Délibération 2014-294 du 22 juillet 2014

Commission Nationale de l'Informatique et des Libertés
Délibération n°2014-294 du 22 juillet 2014
Délibération de la formation restreinte n° 2014-294 du 22 juillet 2014 prononçant une sanction pécuniaire publique à l’encontre de la société X
Etat: VIGUEUR

La Commission nationale de l'informatique et des libertés, réunie en sa formation restreinte sous la présidence de M. Jean-François CARREZ ;

Et

Composée de M. Alexandre LINDEN, Vice-président, Mme Marie-Hélène MITJAVILE, M. Sébastien HUYGHE, M. Claude DOMEIZEL et M. Maurice RONAI, membres ;

Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2011-334 du 29 mars 2011, notamment ses articles 45 et 46 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié par le décret n° 2007-451 du 25 mars 2007 ;

Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu la décision n° 2013-194C du 14 juin 2013 de la Présidente de la Commission nationale de l'informatique et des libertés ordonnant une mission de vérification auprès de la société X ;

Vu le procès-verbal de contrôle sur place n° 2013-198 du 20 juin 2013, signé contradictoirement par A en sa qualité de responsable des lieux ;

Vu la décision n° 2013-032 du 14 octobre 2013 de la Présidente de la Commission nationale de l'informatique et des libertés mettant en demeure la société X ;

Vu la décision de la Présidente de la Commission portant désignation d'un rapporteur, en date du 10 mars 2014 ;

Vu le rapport de Mme Marie-France MAZARS, commissaire rapporteur, adressé par lettre recommandée avec demande d'avis de réception à la société X, le 1er avril 2014 ;

Vu les autres pièces du dossier ;
Ayant entendu, lors de la séance de la formation restreinte du 22 mai 2014 :
- Mme Marie-France MAZARS, commissaire rapporteur, en son rapport ;
- M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations ;

A adopté la décision suivante :

I. FAITS ET PROCÉDURE

La société à responsabilité limitée X, créée en 2009, a pour activité la location de 36 véhicules de luxe.

Le 21 octobre 2012, la Commission nationale de l'informatique et des libertés (ci-après la CNIL ou la Commission) a été saisie d'une plainte émanant d'un client de la société X (ci-après désignée la société) dénonçant la géolocalisation, à l'insu des clients, des véhicules de luxe mis en location par cette société. Une copie d'un extrait des conditions générales de location longue durée de la société datées de 2011 était jointe à cette plainte.

Le 20 décembre 2012, la CNIL a adressé un courrier au gérant de la société en appelant son attention sur les dispositions de la loi du 6 janvier 1978 modifiée s'appliquant à la mise en œuvre d'un dispositif de géolocalisation, notamment ses articles 6 et 32.

Sans réponse de la société, la Commission lui a adressé deux courriers de relance par lettre recommandée avec accusé de réception, réceptionnés les 22 janvier 2013 et 11 mars 2013. Ces deux derniers courriers sont également demeurés sans réponse.

Aussi en application de la décision n° 2013-194C du 14 juin 2013 de la Présidente de la CNIL, une délégation s'est rendue sur place le 20 juin 2013 afin d'effectuer une mission de contrôle auprès de la société X.

La délégation s'est attachée à vérifier la conformité de l'ensemble des traitements de données à caractère personnel mis en œuvre par la société aux dispositions de la loi n°78-17 du 6 janvier 1978 modifiée.

S'agissant du dispositif de géolocalisation, la délégation a constaté que 36 véhicules sans chauffeur sont proposés à la location et enregistrés dans ledit dispositif, qui ne dispose d'aucun système de désactivation et dont les plages d'utilisation sont paramétrées pour un usage 24h/24 et 7 jours/7. Elle a également relevé que diverses données (notamment de temps et de lieu) étaient enregistrées dans la base, dont les plus anciennes datent du 22 avril 2013, et que seule une information orale sur l'existence du dispositif de géolocalisation serait délivrée au client. En outre, la délégation a relevé que pour accéder au logiciel de géolocalisation de la société, la combinaison d'un identifiant et d'un mot de passe composé de 12 caractères alphanumériques est nécessaire mais que le mot de passe est resté inchangé depuis l'installation de ce dispositif, soit environ depuis plus de deux ans.

S'agissant de la gestion de la clientèle, la délégation a été informée qu'aucun logiciel spécifique n'est utilisé par la société, cette gestion se faisant essentiellement sur support papier à l'exception de certains contrats pré-remplis qui sont enregistrés dans des dossiers informatisés. La délégation a effectivement constaté qu'étaient enregistrés dans certains dossiers informatiques des contrats pré-remplis, des extraits K-bis de sociétés, des copies de permis de conduire ou des pièces d'identité comprenant des données nominatives de clients dont le traitement n'a fait l'objet d'aucune formalité.

