La Commission Nationale Informatique et Libertés passe aux sanctions, par Paul HÉBERT et Michel MASOËRO, Avocats

Le 28 juin dernier, la CNIL a rendu une délibération prononçant une sanction pécuniaire à l’encontre d’un établissement bancaire. Cette décision a été prise à la suite de plusieurs plaintes adressées à la CNIL par des clients de la banque. Un client reprochait à son établissement bancaire de l’avoir maintenu à tort dans le Fichier des Incidents de remboursements de Crédits aux Particuliers (FICP), géré par la Banque de France, alors qu’il avait remboursé sa dette. Lors de l’instruction de cette plainte, la CNIL n’a pas réussi à obtenir certaines informations réclamées à la banque, qui justifiait son refus de les transmettre par son obligation de respecter le secret bancaire. La CNIL a donc dû procéder à plusieurs contrôles sur place, pour se rendre compte finalement que le plaignant avait été radié tardivement du fichier FICP en raison d’une défaillance du système informatique de l’établissement de crédit.

Parallèlement, trois autres clients, estimaient avoir été inscrits à tort dans le fichier « retraits de carte bancaire » en l’absence d’incidents liés à l’utilisation de ce moyen de paiement. L’inscription sur ce fichier est réglementée par un arrêté et donne lieu à un blocage de la carte « CB ». Elle ne peut avoir lieu qu’en cas d’incident de fonctionnement du compte du titulaire résultant directement de l’usage d’une carte bancaire, à l’exclusion de tout autre moyen de paiement. Là encore, la CNIL a engagé des démarches auprès de la banque sans obtenir d’explications claires et précises quant à la justification et la conformité de ces inscriptions.

Outre l’entrave à son action, la CNIL a estimé que l’établissement avait inscrit les plaignants de façon abusive dans des fichiers « Banque de France ». En particulier, il est reproché à la banque de ne pas avoir respecté la loi « informatique et libertés » qui prévoit notamment que les données personnelles collectées et traitées doivent être :

   « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées » (art. 6-3)

   « exactes, complètes et, si nécessaire, mises à jour » (art. 6-4).

Ces manquements à la loi et l’absence de coopération de l’établissement bancaire avec la CNIL ont motivé une mise en demeure - restée sans effet - puis une sanction pécuniaire de 45.000 euros. La publication de la décision dans deux journaux nationaux a également été ordonnée compte tenu de la mauvaise foi de la banque.

A la suite de cette sanction, et selon le communiqué de la CNIL, la banque « s’est engagée dans un vaste plan d’action visant à assurer la bonne application de la loi informatique et libertés dans ses différents services. Elle a en ce sens pris plusieurs mesures de réorganisation, parmi lesquelles la création d’un service dédié spécifiquement aux relations avec la CNIL ( ...) ».

Cette décision rappelle l’intérêt d’avoir recours a un Correspondant Informatique et Libertés (CIL) crée en 2004 et dont la mission et le statut ont été précisés par un décret du 20 octobre 2005.

Le CIL a vocation à être un interlocuteur spécialisé en matière de protection de données à caractère personnel, tant pour l’entreprise, que dans les rapports de cette dernière avec la CNIL. La désignation du CIL est facultative et entièrement libre. Sa nomination permet notamment d’alléger considérablement certaines formalités déclaratives. Il est désigné parmi les ressources internes de l’entreprise (membre du personnel), ou en ayant recours à l’externalisation (consultant, avocat, etc.). Au-delà de certains seuils, le correspondant doit obligatoirement être nommé en interne.

Le Correspondant Informatique et Libertés a un rôle de conseil, de suivi et d’alerte dans la gestion des données à caractère personnel. Il doit pouvoir exercer sa mission de façon indépendante. Il propose des solutions concrètes pour concilier protection des libertés individuelles et intérêt légitime de l’entreprise. À ce titre, il est en relation directe avec le responsable du traitement et la CNIL.

Selon la CNIL, au mois d’août 2006, 390 organismes auraient déjà désigné un CIL. Outre la simplification des formalités auprès de la CNIL, la nomination d’un CIL est de nature à garantir que la problématique des données personnelles est sérieusement prise en compte par l’entreprise. Elle permet aussi à l’entreprise d’améliorer son image en proposant un interlocuteur spécialisé en cas de difficulté sur les données nominatives d’un client.

Enfin, cette décision rappelle l’importance pour les entreprises de prêter une attention toute particulière avec les dispositions de la législation Informatique et Libertés, notamment pour éviter les lourdes sanctions pénales.

Paul HÉBERT, Avocat

Michel MASOËRO, Avocat Associé

LAMY LEXEL Avocats Associés

www.lamy-lexel.com

Quelles sont les données soumises à formalité auprès de la CNIL ?

Tous les traitements de données personnelles réalisés dans l’entreprise doivent être soumis à des formalités auprès de la CNIL (Commission Nationale Informatique et Libertés) : vidéosurveillance, badges, téléphonie, messagerie Internet, outils de facturation, informations concernant les clients, prescripteurs et prospects, les employés, etc.

Par donnée personnelle, il faut entendre toute donnée permettant l’identification d’une personne physique, directement ou indirectement, notamment par référence à un numéro d’identification (téléphone, adresse IP, plaque d’immatriculation).

Selon le type de données concernées et la finalité du traitement mis en oeuvre, les formalités obligatoires à accomplir peuvent varier. Il peut s’agir d’une simple déclaration en ligne sur le site de la CNIL, ou encore d’une autorisation spéciale délivrée après décision de la CNIL.

Le non respect de ces formalités est puni par des sanctions pénales, administratives et financières.

Quelles sont les sanctions applicables au non-respect des formalités CNIL ?

Les sanctions pénales concernent le chef d’entreprise en tant que responsable du traitement (le responsable du traitement est en principe la personne, le service, ou l’organisme qui détermine les finalités et les moyens du traitement), mais également toute personne complice.

Sont notamment punis de 5 ans d’emprisonnement et de 300 000 euros d’amende :

• le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables prévues par la loi (déclaration ou autorisations CNIL),

• le fait de conserver des données personnelles au-delà du délai légal ou réglementaire autorisé, sauf si cette conservation est effectuée à des fins historiques, statistiques ou scientifiques, dans les conditions prévues par la loi,

• le fait de détourner des traitements de données personnelles de leur finalité d’origine. Chaque collecte de données personnelles doit répondre à un objectif précis et les données collectées ne peuvent pas être réutilisées de manière incompatible avec la finalité déclarée à la CNIL.

Ces délits ont un caractère continu, si bien qu’ils ne peuvent pas être prescrits tant que l’infraction subsiste.

Au risque pénal, s’ajoutent un risque d’image et des sanctions administratives et financières. La CNIL, dotée de pouvoirs propres, a la possibilité de délivrer un avertissement qui peut être rendu public. Elle peut également infliger au responsable du traitement une sanction pécuniaire, pouvant aller de 150 000 euros jusqu’à 300 000 euros en cas de récidive, ou encore prononcer une injonction de cesser le traitement illicite.

Enfin, la CNIL peut dénoncer au parquet les faits susceptibles de constituer une infraction dont elle a connaissance, ou saisir le juge des référés en cas d’atteinte grave et immédiate aux droits et libertés individuelles.