Délibération 2013-320 du 24 octobre 2013

Commission Nationale de l'Informatique et des Libertés
Délibération n°2013-320 du 24 octobre 2013
Délibération de la formation restreinte n°2013-320 du 24 octobre 2013 prononçant une sanction pécuniaire à l’encontre de la société X
Etat: VIGUEUR

La Commission nationale de l'informatique et des libertés, réunie en sa formation restreinte sous la présidence de Mme Claire DAVAL ;

Etant aussi présents M. Jean-François CARREZ, Mme Marie-Hélène MITJAVILE et M. Dominique RICHARD, membres ;

Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2011-334 du 29 mars 2011, notamment ses articles 45 et 46 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié par le décret n° 2007-451 du 25 mars 2007 ;

Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu la décision n° 2012-301C du 8 octobre 2012 de la Présidente de la Commission nationale de l'informatique et des libertés ordonnant une mission de vérification auprès de la société X, sise [...] ;

Vu l'ordonnance sur requête n°5/2012 adoptée le 20 novembre 2012 par le Juge des libertés et de la détention du Tribunal de grande instance de CARPENTRAS autorisant les agents contrôleurs de la Commission à accéder aux locaux de la société X ;

Vu les procès-verbaux de contrôle sur place n°2012-312 du 11 octobre 2012 et n°2012-312/2 du 22 novembre 2012, tous deux signés contradictoirement par la société ;

Vu la décision n°2013-003 du 4 mars 2013 de la Présidente de la Commission nationale de l'informatique et des libertés mettant en demeure la société X, notifiée par lettre recommandée avec accusé de réception à la société le même jour ;

Vu le rapport de M. Emmanuel de GIVRY, commissaire rapporteur, notifié par lettre recommandée avec accusé de réception à la fédération, le 14 août 2013 ;

Vu les autres pièces du dossier ;

Ayant entendu, lors de la séance de la formation restreinte du 10 octobre 2013 :
- M. Emmanuel de GIVRY, commissaire, en son rapport ;
- Mme Catherine POZZO DI BORGO, commissaire du Gouvernement adjoint, en ses observations ;

La société X n'ayant pas comparu ;

A adopté la décision dont la teneur suit :

I. FAITS ET PROCÉDURE

Le 26 avril 2011, la Commission nationale de l'informatique et des libertés (ci-après la "CNIL" ou la "Commission") a été saisie d'une plainte dénonçant le dispositif de vidéosurveillance installé dans les magasins de téléphonique mobile [...] exploités par les sociétés Y et X dirigées par le même gérant.

Dans le cadre de l'instruction de cette plainte, la Commission a interrogé ce gérant sur les caractéristiques principales de son dispositif de vidéosurveillance tout en lui rappelant ses obligations en sa qualité de responsable de traitement au sens de la loi du 6 janvier 1978 modifiée. En l'absence de réponse, la CNIL a réitéré ses demandes par courriers des 10 octobre 2011, 4 novembre 2011, 21 décembre 2011 et 16 février 2012.

Les courriers précités étant demeurés sans réponse, une délégation de la Commission s'est présentée le 11 octobre 2012 pour effectuer une mission de contrôle dans les locaux de la société sise à [...], en application de la décision de la Présidente n°2012-300C du 8 octobre 2012.

Une délégation de la Commission s'est présentée dans les locaux de la société le 11 octobre 2012 pour effectuer une mission de contrôle, en application de la décision de la Présidente n°2012-301C du 8 octobre 2012, les courriers précités étant demeurés sans réponse.

Le responsable des lieux s'étant opposé à cette mission, le Juge des libertés et de la détention près le Tribunal de grande instance de Carpentras, le 20 novembre 2012, a délivré l'autorisation de procéder à ce contrôle sans le consentement de l'intéressé. La délégation s'est donc de nouveau présentée dans les locaux de la société X pour procéder à un contrôle sur place, avec l'assistance de la force publique, le 22 novembre 2012.

Au vu des faits relevés lors de ce contrôle, la Présidente de la Commission a mis en demeure la société, dans un délai d'un mois, de régulariser sa situation au regard des divers manquements constatés.

N'ayant pas obtenu de réponse à la mise en demeure dans les délais impartis, la Présidente de la Commission a désigné M. Emmanuel de GIVRY, Commissaire, membre de la CNIL, en qualité de rapporteur, afin d'engager à l'encontre de la société une procédure de sanction fondée sur le I de l'article 45 de la loi du 6 janvier 1978 modifiée.

A l'issue de son instruction, considérant que la société avait manqué à plusieurs obligations lui incombant en application de la loi du 6 janvier 1978 modifiée, le rapporteur a établi un rapport détaillant ces manquements et demandant à la formation restreinte de la Commission de prononcer une sanction pécuniaire à son encontre. Le rapport a été notifié à la société par lettre recommandée avec accusé de réception, le 4 mars 2013.

La société n'a adressé aucune observation à la Commission ni au rapporteur en vue de la séance de la formation restreinte. Elle ne s'est par ailleurs pas présentée à la séance de la formation restreinte du 10 octobre 2013.