Au vu des faits constatés, la Présidente de la Commission a décidé le 14 octobre 2013 de mettre en demeure la société X, sous un délai de deux mois à compter de la notification de la décision, de procéder aux formalités préalables pour les traitements relatifs à la géolocalisation et à la gestion des clients, de limiter la collecte des données de géolocalisation aux situations de non restitution et de vols, d'informer les clients de la mise en œuvre des deux traitements précités et de définir une politique sécurisée de gestion des mots de passe.

Cette mise en demeure, notifiée à la société par lettre recommandée avec demande d'avis de réception le 30 mai 2013, est demeurée sans réponse.

Aussi au regard de l'ensemble de ces éléments, la Présidente de la Commission a désigné comme rapporteur le 10 mars 2014 Madame Marie-France MAZARS, sur le fondement de l'article 46 de la loi du 6 janvier 1978 modifiée.

A l'issue de son instruction, considérant que la société avait manqué à ses obligations lui incombant en application de la loi du 6 janvier 1978 modifiée, le rapporteur lui a notifié, le 1er avril 2014, un rapport détaillant les manquements à la loi qu'il estimait constitués en l'espèce. Au vu de celui-ci, le rapporteur a proposé à la formation restreinte de la Commission de prononcer à son encontre une sanction pécuniaire de 5 000 € qui serait rendue publique.

Était également jointe au rapport une convocation à la séance de la formation restreinte du 22 mai 2014 indiquant à la société le délai dont elle disposait pour communiquer ses observations écrites.

La société n'a pas produit d'observations écrites en défense et n'était ni présente ni représentée lors de la séance de la formation restreinte.

II. MOTIFS DE LA DÉCISION

1. Sur les manquements à l'obligation d'accomplir les formalités préalables à la mise en œuvre de traitements

Le chapitre IV de la loi n° 78-17 du 6 janvier 1978 modifiée prévoit l'accomplissement de formalités préalablement à la mise en œuvre d'un traitement de données à caractère personnel.

L'obligation pour un responsable de traitement de procéder à de telles formalités pour les traitements qu'il met en œuvre a été rappelée à la société par la mise en demeure du 14 octobre 2013. Cette décision lui a en effet enjoint, d'une part, de procéder à une déclaration normale s'agissant de la mise en œuvre du traitement relatif à la géolocalisation des véhicules loués par les clients, d'autre part, de procéder aux formalités adéquates concernant la mise en œuvre du traitement informatisé relatif à la gestion des clients.

La formation restreinte relève que la société ne s'est pas mise en conformité avec la mise en demeure qui lui a été notifiée et n'a par ailleurs pas présenté d'observations en défense, qu'elles soient écrites ou orales, sur le rapport de sanction qui lui a été adressé afin de justifier de quelconques mesures prises à ce sujet.

S'agissant, d'une part, du traitement relatif au dispositif de géolocalisation, la formation restreinte relève que si la société a effectué un engagement de conformité à la norme simplifiée n° 51 le 11 décembre 2008, ce texte ne concerne toutefois que la géolocalisation des véhicules utilisés par des salariés pour l'exercice de leur activité professionnelle et non la géolocalisation de véhicules loués à des clients. La formation restreinte relève ainsi que, les dispositions de la norme simplifiée n° 51 n'étant pas applicables en l'espèce, l'engagement de conformité à cette norme effectué par la société ne permet pas de considérer comme accomplie la formalité préalable à la mise en œuvre du traitement. Elle rappelle à cet égard qu'il incombe au responsable de traitement de s'assurer avant tout engagement de conformité à une norme simplifiée que sa situation lui permet d'en revendiquer le bénéfice.

S'agissant, d'autre part, du traitement relatif à la gestion de la clientèle à l'aide de dossiers informatisés comprenant des données nominatives de clients, la formation restreinte relève que la société, malgré la mise en demeure du 14 octobre 2013, n'a accompli aucune formalité préalablement à sa mise en œuvre.

La formation restreinte considère donc que les faits précités, s'agissant des deux traitements mis en œuvre, constituent des manquements aux obligations résultant des dispositions du chapitre IV de la loi n° 78-17 du 6 janvier 1978 et que la société n'a pas respecté les termes de la mise en demeure qui lui a été adressée.

2. Sur le manquement à l'obligation de veiller à l'adéquation, à la pertinence et au caractère non excessif des données

L'article 6 de la loi n° 78-17 du 6 janvier 1978 modifiée dispose qu'un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : (...) 3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.

