Délibération 2012-214 du 19 juillet 2012

Délibération de la formation restreinte n°2012-214 du 19 juillet 2012 portant avertissement à l’encontre de la société X

La Commission nationale de l'informatique et des libertés, réunie en sa formation restreinte sous la présidence de Mme Claire DAVAL ;

Etant aussi présents MM. Jean-Marie COTTERET, Jean-François CARREZ et Dominique RICHARD, membres ;

Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la Directive n°95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2011-334 du 29 mars 2011, notamment ses articles 45 et 46 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié, pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2006-147 du 23 mai 2006 fixant le règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu la décision n° 2012-076C du 14 février 2012 de la Présidente de la Commission nationale de l'informatique et des libertés ordonnant une mission de vérification auprès de la société X ;

Vu le rapport de M. Jean-Paul AMOUDRY, commissaire rapporteur, adressé par porteur à la société X, le 15 mai 2012 ;

Vu les observations écrites versées par la société le 15 juin 2012, ainsi que les observations présentées oralement lors de la séance de la formation restreinte du 21 juin 2012 ;

Vu les autres pièces du dossier ;

Ayant entendu, lors de la réunion de la formation restreinte du 21 juin 2012 :

- M. Jean-Paul AMOUDRY, commissaire, en son rapport ;

- Mme Elisabeth ROLIN, commissaire du Gouvernement, en ses observations ;

- M. Yann PADOVA, secrétaire général de la CNIL, et M. Stéphane PETITCOLAS, ingénieur informatique, ayant été entendus à la demande de la formation restreinte ;

- MM. A, directeur général, B, directeur informatique, C, responsable du pôle décisionnel et CRM du groupe, et Mme D, juriste, assistés de Mes E et F, avocats, leurs conseils, en la défense de la société ;


Ces derniers ayant pris la parole en dernier,

A adopté la décision suivante :

I. FAITS ET PROCÉDURE

La société X (ci-après la société) a pour activité la vente à distance sur catalogue. Elle exploite le site [...], premier site de e-commerce français.

La Commission nationale de l'informatique et des libertés (ci-après la Commission ou la CNIL) a diligenté une mission de contrôle dans les locaux de la société les 21 et 22 février 2012. Ce contrôle a été effectué dans le cadre de l'exécution du programme annuel des contrôles de la Commission, en application de la décision n°2012-076C de la Présidente de la Commission. Ce contrôle a notamment porté sur les bases de données relatives aux commandes et aux comptes clients de la société.

Au vu des éléments relevés lors de ce contrôle, la Présidente de la Commission a désigné M. Jean-Paul AMOUDRY, Commissaire, membre de la CNIL, sur le fondement de l'article 46 de la loi du 6 janvier 1978 modifiée.

A l'issue de son instruction, considérant que la société avait manqué à plusieurs obligations lui incombant en application de la loi du 6 janvier 1978 modifiée, le rapporteur a fait notifier à la société par porteur, le 15 mai 2012, un rapport détaillant les manquements à la loi du 6 janvier 1978 modifiée qu'il estimait constitués en l'espèce. Ce rapport proposait également à la formation restreinte de la Commission de prononcer à l'encontre de la société un avertissement, dont il sollicitait par ailleurs qu'il soit rendu public.

Etait également jointe au rapport une convocation à la séance de la formation restreinte du 14 juin 2012, indiquant à la société que, compte tenu de l'urgence, elle disposait d'un délai de quinze jours pour communiquer ses observations écrites, soit jusqu'au 1er juin 2012.

Toutefois, accédant à la demande formée en ce sens par la société par courrier en date du 22 mai 2012, la Présidente de la formation restreinte de la Commission a reporté la séance de la formation restreinte au 21 juin 2012. Ce courrier indiquait à la société qu'elle disposait ainsi d'un délai complémentaire pour déposer ses observations en réponse, soit jusqu'au 15 juin 2012.

La société, par courrier en date du 15 juin 2012, a adressé à la Commission ses observations sur le rapport. Elle a également présenté ses observations orales lors de la séance de la formation restreinte du 21 juin 2012.

A l'issue de cette procédure, et après en avoir délibéré, la formation restreinte a adopté la décision dont la teneur suit.