II. MOTIFS DE LA DÉCISION

1. Sur le manquement à l'obligation d'accomplir les formalités préalables à la mise en œuvre de traitements de données à caractère personnel

La Présidente de la Commission a mis en demeure la société de procéder à l'accomplissement des formalités applicables aux traitements qu'elle met en œuvre, afin de respecter les dispositions du chapitre IV de la loi n° 78-17 du 6 janvier 1978 modifiée, qui prévoient que "les traitements automatisés de données à caractère personnel doivent faire l'objet de formalités préalables auprès d'elle".

En effet, le contrôle diligenté le 22 novembre 2012 a permis d'établir que la société n'avait procédé à la déclaration du système de vidéosurveillance installé dans ses locaux auprès de la Commission, et qu'elle n'avait pas davantage déposé de demande d'autorisation préalable à la mise en œuvre du dispositif biométrique aux fins de gestion des contrôles d'accès à ses locaux. Elle ne pouvait pourtant ignorer cette exigence légale, ayant fait l'objet de deux relances à cet effet les 19 août 2011 et 16 février 2012.

Sur ce point, il est établi que la société n'avait pas régularisé sa situation au jour de l'audience.

La formation restreinte constate par conséquent qu'elle n'a pas respecté les termes correspondants de la mise en demeure.

2. Sur le manquement à l'obligation d'informer les personnes

La Présidente de la Commission a mis en demeure la société de justifier avoir procédé à une information de ses salariés quant à la mise en œuvre du dispositif de vidéosurveillance dans ses locaux, que ce soit de manière collective ou individuelle. Cette demande avait pour objet d'obtenir de la société qu'elle respecte les dispositions du I de l'article 32 de la loi du 6 janvier 1978 modifiée, qui prévoit que "le responsable de traitement doit fournir à la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant des informations sur l'identité du responsable du traitement, la finalité de ce traitement, le caractère obligatoire ou facultatif des réponses, les destinataires, les droits d'accès, de rectification et, le cas échéant, d'opposition aux données les concernant ainsi que des transferts de données envisagés à destination d'un Etat non-membre de la Communauté européenne".

La formation restreinte constate qu'il n'avait pas été établi que la société avait procédé à cette information au jour de l'audience, et que celle-ci a donc manqué aux exigences de la mise en demeure sur ce point.

3. Sur le manquement à l'obligation d'assurer la sécurité des données

La Présidente de la Commission a mis en demeure de respecter les dispositions de l'article 34 de la loi n°78-17 du 6 janvier 1978 modifiée, qui dispose que "le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès , le logiciel permettant de visualiser les images filmées par le dispositif de vidéosurveillance étant accessible sans identifiant ni mot de passe au jour du contrôle".

Or, la société n'ayant mis en place de telles mesures de sécurité, la formation restreinte constate qu'elle a manqué aux exigences de la mise en demeure sur ce point.

4. Sur le manquement à l'obligation de répondre aux demandes de la CNIL

La Présidente de la Commission a mis en demeure la société de respecter les dispositions de l'article 21 alinéa 2 de la loi du 6 janvier 1978 modifiée qui dispose que "les ministres, autorités publiques, dirigeants d'entreprises publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s'opposer à l'action de la commission ou de ses membres et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche".

En effet, la société a manqué à son obligation de coopération à plusieurs titres, notamment en refusant de réceptionner les nombreux courriers que la Commission lui a adressés par voie de recommandés avec accusé de réception afin de lui rappeler ses obligations en qualité de responsable de traitement. Ainsi, les courriers lui ayant été adressés les 10 octobre 2011, 4 novembre 2011 et 16 février 2012 ont été retournés avec la mention non réclamé ; celui du 21 décembre 2011 a quant à lui été refusé par la société. De même, le pli contenant la mise en demeure a été retourné à son expéditeur avec la mention "pli avisé et non réclamé".

La société a persévéré dans son refus de coopération en décidant de ne pas présenter d'observations écrites en défense et en ne se présentant pas le jour de l'audience.

La formation restreinte constate, dès lors, que la société n'a pas respecté les termes de la mise en demeure sur ce point.

Sur les manquements constatés et la publicité de la décision

La société X n'a pas respecté les termes de la mise en demeure de la Présidente de la Commission en date du 4 mars 2013 et ne s'est pas mise en mesure de respecter les dispositions de la loi n°78-17 du 6 janvier 1978 modifiée.

La formation restreinte décide par conséquent de prononcer à son encontre une sanction pécuniaire de 10 000 € (dix mille euros).

En outre, la formation restreinte décide de rendre cette décision publique afin d'informer le public des conséquences d'un refus manifeste de coopération avec la Commission.

PAR CES MOTIFS

Conformément aux articles 45 et suivants de la loi du 6 janvier 1978 modifiée, la formation restreinte de la CNIL, après en avoir délibéré, décide :

- De prononcer une sanction pécuniaire de 10.000 euros (dix mille euros) à l'encontre de la société X ;

- De rendre publique sa décision.


La Présidente,


Claire DAVAL


Cette décision est susceptible de faire l'objet d'un recours devant le Conseil d'Etat dans un délai de deux mois à compter de sa notification.




Nature de la délibération: SANCTION
Date de la publication sur legifrance: 10 janvier 2014