Délibération 2006-173 du 28 juin 2006

Délibération prononçant une sanction pécuniaire à l'encontre de la SCP X

La Commission nationale de l'informatique et des libertés, réunie en formation restreinte, sous la présidence de M. Alex TURK, président ;

Etant aussi présents M. Guy Rosier, vice-président délégué, M. François Giquel, vice-président, M. Hubert Bouchet, membre, Mlle Anne Debet, membre et M. Bernard Peyrat, membre ;

Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans sa rédaction antérieure à la loi du 6 août 2004 ;

Vu la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ;

Vu la délibération n° 2006-011 adoptée par la CNIL le 24 janvier 2006 ;

Vu la saisine n° 05012064 ;

Vu le rapport de M. Francis Delattre, commissaire, notifié à la SCP X le 10 avril 2006 et les observations en réponse reçues les 14 avril, 21 avril et 2 juin 2006.

Après avoir entendu, lors de la réunion du 28 juin 2006, M. Francis Delattre, commissaire, en son rapport et Mme Pascale Compagnie, commissaire du Gouvernement, en ses observations.

Après avoir entendu, lors de la réunion du 28 juin 2006, les observations orales de Maître X, huissier de justice, celui-ci ayant pris la parole en dernier.

Constate les faits suivants :

1. Le 17 juillet 2005, la CNIL a été saisie d'une plainte attirant son attention sur les pratiques d'une étude d'huissiers de justice qui avait signifié au requérant, le 21 juin 2005, une injonction de payer qui, à coté de l'identité du débiteur, comportait la mention "méchant imbécile".

Les 24 et 25 novembre 2005, une délégation de la CNIL s'est rendue dans les locaux de l'étude afin de procéder à une mission de contrôle sur place et vérifier le contenu des fichiers utilisés par cette étude s'agissant, notamment, de l'utilisation de zones "bloc-notes".

La délégation de la CNIL a procédé le 25 novembre 2005 à une extraction sur support papier des données enregistrées dans la base de données "clients" dénommée "Arche" ainsi que sur cd-rom pour la sauvegarde mensuelle du mois d'août 2005.

Elle a relevé l'existence de nombreux commentaires sur les fiches informatiques des débiteurs sans lien direct avec la finalité du traitement et dénués de toute pertinence ou objectivité. Ces commentaires faisaient, notamment, référence à l'état de santé des personnes, à leurs traits de caractère ou à l'existence de mesures à caractère pénal comme par exemple : "séropositif depuis 23 ans", "ex policier accusé de vol puis relaxé", "déprime", "opération cancer des intestins", "incarcéré Baumettes attend liberté conditionnée", "tentative de suicide", "odieuse", "connasse", etc.

Il est également apparu que des données différentes étaient enregistrées dans la cassette de sauvegarde et dans le listing papier pour les mêmes dossiers. Ainsi par exemple, dans le dossier n° 050119, le listing papier indiquait dans la zone "bloc-notes" : "pensionné COTOREP 50 % 599 Eu/Moi * Gros berger allemand ! 0609iiiiii" et, dans la cassette de sauvegarde, dans la même zone "bloc-notes", figurait en plus la mention : "Séropositif depuis 23 ans". De même, dans le dossier n° 006310, le listing papier indiquait dans la zone "bloc-notes" : "W 2500 CAF 4400 LOYER 800 3 ENFANTS PAS DE PENSION NEE LE 31.05.1955 0622iiiiii "et dans la cassette de sauvegarde, la même zone "bloc-notes" comportait en plus la mention : "CONNASSE".

Ces faits étaient de nature à constituer un manquement aux obligations découlant de l'article 6-1° de la loi du 6 janvier 1978 modifiée qui dispose qu'un traitement ne peut porter que sur des données à caractère personnel (...) collectées et traitées de manière loyale et licite et de l'article 6-3° de la loi du 6 janvier 1978 modifiée qui dispose qu'un traitement ne peut porter que sur des données à caractère personnel (...) adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs. Le non-respect de ces obligations est susceptible d'entraîner l'application de l'article 226-18 du code pénal.