II. MOTIFS DE LA DÉCISION

1. Sur la mise en œuvre de la procédure d'urgence prévue par le II de l'article 45 de la loi du 6 janvier 1978 modifiée

Il revient en premier lieu à la formation restreinte de statuer sur la contestation, par la société, du caractère fondé de la procédure d'urgence engagée à son encontre sur le fondement du II de l'article 45 de la loi du 6 janvier 1978 modifiée.

Elle soutient, à cet égard, que cette procédure à caractère dérogatoire ne peut être engagée qu'après un débat contradictoire, qu'aucune violation du droit au respect de la vie privée des internautes, laquelle peut seule justifier du recours à une procédure d'urgence, n'est constituée en l'espèce et que la remise du rapport, trois mois après les constatations effectuées par les contrôleurs de la CNIL, est en contradiction avec l'urgence invoquée par le rapporteur.

Sur ce point, la formation restreinte constate que l'initiation d'une procédure d'urgence à l'encontre de la société a, en pratique, pour seule conséquence de réduire à quinze jours le délai imparti à la société pour produire ses observations en défense, en application de l'article 79 du décret n°2005-1309 du 20 octobre 2005 modifié.

En l'espèce, il est établi que la Présidente de la formation restreinte a accédé à la demande de la société en reportant la date de la séance de la formation restreinte au 21 juin 2012. Ainsi, le délai imparti à la société pour produire ses observations en défense, qui courait initialement jusqu'au 1er juin, a été prolongé jusqu'au 15 juin 2012. Il est donc établi que la société a pu produire ses observations en défense dans le délai d'un mois, communément applicable dans le cadre de la procédure ordinaire, prévu par l'article 75 du décret susvisé.

La formation restreinte considère donc la contestation de la société sur ce point comme étant sans objet.


2. Sur le manquement à l'obligation de recueillir le consentement des personnes à la conservation de leurs informations bancaires

- Aux termes de l'article 7 de la loi n° 78-17 du 6 janvier 1978 modifiée, un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l'une des conditions suivantes : 1° Le respect d'une obligation légale incombant au responsable du traitement ; 2° La sauvegarde de la vie de la personne concernée ; 3° L'exécution d'une mission de service public dont est investi le responsable ou le destinataire du traitement ; 4° L'exécution, soit d'un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ; 5° La réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l'intérêt ou les droits et libertés fondamentaux de la personne concernée.

- Il appartient à la formation restreinte de déterminer si la société a respecté ces dispositions en l'espèce au regard de la conservation, dans ses bases, des coordonnées bancaires de ses clients au-delà de la réalisation de la transaction commerciale.

En effet, il est établi que dans les bases de la société figurent notamment les données sur les produits commandés ainsi que sur les transactions commerciales effectuées, une table de cette base étant par ailleurs réservée aux coordonnées bancaires des clients. Dans cette table apparaissent les noms des porteurs des cartes bancaires, leurs numéros et leurs dates d'expiration, qui correspondent à environ 10 millions de cartes bancaires en cours de validité ainsi qu'à un grand nombre de cartes bancaires dont la date de validité est expirée. La finalité de la conservation de ces données, qui permet aux clients de la société de ne pas avoir à les ressaisir lors d'une prochaine commande, consiste donc à leur offrir une prestation de portefeuille électronique.

- La société soutient que la conservation de ces coordonnées bancaires dans ses bases est conforme aux conditions posées par les articles 7-4° et 7-5° de la loi du 6 janvier 1978 modifiée, qui prévoient qu'il n'est pas nécessaire de recueillir le consentement des personnes quand le traitement est lié à l'exécution d'un contrat auquel la personne concernée est partie , ou à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l'intérêt ou les droits et libertés fondamentaux de la personne concernée .

A cet égard, elle soutient que la conservation des données bancaires est conforme à la finalité annoncée au client, que cette prestation fait partie du service qui est proposé par l'e-commerçant, et qu'elle a en outre adopté une approche transparente à l'égard des visiteurs sur son site, où la conservation du numéro de carte bancaire et la possibilité de le supprimer sont mentionnés à plusieurs reprises.

Pourtant, à supposer même que les bases légales des articles 7-4° et 7-5° puissent être invoquées en matière bancaire, la formation restreinte estime que la société ne peut légitimement baser le traitement litigieux sur aucune de ces deux dispositions en l'espèce.

