Décision du 14 juin 2017

Commission Nationale de l'Informatique et des Libertés
Décision n°du 14 juin 2017
Décision du 14 juin 2017 Clôture de la mise en demeure n°2015-050 à l'encontre de la société X
Etat: VIGUEUR

La Présidente

[ …]

Par porteur

Références à rappeler dans toute correspondance :

RGL/MDM151019/CTX 2015-017

Paris, le

Monsieur le Directeur général,

Je fais suite à la décision n° 2015-050 que j’ai prise le 24 juin 2015 mettant en demeure la société X.

Au regard des éléments de réponse apportés par vos courriers des 22 octobre 2015, 3 février 2016, 2 mars 2016, 19 octobre 2016 et 24 mars 2017, je vous informe que j’ai décidé de procéder à la clôture en l’état de votre dossier et de la procédure de contrôle n°2014-152C.

Je relève toutefois que s’agissant de l’accès au compte, il reste possible de renseigner un nombre important de fois un mot de passe erroné sans que cela n’entraine une restriction d’accès au compte. J’attire donc votre attention sur la nécessité de bien mettre en œuvre la mesure de blocage que vous avez annoncé.

A toutes fins utiles, je vous indique que les dispositions de l’article 32-I de la loi Informatique et Libertés ont été modifiées par la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique et imposent désormais d’indiquer aux personnes concernées la durée de conservation des catégories de données traitées ainsi que, sur les formulaires de collecte, le droit dont elles disposent de définir des directives relatives au sort de [leurs] données à caractère personnel après [leur] mort .

Je vous indique par ailleurs que si était constatée à l’occasion de vérifications ultérieures la persistance ou la réitération des manquements visés dans la mise en demeure, une procédure de sanction pourrait être engagée à l’encontre de votre organisme conformément aux articles 45 et suivants de la loi du 6 janvier 1978 modifiée. Dans cette hypothèse, je pourrais procéder à la désignation d’un rapporteur, qui vous serait notifiée, sans qu’une nouvelle mise en demeure ne vous soit adressée préalablement.

En tout état de cause, j’attire votre attention sur la nécessité de veiller au respect de la loi Informatique et Libertés qui participe à la protection des données à caractère personnel, droit fondamental reconnu à chaque personne.

A cette fin, je vous informe de l’application prochaine du règlement européen 2016/679 sur la protection des données (mai 2018), qui prévoit notamment l'obligation pour de nombreux organismes, sous peine de sanctions, de désigner un délégué à la protection des données.

Dans cette perspective, la désignation d’un correspondant Informatique et Libertés (CIL) contribue à réduire vos risques juridiques tout en bénéficiant de l’accompagnement de la CNIL et vous prépare d’ores et déjà aux obligations envisagées dans ce nouveau cadre de la protection des données personnelles.

Vous trouverez toutes les informations relatives au CIL (appelé à devenir délégué à la protection des données en mai 2018) sur le site de la CNIL (www.cnil.fr) ou en contactant le Service des CIL à l’adresse suivante correspondants@cnil.fr ou par téléphone au 01.53.73.22.22 (de 9h à 12h).

Le service des sanctions se tient à votre disposition pour tout renseignement complémentaire (M. X.)

Je vous prie d’agréer, Monsieur le Directeur général, l’expression de mes salutations distinguées.

Isabelle FALQUE-PIERROTIN

Date de la publication sur legifrance: 15 juin 2017