Délibération 2014-293 du 17 juillet 2014

Commission Nationale de l'Informatique et des Libertés
Délibération n°2014-293 du 17 juillet 2014
Délibération de la formation restreinte n° 2014-293 du 17 juillet 2014 prononçant une sanction pécuniaire à l’encontre de la Fédération X
Etat: VIGUEUR

La Commission nationale de l'informatique et des libertés, réunie en sa formation restreinte sous la présidence de M. Jean-François CARREZ ;

Et

Composée de M. LINDEN, Vice-président, M. Sébastien HUYGUE et M. Maurice RONAI, membres ;

Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2011-334 du 29 mars 2011, notamment ses articles 45 et suivants ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié par le décret n° 2007-451 du 25 mars 2007 ;

Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu la saisine n° 11016307 du 22 juin 2011 ;

Vu la décision n° 2012-190C du 5 juin 2012 de la Présidente de la Commission nationale de l'informatique et des libertés ordonnant une mission de vérification auprès de la Fédération X ;

Vu les procès-verbaux de contrôle sur place n° 2012-212/1 et n° 2012-212/2, respectivement des 20 et 21 juin 2012, tous deux signés contradictoirement par la Fédération X ;

Vu la décision n° 2012-044 du 19 décembre 2012 de la Présidente de la Commission nationale de l'informatique et des libertés mettant en demeure la Fédération X ;

Vu la décision de la Présidente de la Commission portant désignation d'un rapporteur, en date du 24 février 2014 ;

Vu le rapport de M. Eric PERES, commissaire rapporteur, notifié à la Fédération X adressé par porteur contre reçu le 5 mars 2014 ;

Vu les observations écrites versées par la Fédération X le 7 avril 2014, ainsi que les observations orales formulées lors de la séance de la formation restreinte ;

Vu les autres pièces du dossier ;

Ayant entendu, lors de la séance de la formation restreinte du 10 avril 2014 :
- M. Eric PERES, commissaire, en son rapport ;
- Mme Catherine POZZO DI BORGO, Commissaire du Gouvernement adjoint, en ses observations ;
- M. X de la Fédération X ;
- Mme Y de la Fédération X ;
- M. Z de la Fédération X ;
- Me XX, Avocat, conseil de la Fédération X, en leur défense ;
Les représentants de la Fédération X ayant pris la parole en dernier ;

A adopté la décision suivante :

I. FAITS ET PROCEDURE

La Fédération X, (ci-après X, ou la Fédération), est une association reconnue d'utilité publique et régie par la loi de 1901 qui a pour objet d'organiser, développer et contrôler la pratique de [...]. Elle regroupe environ 240.000 licenciés actifs, répartis sur 2.000 clubs affiliés.

En application de la décision la présidente de la Commission nationale de l'informatique et des libertés (ci-après la Commission ou la CNIL), une mission de contrôle a été diligentée dans les locaux de X, les 20 et 21 juin 2012 dans le cadre du programme annuel des contrôles en matière de sport. Le contrôle a permis en outre d'aborder une saisine du 22 juin 2011, en cours d'instruction auprès de la CNIL. La plaignante souhaitait obtenir la suppression des résultats sportifs, sur le site web de X, de son enfant mineur licencié auprès de la Fédération.

La délégation de contrôle s'est notamment attachée à contrôler les traitements de données à caractère personnel relatifs à la gestion des licenciés et des participants à des compétitions sportives.

En raison des manquements relevés, la Présidente de la CNIL a notifié le 14 février 2013 une mise en demeure à X de se conformer aux dispositions de la loi du 6 janvier 1978 modifiée, dans un délai de deux mois.

Par courrier réceptionné le 15 avril 2013, la Fédération a répondu à cette mise en demeure et sollicitait une réunion avec la CNIL, laquelle lui a été accordée le 14 juin 2013 en raison de la complexité du dossier.

Faisant suite à cette réunion, par courrier du 18 juillet 2013, la Présidente de la CNIL a adressé un courrier de demande de compléments d'information à la Fédération auquel cette dernière a répondu par courrier reçu le 19 septembre 2013.