D'une part, elle relève que la finalité de la conservation des coordonnées bancaires de ses clients par la société va au-delà de l'exécution d'une prestation contractuelle de vente en ligne, dès lors qu'elle s'inscrit en réalité, comme l'indique la société, dans la fourniture d'un service commercial indépendant de l'acte initial de vente ayant conduit à la collecte des coordonnées bancaires dans le cadre du paiement. Cette fonctionnalité de portefeuille électronique étant fournie pour la commodité du client, en vue de faciliter la conclusion d'hypothétiques contrats ultérieurs.

Dans ces conditions, la société ne peut invoquer la base légale de l'article 7-4° de la loi pour légitimer la conservation au sein du compte client des coordonnées bancaires des personnes dans le cadre de sa prestation de portefeuille électronique.

D'autre part, si la société ne qualifie pas explicitement l'intérêt légitime qu'elle invoque implicitement dans sa défense, la formation restreinte déduit de ses écritures que celui-ci consiste à faciliter la réalisation d'un ou de plusieurs paiements successifs dans la durée, et par conséquent en l'optimisation des transactions commerciales effectuées sur son site.

La légitimité de cet intérêt commercial ne saurait, en tant que tel, être niée. Toutefois, l'article 7-5° de la loi requiert que soit effectuée une balance entre les intérêts poursuivis par la société et ceux des personnes concernées.

A cet égard, la société soutient que les personnes seraient amplement informées de la conservation de ces données bancaires ainsi que de la possibilité de les supprimer en se connectant à leur compte client après chaque transaction effectuée sur son site.

Sur ce point, si l'intérêt légitime de la société justifie parfaitement la conservation de données commerciales habituelles (nom, adresse, numéro de téléphone, etc.) en contrepartie d'une information adéquate des personnes, la fourniture d'un service de portefeuille électronique, en revanche, doit être entourée de garanties renforcées.

En l'occurrence, compte tenu de la sensibilité toute particulière que revêtent leurs données bancaires pour les personnes concernées, de seules mesures d'information sur la conservation de ces données associées à une faculté d'effacement ex post ne sauraient constituer de telles garanties.

A cet égard, quand bien même la société invoque le fait que le recueil du consentement de ses clients à la conservation de leurs coordonnées (tant bancaires que générales) donnerait lieu à une multiplication de cases à cocher qui découragerait l'acheteur, la formation restreinte estime que c'est bien au titre des garanties minimales qu'il lui incombait de respecter, que la société devait recueillir le consentement des personnes au stockage de leurs coordonnées bancaires au-delà de la réalisation de la transaction, ce qu'elle n'a pas fait. Elle estime par ailleurs que l'argument tiré d'une meilleure ergonomie du site ne peut prospérer.

- Dans ces conditions, la formation restreinte considère qu'en s'estimant dispensée du recueil du consentement des personnes pour la conservation de leurs données bancaires au-delà de la transaction, la société a violé les dispositions de l'article 7, susvisé.


3. Sur le manquement à l'obligation de respecter une durée de conservation des données

Le 5° de l'article 6 de la loi du 6 janvier 1978 modifiée dispose que les données à caractère personnel sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

Il appartient à la formation restreinte de décider si la société a manqué à l'obligation lui incombant en application de ces dispositions sur trois catégories de données : les comptes clients de la société ; les informations à caractère bancaire des clients ; les cryptogrammes visuels correspondant aux cartes bancaires enregistrées dans les bases.

- Sur les comptes clients de la société

Il est établi que dans la base de la société dédiée à la gestion de la relation clientèle (base dite Customer) figuraient, au jour du contrôle réalisé les 21 et 22 février 2012, des informations correspondant à 19,5 millions de comptes clients, et que certains de ces comptes n'avaient pas été utilisés depuis l'année de création du site en 1999, soit depuis plus de treize ans.

La société justifie cette conservation dans la durée par l'importance que revêt pour elle de maintenir sa relation commerciale avec les clients inscrits sur le site [...], quand bien même ceux-ci n'auraient procédé à aucun achat depuis plusieurs années et ne se seraient pour certains pas même connectés à leurs comptes. A cet égard, elle indique que des clients continuent à recevoir ses lettres d'information sans pour autant s'opposer à leur envoi alors même qu'ils n'ont fait aucun achat récent sur le site.