De plus, l'article 8 de la loi du 6 janvier 1978 modifiée dispose qu'il est interdit de collecter ou de traiter des données à caractère personnel, en dehors des cas prévus au II de ce même article, qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci.

Par ailleurs, l'article 9-2° de la loi du 6 janvier 1978 modifiée dispose que les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté ne peuvent être mis en oeuvre par les auxiliaires de justice que pour les stricts besoins de l'exercice des missions qui leur sont confiées par la loi. A cet égard, les commentaires identifiés étaient manifestement excessifs au regard des missions qui incombent aux huissiers de justice.

Enfin, les commentaires relevaient, pour certains d'entre eux, de l'intimité de la vie privée des clients ou de leurs rapports avec des tiers et pouvaient ainsi relever de l'article 226-22 du code pénal.

Les diligences accomplies par les services de la Commission ont également permis de constater que le fichier utilisé par les huissiers n'avait pas été déclaré à la CNIL et ce malgré l'obligation qui est faite à tout responsable de traitement de déclarer à la CNIL tout traitement de données à caractère personnel et ce préalablement à sa mise en oeuvre.

En conséquence, par délibération adoptée le 24 janvier 2006, la CNIL a mis en demeure la SCP X, dans un délai de dix jours à compter de la réception de la délibération, de :

- prendre toute mesure pour procéder à la suppression des mentions visées dans une annexe accompagnant la mise en demeure ainsi que de toute autre mention susceptible de ne pas être conforme aux articles 6-1°, 6-3°, 8 et 9-2° de la loi du 6 janvier 1978 modifiée qui serait enregistrée dans tout traitement de données à caractère personnel mis en oeuvre au sein de l'étude et en justifier ;

- justifier les différences qui existaient entre la version papier et la version informatique des extractions qui ont été remises à la délégation de la CNIL ;

- apporter toute garantie, y compris technique, permettant de considérer qu'il n'y avait pas eu, lors du contrôle, de dissimulation de preuve ou de communication à la délégation de la CNIL d'informations ou de documents non conformes au contenu des enregistrements tel qu'il était au moment où les demandes de copies de documents ont été formulées par la délégation de la CNIL ;

- procéder à la déclaration relative au traitement de gestion "clients" mis en oeuvre au sein de l'étude d'huissiers.

2. En réponse à la mise en demeure, Maîtres X ont adressé à la CNIL un courrier daté du 10 février 2006.

a. La SCP a d'abord indiqué avoir pris toutes mesures pour procéder à la suppression des mentions visées dans l'annexe adressée par la CNIL et en justifiait par l'envoi des copies d'écran de la zone commentaires des débiteurs concernés. Par ailleurs, la SCP soutenait dans sa réponse qu'en leur qualité d'officiers publics et ministériels, auxiliaires de justice, chargés de signifier les actes de procédure et de mettre à exécution les jugements civils et pénaux, les huissiers de justice étaient fondés à collecter un certain nombre de données à caractère personnel qui peuvent aller au delà des informations liées à l'insolvabilité ou à la solvabilité des personnes.

A cet égard, la SCP soutenait que la collecte de données à caractère personnel concernant l'état de santé ou la situation judiciaire des personnes concernées était justifiée par les besoins des dossiers, pour prévenir des exécutions mal appropriées (moral des débiteurs) ou éviter des troubles à l'ordre public.

Or l'article 8 de la loi du 6 janvier 1978 modifiée prévoit que la collecte de données relatives à l'état de santé des personnes est strictement interdite sauf dérogation prévue par la loi.

Il ressort par ailleurs des dispositions de l'article 9-2° de la loi du 6 janvier 1978 modifiée le 6 août 2004 que les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté ne peuvent être mis en oeuvre par les auxiliaires de justice que pour les stricts besoins de l'exercice des missions qui leur sont confiées par la loi.

A cet égard, les commentaires identifiés étaient manifestement excessifs au regard des missions qui incombent aux huissiers de justice (par exemple : "policier accusé de vol puis relaxé", etc.).

Dans ce contexte, force est de constater que la SCP X n'a apporté aucune garantie qu'il avait été procédé, comme la mise en demeure l'exigeait pourtant, à la suppression de toute mention susceptible de ne pas être conforme aux articles 6-1°, 6-3°, 8 et 9-2° de la loi du 6 janvier 1978 modifiée qui serait enregistrée dans tout traitement de données à caractère personnel mis en oeuvre au sein de l'étude.