En l'absence de conformité complète à l'issue du délai prorogé et considérant que les réponses de la Fédération n'étaient pas satisfaisantes, la Présidente de la Commission a décidé d'initier une procédure de sanction à l'encontre de la Fédération. A cet effet, elle a désigné M. Eric PERES en qualité de rapporteur, le 24 février 2014, sur le fondement de l'article 46 de la loi du 6 janvier 1978 modifiée.

A l'issue de son instruction, considérant que la Fédération avait manqué à plusieurs obligations lui incombant en application de la loi du 6 janvier 1978 modifiée, le rapporteur a notifié, par porteur, à la Fédération le 5 mars 2014, un rapport détaillant les manquements à la loi qu'il estimait constitués en l'espèce. Ce rapport proposait à la formation restreinte de la Commission de prononcer à l'encontre de X une sanction pécuniaire d'un montant de 5.000 €, dont il sollicitait par ailleurs qu'elle soit rendue publique.

Etait également jointe au rapport une convocation à la séance de la formation restreinte du 10 avril 2014 indiquant à la Fédération qu'elle disposait d'un délai d'un mois pour communiquer ses observations écrites.
La Fédération a produit par courrier daté du 3 avril 2014, des observations écrites sur le rapport, réitérées oralement lors de la séance de la formation restreinte du 10 avril 2014.

II. MOTIFS DE LA DECISION

1. Sur le manquement à l'obligation d'informer les personnes

L'article 32-I de la loi n° 78-17 du 6 janvier 1978 modifiée impose l'obligation pour le responsable du traitement de fournir à la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant des informations notamment sur l'identité du responsable du traitement, la finalité de ce traitement, les destinataires, leurs droits d'accès, de rectification et, le cas échéant, d'opposition aux données les concernant.

Le contrôle a permis d'établir que les sportifs participant à des compétitions [...] n'étaient pas informés de la publication de leurs résultats sur le site web de la Fédération, ce qui, dès lors, ne leur permettait pas de s'opposer à une telle publication.

En réponse à la mise en demeure de la Présidente de la CNIL, s'agissant des licenciés, la Fédération a fait valoir qu'elle avait procédé à leur information par courriel à l'occasion de l'envoi annuel de la licence dématérialisée. S'agissant des non-licenciés, qui représentent selon elle environ 3 millions de personnes, elle soutenait qu'il lui était matériellement impossible de les informer du traitement relatif à la publication de leurs résultats sur le site web de X, et des droits qu'ils détiennent en application de l'article 32 de la loi du 6 janvier 1978 modifiée. Elle s'est toutefois engagée à faire ses meilleurs efforts pour que les organisateurs des compétitions procèdent eux-mêmes à l'information des personnes.

Dans l'optique d'informer les non-licenciés, la Fédération a expliqué qu'elle distinguait trois types d'organisateurs afin de déterminer les modalités d'information envisageables.

Afin que les organisateurs labellisés par X, qui s'engagent à respecter le cahier des charges de la Fédération, soient contraints d'informer les sportifs de la publication de leurs résultats sur le site web de X, cette dernière a introduit une mention les y astreignant dans le cahier des charges.

S'agissant des organisateurs affiliés mais non labellisés, tels que les clubs, la Fédération a précisé qu'elle modifierait ses règlements généraux afin d'y indiquer que tout adhérent accepte la publication de ses données relatives aux compétitions et qu'il a la possibilité de s'y opposer pour des motifs légitimes. Toutefois, il est constant que les non-licenciés ne prennent pas systématiquement connaissance des règlements généraux qui sont principalement destinés aux licenciés et qu'en tout état de cause la mention d'information proposée était incomplète.

Au jour de l'audience, la Fédération a finalement informé la formation restreinte qu'elle avait pu réunir son assemblée générale aux fins de délibération sur la modification de ses règlements généraux. Elle a ainsi affirmé que désormais ces règlements contraignaient les clubs affiliés à informer les sportifs participants aux compétitions du traitement de publication de leurs résultats.