Elle estime par ailleurs légitime de conserver les données qui lui sont nécessaires au maintien de sa relation client, y compris sur des durées relativement longues dès lors qu'elle commercialise des biens culturels dont certains ont une durée de vie et/ou un cycle d'achat particulièrement long, et qu'elle veut pouvoir faire porter son analyse marketing sur la durée correspondante.

Sur ce point, la formation restreinte relève ce qui suit.

En premier lieu, elle constate que la société a engagé une réflexion globale sur la conservation des données figurant dans ses bases, et qu'elle procède à cet égard à une étude de faisabilité permettant de distinguer comptes actifs et inactifs, déterminer les actions à entreprendre envers les anciens clients dans le cas de comptes inactifs, et déterminer les impacts techniques, les coûts et les délais de mise en œuvre de telles mesures.

Par ailleurs, elle conçoit que la conservation de comptes clients sur des périodes relativement longues puisse être légitime au vu des contraintes évoquées plus haut.

Pour autant, elle constate également que la société n'a pas démontré avoir pris les mesures nécessaires pour se conformer à ses propres engagements pris au regard de la norme simplifiée NS 48, ni dans ses écritures ni dans ses observations orales, en n'ayant pas défini de durée de conservation précise et en n'indiquant pas avoir mis en œuvre un mécanisme de purge des données, automatique ou manuel dans sa base.

A cet égard, il est établi que de nombreux comptes étaient manifestement inactifs depuis plusieurs années au jour du contrôle, ce que la société reconnaît en défense en indiquant qu'elle aurait dû procéder à leur archivage.

Dans ces conditions, sans préjuger des suites de la réflexion que la société a engagée sur ce point, la formation restreinte constate qu'au jour de l'audience celle-ci n'avait pas pris les mesures permettant de respecter son obligation de définition d'une durée de conservation des données adaptée à la finalité de la base.

- Sur les informations à caractère bancaire figurant dans les bases de données relatives aux commandes

Il a été établi lors du contrôle précité que les coordonnées bancaires des clients figurant dans la base dite Commerce , dédiée à la gestion des commandes de la société, ne font l'objet d'aucune purge définitive, ni manuelle ni automatisée, bien qu'elle fasse l'objet d'un archivage au moment où la commande est logistiquement soldée, c'est-à-dire à la fin de la période de garantie du produit ou à l'issue des délais de rétractation ou de prescription.

La formation restreinte considère que la durée de conservation devant être appliquée aux données bancaires en l'espèce doit correspondre à la période nécessaire à la société pour se défendre contre d'éventuelles actions entreprises par des banques ayant été tenues de rembourser des clients sur le fondement de l'article L. 133-24 du Code monétaire et financier.

En effet, ces dispositions ouvrent la possibilité à des particuliers, porteurs de cartes bancaires, d'obtenir remboursement auprès de leurs banques de toutes sommes contestées relatives à des opérations de paiement non-autorisées, dans un délai de treize mois. Toute banque saisie de telles demandes cherchera alors à se retourner contre le commerçant à l'origine de la transaction litigieuse, ce recours n'étant alors pas enfermé dans le délai prescrit par ce texte.

De ce fait, la formation restreinte constate que la société est fondée à conserver les données sur une durée supérieure à treize mois, la disposition susmentionnée du Code monétaire et financier lui étant manifestement inapplicable.

Par ailleurs, elle relève que la société est en cours de migration de son dispositif de paiement par carte bancaire vers un prestataire spécialisé, de sorte qu'elle ne sera plus amenée à conserver elle-même les données de paiement de ses clients pour les paiements réalisés.

Elle relève également, à cet égard, que la société s'est engagée à tronquer les données bancaires conservées dans cette base au-delà de 24 mois, et à mener une étude d'impact sur la purge définitive de ces données.

Pour autant, elle constate que la société, en défense sur ce point, n'a pas indiqué respecter une durée de conservation précise, en se contentant de contester l'applicabilité à sa situation d'un délai de treize mois.

