Délibération n° 2008-491 du 11 décembre 2008 portant autorisation unique de mise en œuvre de traitements automatisés de données à caractère personnel relatifs à la gestion précontentieuse des infractions constatées par les commerçants sur les lieux de vente (décision d'autorisation unique n° AU-017)

Version initiale


La Commission nationale de l'informatique et des libertés,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, notamment ses articles 25-I (3°) et 25-II ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ;
Après avoir entendu M. Peyrat, commissaire, en son rapport et Mme Pascale Compagnie, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
Conformément à la décision du Conseil constitutionnel du 29 juillet 2004, seules les victimes d'infractions susceptibles de faire valoir leurs droits devant une juridiction peuvent procéder à la collecte des données relatives à ces infractions.
Il en résulte que les commerçants peuvent conserver les informations collectées à l'occasion d'infractions pénales lorsque des personnes sont prises sur le fait afin d'envisager l'opportunité et le suivi d'un dépôt de plainte.
Saisie des traitements considérés, la commission est appelée à faire application de l'article 25-I (3°) de la loi du 6 janvier 1978 modifiée qui soumet à autorisation « les traitements, automatisés ou non, portant sur des données relatives aux infractions, condamnations ou mesures de sûreté, sauf ceux qui sont mis en œuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées » ;
Elle peut, en outre, en application de l'article 25-II de la loi du 6 janvier 1978 susvisée, adopter une décision unique d'autorisation pour des traitements répondant aux mêmes finalités, portant sur des catégories de données et des catégories de destinataires identiques. Dès lors, le responsable de traitement qui met en œuvre un traitement de données à caractère personnel ayant pour finalité la gestion du contentieux ou du précontentieux est tenu, dans le respect des dispositions de cette décision unique, d'adresser à la commission un engagement de conformité de celui-ci aux caractéristiques de la présente autorisation.
Décide que les responsables de traitements qui adressent à la commission une déclaration comportant un engagement de conformité pour les traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique sont autorisés à mettre en œuvre ces traitements.


  • Finalités et caractéristiques techniques du traitement.
    Seuls peuvent faire l'objet d'un engagement de conformité en référence à la présente décision unique les traitements mis en œuvre par des commerçants et correspondant aux finalités suivantes :
    ― gestion du précontentieux : conservation des données relatives à la commission d'infractions dans l'enceinte d'un magasin, lorsque ces infractions concernent des atteintes aux personnes ou aux biens, en vue de préserver le droit de recours juridictionnel du commerçant ;
    ― gestion du contentieux : dépôt et traitement des plaintes et suivi de la procédure judiciaire dans le cadre d'un recours juridictionnel à l'encontre de personnes prises sur le fait pour infraction sur les lieux de vente.


  • Données à caractère personnel traitées.
    a) Concernant les personnes impliquées :
    1. Les données d'identification : nom, nom d'usage et prénom(s), date et lieu de naissance ;
    2. Les coordonnées postales ;
    3. Le cas échéant, les données relatives à la pièce d'identité : le numéro et la nature de la pièce d'identité ; la date et l'organisme de délivrance de la pièce d'identité. L'obtention de ces données par le responsable de traitement ne peut résulter que d'une communication volontaire de la pièce d'identité de la personne concernée ;
    4. Pour les mineurs et les majeurs protégés : les données d'identification, les coordonnées postales et le titre des représentants légaux ;
    5. L'existence d'une plainte précédente.
    b) Concernant les circonstances de l'infraction :
    1. Les faits constatés ;
    2. La présence de témoins, leur identification et leurs témoignages.
    c) Concernant l'agent de sécurité :
    1. Les données d'identification : le nom, le nom d'usage, le(s) prénom(s) ;
    2. Le code identifiant fourni par l'employeur ;
    3. La signature de l'agent.
    d) Suites données à la constatation de l'infraction :
    1. Saisine ou absence de saisine ;
    2. Classement sans suite ;
    3. Engagement de poursuite.
    Les agents de sécurité ne sauraient se substituer aux enquêteurs. Ainsi, ils ne peuvent procéder à aucun contrôle d'identité des personnes, ni procéder à de véritables auditions ou interrogatoires, ni évidemment exercer aucune mesure de contrainte sur les individus.
    Les mentions inscrites dans les zones de commentaire libre ne doivent porter que sur des actes et des faits objectifs et ne peuvent, en aucun cas, faire apparaître, directement ou indirectement, des données relatives aux infractions commises par les abonnés et des données relatives aux origines raciales, aux opinions politiques, philosophiques ou religieuses, aux appartenances syndicales ou aux mœurs de la personne concernée par ces actes ou ces faits.


  • Destinataires des informations.
    Dans la limite de leurs attributions respectives et pour l'exercice des finalités précitées, à savoir la gestion du précontentieux et du contentieux, peuvent avoir accès aux données les agents habilités de :
    ― la direction de l'établissement (au niveau central et décentralisé) ;
    ― du service sécurité de l'établissement concerné par l'infraction ;
    ― en cas de dépôt de plainte, le service chargé de la gestion du contentieux au sein du groupe (sécurité, prévention des risques, juridique...).
    Par ailleurs, peuvent être destinataires des données :
    ― les auxiliaires de justice ;
    ― les autorités judiciaires.


  • Durée de conservation.
    a) S'agissant des informations relatives aux prises sur le fait qui n'ont pas débouché sur une saisine du parquet ou d'un commissariat :
    La durée de conservation correspond à la durée de prescription de l'infraction, à savoir trois ans en matière délictuelle.
    S'agissant des informations relatives à des mineurs âgés de 13 à 16 ans, la durée de conservation est d'un an au maximum.
    b) S'agissant des informations qui ont été transmises aux autorités judiciaires :
    ― dans le cas d'un classement sans suite : conservation pendant le délai de l'action publique, à savoir trois ans en matière délictuelle ;
    ― dans le cas de l'engagement de poursuites ou de mise en œuvre d'une procédure d'alternative aux poursuites : conservation jusqu'à la fin de la procédure judiciaire.


  • Mesures de sécurité.
    Le responsable du traitement prend toutes précautions utiles pour préserver la sécurité et la confidentialité des données traitées et notamment pour empêcher qu'elles soient déformées, endommagées ou que des tiers non autorisés puissent en prendre connaissance.
    En particulier, les accès aux traitements de données s'effectuent par un code d'accès et un mot de passe individuels, régulièrement renouvelés, ou par tout autre moyen d'authentification à l'exclusion des moyens biométriques. Ces accès font l'objet d'une journalisation.


  • Information des personnes.
    Le responsable du traitement procède, conformément aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée, à l'information des personnes par envoi ou remise d'un document, mais aussi par affichage ou par tout autre moyen, indiquant l'identité du responsable de traitement, la finalité poursuivie par le traitement, les destinataires des données et des droits des personnes.


  • Exercice des droits d'accès et de rectification.
    Les droits d'accès et de rectification définis au chapitre V de la loi du 6 janvier 1978 modifiée s'exercent auprès du ou des services que le responsable de traitement aura désignés.


  • Tout traitement automatisé de données à caractère personnel ayant pour objet la gestion du contentieux et/ou du précontentieux qui n'est pas conforme aux dispositions qui précèdent doit faire l'objet d'une demande d'autorisation auprès de la commission dans les formes prescrites par les articles 25 (3°) et 30 de la loi du 6 janvier 1978 modifiée.


  • La présente délibération sera publiée au Journal officiel de la République française.


Fait à Paris, le 11 décembre 2008.


Le président,
A. Türk

Extrait du Journal officiel électronique authentifié PDF - 230,2 Ko
Retourner en haut de la page