La formation restreinte prend acte de ces correctifs, bien qu'ils interviennent tardivement, et relève que ces derniers ne constituent pas un effort disproportionné au sens de l'article32-III de la loi du 6 janvier 1978 modifiée.

S'agissant enfin des organisateurs ni affiliés, ni labellisés, tels que les organismes privés ou les comités des fêtes, la Fédération après avoir indiqué qu'il était possible de délivrer l'information aux sportifs au moment de l'inscription des compétitions au calendrier de X, est revenue sur ses propos en soulignant qu'il était matériellement et financièrement impossible d'imposer à ces organisateurs d'informer les sportifs. Par ailleurs, X a indiqué à l'audience qu'elle diffuserait prochainement une charte Informatique et Libertés sur son site web et qu'elle génèrerait automatiquement, au sein de la rubrique calendrier, une fenêtre d'information relative à l'obligation d'informer les sportifs quant au traitement de publication de leurs données.

Si la formation restreinte en prend acte, elle relève néanmoins que le manquement persistait à l'expiration du délai de la mise en demeure, ainsi d'ailleurs qu'au jour de l'audience.

En outre, au regard de la nature des mesures correctives annoncées par X, la formation restreinte observe, conformément aux dispositions de l'article 32-III de la loi du 6 janvier 1978 modifiée, que le fait d'imposer aux organisateurs de procéder à cette information ne se révélait pas impossible et considère que cela ne constitue pas un effort disproportionné par rapport à l'intérêt de la démarche, en particulier pour que les personnes concernées sachent que des données les concernant sont diffusées sur internet.

La formation restreinte estime qu'en l'absence d'une information délivrée aux sportifs licenciés et non licenciés, ces derniers ne sont pas en mesure d'exercer leurs droits et notamment le droit de s'opposer au traitement relatif à la publication de leurs résultats sportifs sur le site web de X. Elle considère en effet qu'il est primordial de garantir l'exercice du droit d'opposition et qu'une telle garantie ne peut être apportée que par la délivrance d'une information en amont, d'autant que la diffusion de données sur internet est considérée comme plus intrusive que tout autre moyen hors ligne du fait notamment que l'accessibilité en tout lieu et à tout moment par n'importe quel utilisateur est facilitée et que divers traitements ultérieurs des données sont possibles.

Enfin, la formation restreinte relève que la Fédération ne s'est pas mise en mesure de respecter les termes de la mise en demeure de la Présidente de la CNIL à l'expiration du délai qui lui était imparti. Elle retient en outre que si des actions correctives ont été mises en œuvre par X, il n'en reste pas moins que ces correctifs aux fins de conformité ne sont intervenus qu'un an plus tard et ne peuvent être imputés qu'à la procédure de sanction initiée à son encontre.

La formation restreinte considère que la Fédération X n'a pas respecté les dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée, et qu'en conséquence le manquement est constitué.

2. Sur le manquement à l'obligation d'assurer la sécurité et la confidentialité des données

L'article 34 de la loi du 6 janvier 1978 modifiée dispose que Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Il appartient à la formation restreinte de décider si la Fédération X a manqué à l'obligation lui incombant de mettre en œuvre des moyens propres à assurer la sécurité des données des personnes contenues dans son système d'information et, en particulier de ses licenciés, notamment afin que ces données ne soient pas accessibles à des tiers non autorisés.

Sur la base des constatations effectuées à l'occasion du contrôle, la mise en demeure relève de nombreux manquements à l'article 34 de la loi du 6 janvier 1978 modifiée. Il a été notamment établi, sans que cela soit contesté, que la sécurité du système d'information de X, qui comprend environ 1 million de personnes, et de l'espace personnel de l'athlète sur le site web X était insuffisante et que l'envoi des données des licenciés à des prestataires s'effectuait de manière non sécurisée.
En réponse à cette mise en demeure, la Fédération a fait valoir qu'elle avait adopté un certain nombre de mesures visant à corriger ces défaillances. Si à l'expiration du délai initial de la mise en demeure, il est constant que la Fédération s'est mise en conformité concernant la majorité des manquements relevés à l'article 34 de la loi du 6 janvier 1978 modifiée, il n'est pas contestable que la pleine conformité n'était pas obtenue, en particulier s'agissant de la robustesse des mots de passe permettant d'accéder au système d'information de X.

