Le pouvoir de sanction de la Cnil

04/05/2007 à 00h00

La Commission a condamné lourdement une société refusant de lui transmettre des informations sur un traitement de données en cours de déclaration. Malgré une mise en demeure.

L'affaire

La Cnil a rendu publique sa décision sanctionnant la société Tyco Healthcare France à 30 000 euros d'amende^(*) pour manque de coopération et de transparence dans l'instruction de son dossier de déclaration de traitement de gestion des ressources humaines à l'international, déposé en fin 2004. Considérant qu'il lui manquait des éléments indispensables à l'instruction du dossier, la Cnil a adressé plusieurs courriers au déclarant, lui demandant notamment de décrire les finalités précises de cette opération, de notifier les cas d'envoi de données à l'étranger, de donner les lieux d'implantation des serveurs, d'indiquer les mesures de sécurité assurant la confidentialité des données, et de préciser la durée de conservation de ces données. La société n'a pas répondu aux demandes de la Cnil, qui, par délibération du 10 mai 2006, lui a adressé une mise en demeure la sommant de répondre aux questions posées. En réponse à cette injonction, le responsable a indiqué avoir suspendu le traitement, ayant d'autres projets plus urgents à mener.

La sanction

Ne s'estimant pas suffisamment informée sur le sort exact réservé au traitement, la Cnil a fait procéder à une mission de contrôle dans les locaux de la société, et constaté que le traitement, loin d'être suspendu, était utilisé en dépit des nombreuses incertitudes relevées par la Cnil. Le contrôle a notamment permis d'observer des flux transfrontaliers de données entre la société basée en France et les locaux du groupe installés au Royaume-Uni et aux Etats-Unis, et des utilisations du traitement dépassant largement la finalité de ' reporting ', décrite dans la demande de déclaration du 22 septembre 2004. Aussi la Cnil a-t-elle considéré que la société n'avait ' pas pris la mesure de la gravité des manquements qui lui étaient reprochés concernant son manque de coopération et de transparence '. Elle a donc prononcé à son encontre une sanction pécuniaire de 30 000 euros sur le fondement des articles 45 et suivants de la loi Informatique et libertés. Cette décision démontre, s'il en était besoin, que la Cnil opère un contrôle minutieux des traitements qui lui sont soumis pour déclaration, et pas uniquement de ceux nécessitant son autorisation.(*) Cnil, délib. n?' 2006-281 du 14 décembre 2006.

À retenir

La société a contesté la sanction pécuniaire fixée par le rapporteur de la Cnil puisque celle-ci ne s'était appuyée sur aucune mise en demeure préalable, mais sur la seule réalisation de la mission de contrôle du 12 juillet 2006. A cette occasion, la Commission a rappelé qu'une procédure de sanction peut être engagée lorsque le responsable d'un traitement ne se conforme pas à la mise en demeure qui lui est adressée^(*).

La procédure de sanction sest appuyée sur la mise en demeure prononcée par la Commission le 10 mai 2006 et sur la réponse adressée par la société le 1^er juin 2006. La Cnil considère, par conséquent, que la procédure est pleinement régulière.

Les responsables de traitement doivent particulièrement veiller au contenu de leurs déclarations et impérativement répondre à toutes les demandes de la Cnil, sous peine de sanction particulièrement sévère.

(*) Art. 45 de la loi du 6 janvier 1978, modifiée le 6 août 2004.

Alain Bensoussan

Votre opinion