De ce fait, la formation restreinte constate qu'aucune règle précise n'a été jusqu'alors appliquée aux informations bancaires enregistrées à la base Commandes. Ainsi, sans préjuger de la conformité à ces dispositions des mesures prises pour l'avenir par la société sur ce point, elle ne peut qu'en déduire que la société n'a pas respecté les dispositions de l'article 6-5° de la loi du 6 janvier 1978 modifiée.

- Sur les cryptogrammes visuels enregistrés dans la base de gestion des commandes

Il a été établi lors du contrôle précité que la société conservait dans sa base de données plus de 780 000 cryptogrammes visuels de cartes bancaires en cours de validité, utilisées par ses clients lors de transactions antérieures, et concernant ainsi, pour la plupart, des transactions révolues.

La société se défend sur ce point en indiquant qu'à court terme, elle ne stockera plus aucun cryptogramme visuel dès lors que son système de paiement sera intégralement confié à un prestataire spécialisé.

Par ailleurs, en ce qui concerne la configuration dans laquelle elle opère actuellement, elle explique devoir conserver les cryptogrammes des cartes de ses clients par le fait que le paiement ne s'effectue pas immédiatement au moment de la saisie des coordonnées bancaires sur le site, si bien que ces données doivent être conservées jusqu'à l'obtention de l'autorisation de paiement par la banque du titulaire de la carte. Le stockage provisoire du cryptogramme est ainsi justifié par le temps requis des services de back office de la société pour procéder informatiquement à la demande d'autorisation de paiement, par le fait que la demande d'autorisation peut être différée en raison de problèmes de connexion, ou encore par le fait que la société peut être amenée à représenter la demande d'autorisation du fait que l'autorisation n'a pas été accordée immédiatement par la banque.

De fait, la conservation du cryptogramme visuel doit être considéré comme légitime dans le laps de temps ainsi défini.

Toutefois, le nombre de cryptogrammes dont le stockage provisoire est ainsi justifié, que la société chiffre elle-même à 3000 ou 4000, est sans aucune mesure avec les 780 000 cryptogrammes que la délégation de contrôle de la Commission a pu relever dans la base.

Si elle prend acte du fait que la société indique avoir remédié au dysfonctionnement ayant affecté la purge quotidienne des cryptogrammes, lequel aurait justifié ce chiffre, la formation restreinte n'en considère pas moins que la société n'a, de ce fait, pas respecté les dispositions de l'article 6-5° de la loi du 6 janvier 1978 modifiée sur ce point.


4. Sur le manquement à l'obligation d'assurer la sécurité et la confidentialité des données

- L'article 34 de la loi du 6 janvier 1978 modifiée dispose que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Il appartient à la formation restreinte de décider si la société a manqué à l'obligation lui incombant en application de ces dispositions quant à l'enregistrement, dans ses bases, des coordonnées bancaires des personnes.

- En l'espèce, il est établi que dans la même base de données apparaît le nom du porteur de la carte, son numéro de carte bancaire, la date d'expiration de celle-ci et parfois (lorsqu'il n'a pas été purgé) son cryptogramme visuel, l'ensemble de ces éléments étant conservé dans la même base, en clair, sans hachage ni chiffrage.

En l'occurrence, les mesures de sécurité mises en œuvre pour prévenir une utilisation frauduleuse du numéro de carte bancaire consistent à insérer un chiffre 3 encadrant chacun des chiffres du numéro de la carte, ceci correspondant à une conversion en format hexadécimal. Les services de la CNIL ont facilement pu reconstituer les numéros de cartes par une conversion des valeurs hexadécimales en valeur décimales figurant dans la base.

- Pour autant, la société se défend d'avoir violé les termes de l'article 34 susvisé, en indiquant que s'il est effectivement possible à certains employés de la société d'avoir accès aux informations relatives aux cartes bancaires en cours de validité recensées dans la base, y compris, au jour du contrôle, les 780 000 cryptogrammes visuels, il est en revanche inexact de soutenir que l'ensemble de ses employés a accès aux numéros de cartes en clair et peuvent aisément utiliser les cartes de ses quelques 10 millions de clients.

Elle insiste sur le fait qu'elle a mis en place une charte informatique très stricte sur ce point, qu'une obligation de confidentialité est applicable à ses personnels, que les accès à cette table informatique spécifique font l'objet d'une traçabilité, et qu'elle fait procéder à des audits réguliers pour tester la solidité de ses bases et fait procéder, le cas échéant, aux mesures correctives qui s'imposent.