La Fédération se défend en considérant que les manquements les plus importants relevant de l'article 34 de la loi susmentionnée ont été régularisés. Elle a indiqué à la Commission par courrier reçu le 19 septembre 2013 [qu'elle étudiera] la possibilité de rendre les mots de passe plus robustes concernant la longueur ; cependant ce point ne constitue pas une priorité pour X. Elle a ajouté qu'eu égard à la lourdeur des modifications techniques nécessaires, X estime qu'un délai d'un an au maximum semble opportun.

Pourtant, au jour de l'audience, X a indiqué être en pleine conformité à l'article 34 de la loi susmentionnée et n'a pas invoqué avoir rencontré des difficultés particulières pour justifier l'absence de mesures prises dans le délai imparti par la mise en demeure. En outre, force est de constater que cette mise en conformité ne découle que de l'initiation d'une procédure de sanction.

Au vu de ce qui précède, la formation restreinte estime que la modification des paramètres afin d'imposer une robustesse et un renouvellement des mots de passe permettant l'accès aux systèmes d'information sont des mesures de sécurité élémentaires. Il n'est pas contestable que la Fédération a mis plus d'un an à appliquer un niveau de sécurité satisfaisant permettant de protéger les données des personnes contenues dans son système d'information. Pourtant, la Commission a fait part de ses exigences à plusieurs reprises, au cours du contrôle diligenté auprès de X, à l'occasion de la mise en demeure de se conformer à la loi, au cours d'une correspondance nourrie et de la réunion qui s'est tenue avec la Fédération afin de permettre à X de respecter les exigences de sécurité et de confidentialité qui lui incombaient, et ce avant même toute initiation de procédure contentieuse.

En considération du délai prorogé par la Présidente de la CNIL aux fins de conformité, la formation restreinte considère que X a manqué de réactivité et a fait preuve de légèreté s'agissant de la mise en œuvre de correctifs permettant de se conformer aux exigences de l'article 34 de la loi susmentionnée.

Sur la base de ces éléments, la formation restreinte constate que la Fédération X n'a pas respecté les dispositions de l'article 34 de la loi du 6 janvier 1978 modifiée.

Elle estime par conséquent que le manquement est constitué.

3. Sur la sanction et la publicité

La formation restreinte retient que la Fédération X n'a pas respecté les termes de la mise en demeure de la Présidente de la Commission en date du 19 décembre 2012 et ne s'est pas mise en mesure de respecter les dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée, en particulier ses articles 32 et 34.

Il est indifférent que la Fédération X assume une mission de service public pour l'application de l'article 45 de la loi du 6 janvier 1978 modifiée. Par conséquent, la formation restreinte décide de prononcer à son encontre une sanction pécuniaire prévue aux articles 45 et suivants de la loi susmentionnée.

Au regard du nombre de personnes et du nombre de données concernées, du manque de réactivité de la Fédération et des manquements persistants à l'issue de l'expiration du délai de la mise en demeure, la formation restreinte décide de rendre cette décision publique.


PAR CES MOTIFS

La formation restreinte de la CNIL, après en avoir délibéré, décide :
- De prononcer une sanction pécuniaire à l'encontre de la Fédération X d'un montant de 3.000 € ;
- De rendre publique sa décision sur le site Internet de la CNIL et sur le site Légifrance.

Le Président

Jean-François CARREZ



Cette décision est susceptible de faire l'objet d'un recours devant le Conseil d'Etat dans un délai de deux mois à compter de sa notification.




Nature de la délibération: SANCTION
Date de la publication sur legifrance: 29 juillet 2014