Commission Nationale de l’Informatique et des Libertés

 

 

 

Délibération n°2012-213 du 22 juin 2012

Délibération de la formation restreinte n°2012-213

du 22 juin 2012

portant sanction pécuniaire à l’encontre

de la SOCIETE EQUIPEMENTS NORD PICARDIE

 

 

 

La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte sous la présidence de Mme Claire DAVAL ;

 

Etant aussi présents MM. Jean-Marie COTTERET, Jean-François CARREZ et Dominique RICHARD, membres ;

 

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

 

Vu la Directive n°95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

 

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2011-334 du 29 mars 2011, notamment ses articles 45 et 46;

 

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié, pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

 

Vu la délibération n°2006-147 du 23 mai 2006 fixant le règlement intérieur de la Commission nationale de l’informatique et des libertés ;

 

Vu la décision n°2011-032 du 16 décembre 2011 de la Présidente de la Commission nationale de l’informatique et des libertés mettant en demeure la société Equipement Nord Picardie de coopérer avec la Commission relativement à une demande de droit d’accès ;

 

Vu la décision du 10 avril 2012 de la Présidente de la Commission nationale de l’informatique et des libertés désignant M. Emmanuel de GIVRY, Commissaire, membre de la CNIL, en qualité de rapporteur ;

 

Vu le rapport de M. Emmanuel de GIVRY, commissaire rapporteur, adressé par lettre recommandée avec accusé de réception à la société SOCIETE EQUIPEMENTS NORD PICARDIE, le 21 avril 2012 ;

 

Vu les observations écrites versées par la société le 22 mai 2012, ainsi que les observations présentées oralement lors de la séance de la formation restreinte du 24 mai 2012 ;

 

Vu les autres pièces du dossier ;

 

Ayant entendu, lors de la réunion de la formation restreinte du 24 mai 2012 :

 

- M. Emmanuel de GIVRY, commissaire, en son rapport ;

 

- Mme Catherine POZZO DI BORGO, commissaire adjointe du Gouvernement, en ses observations ;

 

- Me XXX, avocat, conseil de la société, en sa défense ; 

Cette dernière ayant pris la parole en dernier,

 

A adopté la décision suivante :

 

 

I. FAITS ET PROCÉDURE 

La société EQUIPEMENT NORD PICARDIE (ci-après la société ) est spécialisée dans l’adduction et le traitement de l’eau. Elle assure pour le compte des collectivités territoriales des interventions de maintenance sur les réservoirs d’eaux desservant les populations.

 

Suite à un accident de la circulation survenu durant sa période d’emploi au sein de la société, un salarié en contrat à durée déterminée à souhaité accéder aux données à caractère personnel figurant dans son dossier et spécialement aux données de géolocalisation concernant le véhicule de service qu’il utilisait le jour de l’accident.

 

Cette demande, formulée par courrier le 5 avril 2011, visait à faire reconnaitre par le Tribunal des affaires sociales de sécurité sociale d’ARRAS le caractère d’accident du travail de cet accident de la route. En effet, ce litige porte sur la reconnaissance du caractère professionnel de l’accident de la circulation subi par le plaignant, que l’analyse des données de géolocalisation permettra d’établir.

 

La demande formulée auprès de son employeur s’étant avérée infructueuse, le salarié concerné a déposé une plainte auprès de la Commission nationale de l’informatique et des libertés (ci après la CNIL ou la Commission ) le 23 juin 2011. Le 1er juillet 2011, la Commission a ainsi adressé à la société un courrier l’enjoignant de présenter ses observations et les mesures adoptées pour répondre à la demande d’accès et de communication des informations à caractère personnel détenues par la société.

 

En l’absence de réponse de la société, la Commission a procédé à des relances, par courriers recommandés avec avis de réception en date des 18 août et 28 septembre 2011. Après avoir constaté auprès du plaignant l’absence de délivrance des informations demandées, elle a renouvelé ces demandes par télécopie le 18 novembre 2011.

 

Constatant la persistance de la non-communication des données demandées au plaignant, la Présidente de la Commission a adopté, le 16 décembre 2011, une décision n°2011-032 mettant en demeure la société Equipement Nord Picardie, sous quinze jours :

 

- de communiquer au plaignant l’ensemble des données à caractère personnel le concernant détenues dans l’ensemble des traitements de la société, et en particulier les données collectées par le système de géolocalisation mis en place sur son sur son véhicule ;

 

- de lui communiquer les procédures mise en place pour répondre aux demandes formulées en application de l’article 39 de la loi du 6 janvier 1978 modifiée, s’agissant notamment du droit d’accès des employés aux données les concernant.

 

En réponse à la mise en demeure, la société a, le 4 janvier 2012, adressé un courrier à la Commission lui indiquant la possibilité d’une consultation sur place, par le plaignant, des informations demandées, mais refusant de lui en communiquer une copie.