Par ailleurs, elle soutient que les mesures de sécurité qu'elle applique à cette base, quand bien même elles ne seraient pas celles que préconise la CNIL dans sa recommandation n°03-034 du 19 juin 2003 relatives au stockage et à l'utilisation du numéro de carte à bancaire dans le secteur de la vente à distance, n'en demeurent pas moins efficaces puisqu'aucune intrusion n'a jamais résulté des attaques malveillantes dont elle a par ailleurs pu être la cible.

Enfin, elle rappelle qu'elle ne stockera plus, à court terme, la moindre donnée bancaire dès lors qu'elle s'apprête à achever la migration de son système de paiement vers un tiers de confiance utilisant la norme PCI DSS pour les transactions à venir.

- Sans préjuger de la sécurité du système de paiement externalisé dont la société affirme qu'il sera mis en œuvre à court terme, la formation restreinte considère ce qui suit.

Il n'est pas contesté que la société a jusqu'à présent fait le choix délibéré de conserver dans une seule et même base, en clair, l'ensemble des données bancaires de ses clients, c'est-à-dire leurs numéros de cartes, les noms de leurs titulaires, leurs durées de validité et les cryptogrammes visuels correspondants.

En faisant ce choix, la société a délibérément encouru le risque que certaines personnes puissent avoir accès à l'ensemble des coordonnées bancaires de ses clients, dans un seul et même fichier, qu'un tel accès puisse être le fait d'un employé malveillant ou celui d'une intrusion extérieure.

Le risque pris était d'autant plus grand que la mesure mise en œuvre pour empêcher la lecture immédiate des numéros de carte s'est avérée manifestement insuffisante, et que les mesures techniques prises pour éviter un accès malveillant n'ont pas pour autant fait obstacle au fait qu'un grand nombre de cryptogrammes visuels sont demeurés accessibles dans la base du fait du dysfonctionnement du mécanisme de purge de ces données à l'issue de la réalisation de la transaction. Ce risque doit par ailleurs être mis en regard du fait que la société est un des acteurs majeurs de l'Internet français, qu'elle détient les coordonnées bancaires en cours de validité d'une dizaine de millions de personnes, et que le contenu de sa base, de ce fait, revêt une grande sensibilité.

Dans ces conditions, ce choix s'avère d'autant plus problématique que la société, qui affirme que seul un nombre très restreint de personnels, dont des informaticiens et administrateurs, est habilité à accéder aux numéros de carte, n'apporte pas pour autant d'éléments précis quant à la délimitation du périmètre de ces personnes et de leurs critères d'habilitation, et n'a pas davantage été en mesure de les dénombrer de manière affirmée dans ses écritures comme à l'audience.

La formation restreinte ne peut donc considérer que la société a pris toutes les précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Le fait qu'aucune intrusion n'aurait été réalisée dans la base jusqu'à présent ne saurait, en tant que tel, constituer un élément de défense probant sur ce point.

Dans ces conditions, la formation restreinte constate que la société n'a pas respecté les dispositions de l'article 34 susvisé.


5. Sur les manquements constatés et la publicité de la décision

Dans ces conditions, et sans qu'il soit besoin de statuer sur les autres manquements, la formation restreinte considère que la société X a manqué à plusieurs obligations lui incombant en application des dispositions susvisées de la loi du 6 janvier 1978 modifiée, ce qui justifie de que soit prononcé à son encontre un avertissement.

En outre, compte tenu de la gravité des faits relevés, la formation restreinte décide de rendre sa décision publique.

PAR CES MOTIFS

Conformément aux articles 45 et suivants de la loi du 6 janvier 1978 modifiée, la formation restreinte de la CNIL, après en avoir délibéré, décide :

- De prononcer un avertissement à l'encontre de la société X ;
- De rendre publique sa décision sur le site Internet de la Commission et sur le site Légifrance.


La Présidente


Claire DAVAL

Cette décision est susceptible de faire l'objet d'un recours devant le Conseil d'Etat dans un délai de deux mois à compter de sa notification.


Retourner en haut de la page