Inscrivez-vous gratuitement à la Newsletter BFM Business
La Commission a condamné lourdement une société refusant de lui transmettre des informations sur un traitement de données en cours de déclaration. Malgré une mise en demeure.
L'affaire
La Cnil a rendu publique sa décision sanctionnant la société Tyco Healthcare France à 30 000 euros d'amende(*) pour manque de coopération et de transparence dans l'instruction de son dossier de déclaration de traitement de gestion des ressources humaines à l'international, déposé en fin 2004. Considérant qu'il lui manquait des éléments indispensables à l'instruction du dossier, la Cnil a adressé plusieurs courriers au déclarant, lui demandant notamment de décrire les finalités précises de cette opération, de notifier les cas d'envoi de données à l'étranger, de donner les lieux d'implantation des serveurs, d'indiquer les mesures de sécurité assurant la confidentialité des données, et de préciser la durée de conservation de ces données. La société n'a pas répondu aux demandes de la Cnil, qui, par délibération du 10 mai 2006, lui a adressé une mise en demeure la sommant de répondre aux questions posées. En réponse à cette injonction, le responsable a indiqué avoir suspendu le traitement, ayant d'autres projets plus urgents à mener.
La sanction
Ne s'estimant pas suffisamment informée sur le sort exact réservé au traitement, la Cnil a fait procéder à une mission de contrôle dans les locaux de la société, et constaté que le traitement, loin d'être suspendu, était utilisé en dépit des nombreuses incertitudes relevées par la Cnil. Le contrôle a notamment permis d'observer des flux transfrontaliers de données entre la société basée en France et les locaux du groupe installés au Royaume-Uni et aux Etats-Unis, et des utilisations du traitement dépassant largement la finalité de ' reporting ', décrite dans la demande de déclaration du 22 septembre 2004. Aussi la Cnil a-t-elle considéré que la société n'avait ' pas pris la mesure de la gravité des manquements qui lui étaient reprochés concernant son manque de coopération et de transparence '. Elle a donc prononcé à son encontre une sanction pécuniaire de 30 000 euros sur le fondement des articles 45 et suivants de la loi Informatique et libertés. Cette décision démontre, s'il en était besoin, que la Cnil opère un contrôle minutieux des traitements qui lui sont soumis pour déclaration, et pas uniquement de ceux nécessitant son autorisation.(*) Cnil, délib. n?' 2006-281 du 14 décembre 2006.
Votre opinion