En effet, la SCP X s'est limitée à supprimer certaines des mentions visées dans l'annexe adressée par la CNIL mais n'a mis en oeuvre aucune autre mesure permettant de garantir que l'ensemble des fichiers de l'étude avaient fait l'objet pour l'avenir d'un contrôle par les huissiers eux-mêmes (par exemple "balayage" des zones commentaires) et que des mesures de correction seraient, le cas échéant, engagées.

De même, la SCP n'a apporté aucune information sur les mesures qu'il convenait de prendre afin de s'assurer que de tels manquements ne se reproduiraient pas (mesures de sensibilisation du personnel de l'étude, politique régulière de contrôle des zone commentaires par échantillonnage, etc.).

Dans ces conditions la SCP n'a pas respecté la mise en demeure adressée par la CNIL et n'a pas apporté l'ensemble des garanties attendues.

b. La SCP a ensuite fait valoir que la délégation de la CNIL qui s'est présentée le 25 novembre 2005 pour poursuivre sa mission de contrôle avait renoncé à prendre en charge le disque dur de l'étude et que, par conséquent, il n'était pas concevable que les huissiers aient eu l'intention de dissimuler des informations.

Sur ce point, il faut rappeler que les huissiers de justice étaient parfaitement informés de la venue de la délégation le 25 novembre 2005 puisqu'il avait été convenu la veille au soir que la délégation devait revenir chercher le matin suivant les impressions papier commandées ce jour là.

Au demeurant la délégation de la CNIL n'a formulé aucune demande concernant le disque dur de l'étude mais a demandé à avoir copie d'une disquette de sauvegarde mensuelle afin de vérifier que la version imprimée directement par les huissiers était bien conforme aux mentions sur les clients conservées dans une disquette de sauvegarde mensuelle.

Sur ce point, ceci étant consigné dans le procès-verbal de contrôle n° 2005-083C, un refus a été opposé à la délégation de lui communiquer directement la copie d'une cassette informatique de sauvegarde au motif qu'une copie de la comptabilité de l'étude se trouvait également sur cette cassette et que les informations de nature comptable étaient couvertes par le secret professionnel.

Face au refus réitéré par les huissiers, il a du être procédé à des manipulations informatiques permettant de ne dupliquer sur un support vierge que les informations relatives au fichier "clients", à l'exclusion de la comptabilité. Or la délégation avait formulé une demande d'extraction de l'ensemble des dossiers clients figurant sur la cassette de sauvegarde d'août 2005, y compris les dossiers archivés ; mais cette demande n'a pas été satisfaite au motif que cette manipulation ne pouvait être faite que par le prestataire informatique qui n'était plus joignable. En raison de l'opposition formulée par les huissiers, la délégation n'a donc pas été en mesure de procéder, lors du contrôle, à la copie de l'intégralité des données enregistrées sur les débiteurs.

Dès lors que les circonstances du déroulement du contrôle sur place ne garantissaient pas qu'il n'y ait pas eu de dissimulation de preuve ou de communication à la délégation de la CNIL d'informations ou de documents non conformes au contenu des enregistrements tel qu'il était au moment où les demandes de copies de documents ont été formulées par la délégation de la CNIL.

c. Enfin, concernant le fait que la SCP X n'a pas procédé à la déclaration de son fichier dans le délai imparti dans la mise en demeure, la SCP X a fait valoir que le logiciel qu'elle utilise est agrée par la Chambre Nationale des Huissiers de Justice et que la Chancellerie avait soumis un cahier des charges strict et précis aux sociétés de prestation de services informatiques qui devaient apporter toutes garanties sur la légalité des logiciels et sur leur mode d'utilisation.