Il résulte des circonstances de fait de l'espèce que le dispositif de géolocalisation est paramétré pour un usage 24h/24 et 7 jours/7, sans possibilité de désactivation. La formation restreinte relève en conséquence que le véhicule utilisé ou stationné par les clients peut être géolocalisé à tout moment par le gérant de la société, qui peut ainsi connaître en temps réel la position de chacun de ses 36 véhicules et reconstituer le parcours emprunté par ses clients à partir d'un accès web sur le poste de travail situé à l'accueil de la société.

Un tel dispositif permet ainsi de recueillir et traiter de nombreuses données, notamment de temps et de lieu, qui sont excessives au regard des finalités pour lesquelles elles sont collectées et traitées. La formation restreinte relève à ce titre que la mise en demeure adressée à la société, à laquelle cette dernière n'a cependant donné aucune suite, n'avait pas pour objet d'interdire la mise en œuvre du traitement mais seulement de limiter la collecte des données de géolocalisation aux situations de non restitution ou de vol des véhicules.

Aussi la formation restreinte estime t'elle, à supposer même que la finalité de ce dispositif soit de lutter contre la non restitution ou le vol des véhicules de la société, que la permanence de la géolocalisation est excessive dans les circonstances de l'espèce. En effet, eu égard en particulier à son caractère intrusif et au droit d'un individu à la protection de ses données personnelles et de sa vie privée, l'activation du dispositif n'apparait strictement nécessaire que dans une situation de non-restitution du véhicule ou de déclaration de vol de la part d'un client.

La formation restreinte considère donc en l'espèce qu'en ne limitant pas la collecte des données de géolocalisation aux situations de non restitution ou de vol des véhicules, la société a manqué aux exigences de la mise en demeure sur point.

3. Sur le manquement à l'obligation d'informer les personnes

Le I de l'article 32 de la loi n° 78-17 du 6 janvier 1978 modifiée dispose que La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l'a été au préalable, par le responsable du traitement ou son représentant : / 1° De l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ; / 2° De la finalité poursuivie par le traitement auquel les données sont destinées ; / 3° Du caractère obligatoire ou facultatif des réponses ; / 4° Des conséquences éventuelles, à son égard, d'un défaut de réponse ; / 5° Des destinataires ou catégories de destinataires des données ; / 6° Des droits qu'elle tient des dispositions de la section 2 du présent chapitre ; / 7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne. / Lorsque de telles données sont recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions figurant aux 1°, 2°, 3° et 6° .

En l'espèce, il ressort du rapport de sanction et de la mise en demeure que la société, selon les indications qu'elle a porté à la connaissance de la délégation de contrôle, informerait oralement ses clients, lors de la remise des clés du véhicule, qu'un dispositif de géolocalisation de celui-ci est mis en œuvre.

La formation restreinte relève toutefois qu'il ne ressort d'aucune pièce du dossier, qu'une telle information est effectivement délivrée aux clients de ladite société.

La formation restreinte considère donc que la société n'établit pas ses allégations quant à la satisfaction à son obligation d'information. Elle relève également qu'il n'est pas établi que cette information est délivrée aux clients par la transmission et/ou la signature d'un quelconque document écrit. Si des mentions Informatique et Libertés sont certes présentes à l'article 27 des Conditions générales de location longue durée [...], celles-ci sont néanmoins rédigées en des termes généraux qui, en tout état de cause, ne font à aucun moment référence à la mise en œuvre d'un dispositif de géolocalisation concernant le véhicule loué par le client. Elle relève, par ailleurs, que les conditions générales de location de véhicule sans chauffeur sont dépourvues de toute référence à la loi Informatique et Libertés et à la mise en œuvre du dispositif de géolocalisation.

Aussi, dans ces conditions, la formation restreinte considère que la société n'apporte pas la preuve qui lui incombe de ce que les clients qui louent ses véhicules sont dûment informés, préalablement à la remise des clés, de la mise en œuvre du traitement de géolocalisation. Elle relève également, s'agissant du traitement des données nominatives des clients qui seraient contenues dans les dossiers informatisés, que la société n'établit pas davantage satisfaire à son obligation d'information préalable.

En conséquence, la formation restreinte considère que la société a manqué à son obligation d'information préalable, en ne se conformant pas aux exigences de la mise en demeure sur ce point.