 

Par courrier du 12 janvier 2012, la Commission adressé un courrier de la société lui rappelant les obligations lui incombant en application de l’article 39 de la loi précitée.

 

En l’absence de réponse à ce dernier courrier et de satisfaction donnée aux demandes du plaignant, un nouveau courrier à été adressé le 17 février 2012, réitéré le 16 mars 2012.

 

Au vu de ces faits, la Présidente de la CNIL a désigné M. Emmanuel de GIVRY, Commissaire, membre de la CNIL, en qualité de rapporteur, afin d’engager, à l’encontre de société, une procédure de sanction fondée sur le I de l’article 45 de la loi du 6 janvier 1978.

 

Le rapport a été communiqué à la société 21 avril 2012. Ce rapport sollicitait de la formation restreinte que celle-ci prononce, au vu des manquements constatés, une sanction pécuniaire d’un montant de 15 000 euros et assortisse cette sanction d‘une mesure de publicité.

 

La société a produit des observations écrites sur le rapport le 22 mai 2012, réitérées oralement lors de la séance de la formation restreinte du 24 mai 2012 et complétées d’un courrier du président de la société le 1er juin 2012. En sa défense, la société fait valoir les observations suivantes.

 

- La société, en forte croissance, a subi une importante désorganisation administrative du fait du succès imprévu rencontré par ses activités commerciales ; par ailleurs, elle ne disposait pas en interne des compétences nécessaires pour répondre aux demandes du plaignant ;

 

- Elle n’est animée d’aucune intention de faire obstacle à l’action de la Commission ; son absence de réponse n’est due qu’à l’indisponibilité de son président pour répondre aux demandes, et à son incompréhension quant à la nature des éléments demandés ;

 

- La durée de conservation des données de géolocalisation ne permet pas d’obtenir du prestataire de géolocalisation les données demandées, la société ne procédant à aucune impression et n’en conservant aucune trace ;

 

- La géolocalisation aurait dysfonctionné jusqu’au mois de février 2012, date à laquelle le système aurait été réellement opérationnel, ayant été doté d’un logiciel plus performant ;

 

- L’ensemble des pièces demandées auraient été transmises par courriel au plaignant.

 

Au vu de l’ensemble de ces faits et procédure, la formation restreinte adopte la Commission dont la teneur suit. 

 

 

 

I. MOTIFS DE LA DÉCISION 

1. SUR LE MANQUEMENT À L’OBLIGATION DE GARANTIR LE DROIT D’ACCÈS.

 

L’article 39-I de la loi du 6 janvier 1978 prévoit que Toute personne physique justifiant de son identité a le droit d’interroger le responsable d’un traitement de données à caractère personnel en vue d’obtenir :

 

1° La confirmation que des données à caractère personnel la concernant font ou ne font pas l’objet de ce traitement ; [...]

 

4° La communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l’origine de celles-ci ;

 

Par mise en demeure en date du 23 décembre 2011, la société a été mise en demeure de respecter ces dispositions en communiquant au plaignant, sous quinze jours, les données dont celui-ci demandait communication.

 

Dans son courrier de réponse en date du 28 décembre 2011, la société a indiqué qu’elle n’empêchait pas le salarié concerné de consulter les données de géolocalisation mais qu’elle ne délivrerait pas de copie des informations demandées, au motif que les documents concernés ne pouvaient quitter l’entreprise.

 

En défense, elle a également fait valoir son incompréhension quant aux éléments à fournir en réponse aux demandes formulées, sa désorganisation conjoncturelle, ainsi que l’impossibilité de déférer à la demande du plaignant faute de pouvoir accéder aux informations demandées, dont aucune trace n’est conservée au delà de six mois dans le dispositif. De manière plus générale, elle reconnaît ne pas s’être mise en mesure de répondre aux exigences posées par la loi du 6 janvier 1978 modifiée et aux demandes de la CNIL, mais soutient toutefois avoir repris contact avec le plaignant après avoir récupéré le dispositif de géolocalisation auprès de la société prestataire qui l’hébergeait précédemment.

 

Il appartient à la formation restreinte de déterminer si la société a satisfait aux demandes posées par la mise en demeure sur ce point.

 

A cet effet, elle relève que la société n’a pas répondu à l’obligation qui pesait sur elle entre le 5 avril 2011 et à tout le moins le 4 janvier 2012. En outre, elle relève que la défense de la société fait état de contradictions incompréhensibles, puisqu’alors même que celle-ci a initialement refusé la délivrance de copie des données au motif que celles-ci ne seraient pas conservées au delà de six mois, elle affirme avoir obtenu de la société prestataire copie des rapports concernant les 1er et 2 mars 2011 tout en ayant transmis ces pièces au plaignant au mois de mai 2012. Il est par ailleurs établi que les données de géolocalisation communiquées par courriel au plaignant ne portaient pas sur la période dont celui-ci demandait communication.