Or, en application des dispositions de l'article 3 de la loi du 6 janvier 1978 modifiée, l'obligation de déclaration incombe au responsable de traitement, c'est-à-dire à la personne qui détermine les finalités et les moyens de ce traitement. Ainsi, la SCP X, comme toute autre étude d'huissiers, doit être considérée comme responsable de traitement et aurait dû, par conséquent, respecter les obligations déclaratives découlant du chapitre IV de la loi du 6 janvier 1978 modifiée le 6 août 2004. A cet égard, l'agrément des chambres professionnelles ou du ministère de la Justice, par exemple sur les aspects comptables de certains logiciels, ne constituait en rien une autorisation d'exonération de déclaration.

Il y a donc lieu de constater que la SCP n'a pas respecté la mise en demeure adressée par la CNIL sur ce point.

3. Aux termes des courriers d'observations adressés par la SCP X les 14 avril, 21 avril et 2 juin 2006 et des observations orales formulées par son représentant, lors de la réunion du 28 juin 2006 :

a. La SCP X aurait pris l'initiative de mettre en place un panneau d'affichage dans les locaux de l'étude pour sensibiliser les collaborateurs à l'usage des zones de commentaires.

Cependant, au regard de la gravité des manquements constatés, la Commission considère que cette mesure est insuffisante. La SCP X n'a mis en oeuvre aucune mesure correctrice significative telle qu'une politique régulière de contrôle des zones de commentaires par échantillonnage ou encore des consignes particulières de sensibilisation de son personnel permettant de garantir que les dispositions des articles 6-1° et 6 -3° de la loi du 6 janvier 1978 modifiée le 6 août 2004 seront bien respectées à l'avenir.

La Commission observe plus généralement que la SCP X ne peut valablement soutenir que la collecte de données à caractère personnel concernant l'état de santé ou la situation judiciaire des personnes concernées est justifiée par les besoins de la gestion de ses dossiers, pour prévenir des exécutions mal appropriées (moral des débiteurs) ou éviter des troubles à l'ordre public dans la mesure où les conditions légales requises pour l'exercice d'une telle collecte (articles 8 et 9-2° de la loi du 6 janvier 1978 modifiée le 6 août 2004) ne sont pas réunies en l'espèce.

La Commission constate à cet égard que la SCP X ne s'est pas conformée à la mise en demeure du 24 janvier 2006 qui lui demandait de prendre toute mesure permettant de procéder à la suppression de toute mention figurant dans ses bases de données susceptible de ne pas être conforme aux articles 6-1°, 6-3°, 8 et 9-2° de la loi du 6 janvier 1978 modifiée le 6 août 2004.

b. La SCP X a pris la décision, le 14 avril 2006, de déclarer à la CNIL son traitement de gestion des dossiers. La SCP, qui dans un premier temps avait refusé de faire une telle déclaration à la CNIL, a néanmoins fait remarquer qu'une déclaration avait déjà été effectuée en 1986, il y a 20 ans, par un autre huissier de justice domicilié à La Ciotat dont l'activité à été rachetée depuis ; la SCP a estimé que cette première déclaration était suffisante et la CNIL aurait du s'en satisfaire.

La Commission rappelle qu'aux termes des dispositions du chapitre IV de la loi du 6 janvier 1978 modifiée, tout responsable de traitement doit procéder à la déclaration des traitements qu'il met en oeuvre et doit si nécessaire les mettre à jour. En l'espèce, la déclaration mentionnée n° 149824 du 8 octobre 1986 ne visait en aucune manière l'activité de la SCP X (nom du responsable de traitement, adresse et code SIREN différents).

La Commission observe que la SCP X n'a pas souhaité se conformer à la mise en demeure qui lui était faite de déclarer son traitement et a attendu plus de trois mois avant de décider de satisfaire à la réglementation. La Commission considère par conséquent que la SCP X ne s'est pas conformée à la mise en demeure du 24 janvier 2006 dans le délai qui lui était imparti.

c. La SCP X indique enfin qu'elle est bien soumise au secret professionnel et qu'elle était donc fondée à refuser la demande formulée par la CNIL de la copie d'une cassette informatique de sauvegarde des données sur les débiteurs au motif de la présence, sur cette cassette, de la comptabilité de l'étude.