4. Sur le manquement à l'obligation d'assurer la sécurité des données

L'article 34 de la loi n° 78-17 du 6 janvier 1978 modifiée dispose notamment que Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Il résulte des circonstances de fait de l'espèce que la délégation de contrôle de la CNIL a pu accéder au logiciel de géolocalisation par un accès web à partir d'un poste de travail situé à l'accueil de la société. Il est également constant que l'accès à ce logiciel nécessite une authentification individuelle constituée d'un identifiant et d'un mot de passe composé de 12 caractères alphanumériques, non renouvelé depuis sa mise en place il y a plus de deux ans.

La formation restreinte relève que la sécurité du dispositif d'authentification mis en place par la société n'est pas en conformité avec les exigences de la Commission relatives à la politique qui doit être adoptée et mise en œuvre par les responsables de traitement concernant la gestion des mots de passe. En effet, si le mot de passe utilisé pour l'accès au logiciel de géolocalisation comporte un nombre satisfaisant de caractères alphanumériques, il n'a cependant jamais été changé en plus de deux ans alors qu'il doit être renouvelé régulièrement et n'a, par ailleurs, pas été conçu avec une complexité suffisante, c'est-à-dire en comportant au moins trois des quatre caractères suivants : alphabétiques majuscules, minuscules, numériques et spéciaux.

Au regard des risques d'atteinte à la sécurité et à la confidentialité des données résultant de l'utilisation d'un mot de passe tel que constitué en l'espèce, la formation restreinte considère que la société n'a pas respecté la mise en demeure et a manqué à son obligation d'assurer la sécurité des données prévue par l'article 34 de loi du 6 janvier 1978 modifiée.


5. Sur le manquement à l'obligation de coopérer avec la CNIL

L'article 21 de la loi du 6 janvier 1978 modifiée dispose notamment que Les ministres, autorités publiques, dirigeants d'entreprises publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s'opposer à l'action de la commission ou de ses membres et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche.

La formation restreinte relève en l'espèce que la société n'a jamais répondu aux nombreux courriers qui lui ont été adressés par la CNIL, notamment ceux adressés par voie de lettres recommandées avec demande d'avis de réception.

En effet, d'une part, les courriers de relance en date des 17 janvier et 8 mars 2013, rappelant d'ailleurs les termes de l'article 21 de la loi du 6 janvier 1978 modifiée, ont été notifiés respectivement les 22 janvier et 11 mars 2013 à la société, mais n'ont suscité aucune réaction de sa part. D'autre part, la mise en demeure du 14 octobre 2013, notifiée le 16 octobre suivant à la société, est demeurée sans réponse de sa part.

La formation restreinte considère donc que la société, sciemment ou par négligence, en ne donnant pas suite aux nombreuses correspondances qu'a pris soin de lui adresser la Commission pour lui demander en particulier de mettre fin aux manquements constatés mais également pour lui rappeler ses obligations en sa qualité de responsable de traitement, a fait peu de cas de l'action de la Commission.

Elle n'a par ailleurs donné aucune suite à la mise en demeure qui lui a été adressée. La formation restreinte constate, dès lors, que la société n'a pas respecté les termes de la mise en demeure s'agissant de l'obligation de coopération avec la CNIL.

6. Sur la sanction et la publicité

La formation restreinte relève que les cinq manquements constatés, à l'origine de la mise en demeure et de l'introduction de la procédure de sanction, sont tous constitués en l'espèce.

Elle relève en particulier la gravité, constituée par l'atteinte aux droits et libertés des clients garantis par la loi du 6 janvier 1978 modifiée et la Constitution, de la mise en œuvre d'un dispositif de géolocalisation sans formalité et information préalables, de manière permanente c'est-à-dire de manière excessive par rapport au but en vue duquel le traitement est mis en œuvre. Elle relève en outre que la société n'a pas collaboré pleinement et utilement avec la CNIL dans le cadre de l'instruction par ses services mais également dans le délai qui lui était imparti par la mise en demeure pour mettre fin aux manquements constatés.

Par conséquent, compte tenu de ces nombreux et divers manquements ainsi que de la gravité de ceux-ci au regard de l'atteinte portée aux droits et libertés des clients, la formation restreinte décide de prononcer une sanction pécuniaire de 5 000 € à l'encontre de la société et de rendre publique sa décision.

PAR CES MOTIFS

La formation restreinte de la CNIL, après en avoir délibéré, décide :
- De prononcer une sanction pécuniaire d'un montant de 5 000 € à l'encontre de la société X ;
- De rendre publique sa décision sur le site Internet de la CNIL et sur le site Légifrance.

Le Président

Jean-François CARREZ

Cette décision est susceptible de faire l'objet d'un recours devant le Conseil d'Etat dans un délai de deux mois à compter de sa notification.




Nature de la délibération: SANCTION
Date de la publication sur legifrance: 29 juillet 2014