 

Enfin, bien que la société ait indiqué avoir pris contact avec la société prestataire du service de géolocalisation afin d’obtenir communication des données concernant la période litigieuse, il n’en est pas moins établi que la société n’avait pas communiqué au plaignant les données demandées au jour de l’audience, soit près d’un an après la demande initiale de la Commission en ce sens.

 

Dans ces conditions, la formation restreinte constate qu’il n’a pas été satisfait à la demande formulée dans la mise en demeure sur ce point. 

 

 

 

2. SUR LE MANQUEMENT À L’OBLIGATION DE COOPÉRER AVEC LA CNIL

 

L’article 21 de la loi du 6 janvier 1978 prévoit que les dirigeants d’entreprises publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s’opposer à l’action de la commission ou de ses membres et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche.

 

Par décision de la Présidente de la Commission en date du 23 décembre 2011, la société a été mise en demeure de respecter ces dispositions en indiquant à la CNIL quelles étaient les procédures mise en place pour répondre aux demandes formulées en application de l’article 39 de la loi du 6 janvier 1978 modifiée, s’agissant notamment du droit d’accès des employés aux données les concernant.

 

Il appartient à la formation restreinte de décider si la société a répondu à cette demande.

 

Au préalable, la formation restreinte relève que la société s’est abstenue de répondre aux demandes de la Commission à de multiples reprises, celle-ci lui ayant adressé en tout huit courriers et relances, en lettre recommandée avec accusé de réception et par télécopie, ainsi qu’une mise en demeure adressée par la Présidente de la Commission, le 16 décembre 2011.

 

Pour sa défense, la société fait valoir que l’augmentation de son activité à généré des dysfonctionnements en son sein, et qu’elle n’a su comment répondre tant aux demandes du plaignant qu’à celles de la CNIL.

 

L’argument d’un dysfonctionnement ne saurait prospérer face au silence constant de la société et au refus de déférer aux demandes formulées par la Commission dans ces courriers et dans la mise en demeure. en effet, quand bien même cette absence de réaction ne résulterait pas de la mauvaise foi de la société, elle s’apparente à une forme de négligence inacceptable.

 

Dans ces conditions, la formation restreinte constate que la société n’a jamais communiqué à la Commission d’informations relatives à la mise en place de procédures visant à répondre aux demandes formulées en application de l’article 39 de la loi du 6 janvier 1978 modifiée, s’agissant notamment du droit d’accès des employés aux données les concernant.

 

Dans ces conditions, elle constate que la société n’a pas satisfait à la demande formulée dans la mise en demeure du 23 décembre 2011, et qu’elle a donc manqué à l’obligation qui s’impose à elle de coopérer avec la Commission, en application de l’article 21 de la loi du 6 janvier 1978 modifiée. 

- Sur les manquements et la publicité

 

Au vu de ce qui précède, la formation restreinte considère que la société n’a pas répondu aux exigences formulées dans la mise en demeure adoptée par la Présidente le 23 septembre 2012.

 

Elle décide de prononcer à l’encontre de la société une sanction pécuniaire de dix mille euros (10 000 euros).

 

En outre, elle constate que par son comportement dilatoire, la société a pris le risque de priver le plaignant de la possibilité d’accéder aux données dont la conservation n’était assurée avec certitude que six mois après leur enregistrement.

 

Or, la formation restreinte relève que les données dont il est demandé communication, qui portent sur l’immatriculation des véhicules géolocalisés et les périodes de temps de travail concernées, peuvent conditionner l’issue de l’affaire opposant le plaignant à la Caisse Primaire d’Assurance Maladie de l’Artois devant le Tribunal des affaires sociales de sécurité sociale d’ARRAS.

 

Au vu de ces faits, de la négligence inacceptable avec laquelle la société n’a pas agi à temps dans cette affaire, au risque de faire perdre un moyen de preuve essentiel au plaignant, qui plus est en violant les termes d’une mise en demeure adressée par la Commission et de ses obligations légales, la formation restreinte décide de rendre publique sa décision. 

 

PAR CES MOTIFS 

Conformément aux articles 45 et suivants de la loi du 6 janvier 1978 modifiée, la formation restreinte de la CNIL, après en avoir délibéré, décide :

 

- De prononcer une sanction pécuniaire de 10 000 € (DIX MILLE EUROS) à l’encontre de la SOCIETE EQUIPEMENTS NORD PICARDIE;

 

- De rendre publique sa décision sur le site www.cnil.fr ainsi que sur le site www.legifrance.gouv.fr 

 

La Présidente 

 

Claire DAVAL 

 

 

 

 

 

Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification. 

 

 

 

 

Nature de la délibération: SANCTION