Il ressort des dispositions de la loi du 6 janvier 1978 modifiée le 6 août 2004 que les membres et les agents habilités de la CNIL peuvent, lors d'un contrôle, demander communication de tous documents nécessaires à l'accomplissement de leur mission, quel qu'en soit le support, et en prendre copie ; qu'ils peuvent accéder aux programmes informatiques et aux données, ainsi qu'en demander la transcription par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle.

Par ailleurs, en application des dispositions de la loi précitée, les ministres, autorités publiques, dirigeants d'entreprises publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s'opposer à l'action de la commission ou de ses membres et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche. Le non respect de cette disposition est susceptible de constituer un délit d'entrave.

Il ressort par ailleurs des dispositions de l'article 69 du décret n° 2005-1309 du 20 octobre 2005 que lorsqu'une personne interrogée dans le cadre des vérifications faites par la commission oppose le secret professionnel, il doit alors être fait mention des dispositions législatives ou réglementaires auxquelles se réfère la personne interrogée ainsi que la nature des données qu'elle estime couvertes par ces dispositions.

Interrogée sur le fondement juridique du secret professionnel opposé aux agents de la CNIL, la SCP X a invoqué auprès membres de la formation restreinte, lors de la réunion du 28 juin 2006, l'existence de l'article 226-13 du code pénal.

La Commission observe d'une part que la seule référence aux dispositions du code pénal n'est pas suffisante à démontrer de l'existence, au profit de la SCP X, d'une disposition législative ou réglementaire lui permettant de s'opposer aux demandes formulées par la CNIL dans l'exercice de ses missions visées à l'article 44 de la loi du 6 janvier 1978 modifiée le 6 août 2004.

La Commission observe d'autre part que l'existence éventuelle du secret professionnel ne saurait en aucune manière protéger les données relatives à la comptabilité de l'étude. Par conséquent, la nature des données que la SCP X estimait couvertes par le secret professionnel, tel que cela ressort notamment du procès verbal de contrôle n° 2005-083C, n'était manifestement pas à même de fonder valablement le refus de communiquer aux agents de la CNIL les informations qu'ils demandaient dans l'exercice de leurs missions.

Il convient de rappeler que ce refus a eu pour conséquence d'empêcher la délégation de la CNIL de procéder à un contrôle exhaustif du contenu des fichiers utilisés par la SCP X.

La Commission relève par conséquent que la SCP X ne s'est pas conformée à la mise en demeure du 24 janvier 2006 puisqu'elle n'a en aucune manière apporté des garanties permettant de considérer qu'il n'y avait pas eu, lors du contrôle, de dissimulation de preuve ou de communication à la délégation de la CNIL d'informations ou de documents non conformes au contenu des enregistrements tel qu'il était au moment où les demandes de copies de documents ont été formulées par la délégation de la CNIL.

4. Il ressort de l'ensemble de ce qui précède que :

- La SCP X ne s'est pas conformée à la mise en demeure du 24 janvier 2006 qui lui demandait de prendre toute mesure permettant de procéder à la suppression de toute mention susceptible de ne pas être conforme aux articles 6-1°, 6-3°, 8 et 9-2° de la loi du 6 janvier 1978 modifiée.

- la SCP X ne s'est pas conformée à la mise en demeure du 24 janvier 2006 de procéder à la déclaration de ses traitements dans le délai qui lui était imparti.

- la SCP X ne s'est pas conformée à la mise en demeure du 24 janvier 2006 puisqu'elle n'a en aucune manière apporté des garanties permettant de considérer qu'il n'y avait pas eu, lors du contrôle, de dissimulation de preuve ou de communication à la délégation de la CNIL d'informations ou de documents non conformes au contenu des enregistrements tel qu'il était au moment où les demandes de copies de documents ont été formulées par la délégation de la CNIL.

La Commission relève que l'ensemble de ces faits constituent un manquement aux dispositions de la loi du 6 janvier 1978 modifiée le 6 août 2004 visées dans la présente délibération.

En conséquence, décide de faire application des dispositions des articles 45 et 47 de la loi du 6 janvier 1978 modifiée le 6 août 2004 et de prononcer, compte-tenu de la gravité des manquements commis, une sanction pécuniaire à l'encontre de la SCP X, sise à X, d'un montant de 5000 euros.

Le président Alex TURK.
Retourner en haut de la page