 6 janvier 1978 modifiée le 6 août 2004 et de prononcer à l'encontre de la société X, sise [...], compte tenu de la gravité des manquements, une sanction pécuniaire de 15.000 euros (quinze mille euros), qui sera rendue publique.

Le président

Alex TURK





Nature de la délibération: SANCTION
Date de la publication sur legifrance: 13 décembre 2016