Première sanction de 45 000 € prononcée par la CNIL

Les nouveaux pouvoirs de la CNIL

Depuis la réforme de la loi « Informatique et libertés » et l’adoption de son décret d’application du 20 octobre 2005[1], la CNIL a le pouvoir de prononcer à l’encontre des responsables de traitements de données personnelles des avertissements publics ou non, ainsi que des mises en demeure de faire cesser les manquements constatés[2]. Si ces derniers ne s’y conforment pas, la CNIL peut alors leur imposer des sanctions pécuniaires (150 000 € maximum et 300 000 € en cas de récidive ou 5 % du chiffre d’affaires dans la limite de 300 000 €), ou une injonction de cesser le traitement.

En cas d’urgence, lorsque la mise en oeuvre d’un traitement ou l’exploitation des données traitées entraîne une violation des droits de l’homme, de la vie privée ou des libertés individuelles ou publiques, la CNIL peut, après une procédure contradictoire[3], décider l’interruption du traitement ou le verrouillage de certaines données pour une durée de trois mois maximum[4].

De plus, si l’autorité administrative indépendante constate une atteinte grave et immédiate aux droits et libertés, son président peut demander, par la voie du référé et le cas échéant sous astreinte, toute mesure de sécurité nécessaire à la sauvegarde de ces droits[5].

Enfin, la CNIL dispose dorénavant du pouvoir de rendre publiques toutes les sanctions qu’elle prononce, en cas de mauvaise foi du responsable des traitements, en ordonnant leur insertion dans des publications, journaux et supports qu’elle désigne.

La mise en œuvre des nouveaux pouvoirs de la CNIL

Dans la pratique, la CNIL agit généralement à l’occasion d’une plainte dénonçant des agissements contraires à la loi et ses textes d’application.

La plainte est ensuite instruite par les services de la CNIL, qui en communiquent l’objet au responsable du traitement incriminé, de manière à lui permettre de fournir toutes explications utiles.

A l’issue de cette première phase, le président ou le vice-président délégué de la CNIL peut décider de :

- classer la plainte

- Chercher une solution par voie de concertation

- adresser une lettre d’observation au responsable du traitement incriminé

- faire procéder à une mission de contrôle ou de vérification sur place

- désigner un rapporteur, en vue d’engager une procédure relative à la prise d’une mesure ou au prononcé d’une sanction

- transmettre le dossier au procureur de la République compétent

- saisir en référé la juridiction compétente.

L’application à la banque mise en cause

Dans le cadre de l’instruction de la plainte d’un client du Crédit Lyonnais, au motif que l’établissement bancaire n’avait pas procédé à la mainlevée de son inscription au FICP[6], la CNIL a demandé à la banque par courrier de lui indiquer la nature exacte des incidents de paiement ayant justifié cette inscription au fichier central de la Banque de France et les raisons pour lesquelles elle n’avait pas procédé à son défichage au moment de la régularisation de l’incident de paiement.

Considérant que le Crédit Lyonnais n’avait pas apporté de réponse adéquate, malgré une seconde demande complémentaire, la CNIL a alors procédé à deux missions de contrôle et de vérification sur place. L’une, auprès de l’agence teneur du compte du requérant, l’autre au centre informatique du Crédit Lyonnais.

Il est ressorti de ces investigations, contrairement aux écrits de la banque[7], que l’inscription au FICP et la régularisation des incidents de paiement étaient bien conservées dans une application informatique interne au Crédit Lyonnais. De surcroît, la CNIL a découvert qu’un « incident technique survenu dans les systèmes informatiques du Crédit Lyonnais, à la suite du changement d’un prestataire, a empêché le défichage automatique de certains clients ayant régularisé leur incident de paiement ».

Parallèlement à cette action, la CNIL avait saisi le Crédit Lyonnais de demandes similaires concernant trois plaintes de ses clients relatives à leur inscription au fichier des retraits « CB » de la Banque de France. Le Crédit Lyonnais avait refusé de répondre en invoquant le secret professionnel bancaire, alors même « que ce secret a pour vocation de protéger le titulaire du compte lui-même »[8], qui en l’espèce ont mandaté la CNIL pour procéder à des vérifications auprès d’un responsable de traitement.

Or, au regard de la loi Informatique et libertés, ces rétentions d’informations constituent une entrave à l’action de la CNIL.

En effet, est puni d’un an d’emprisonnement et de 15 000 € d’amende le fait, d’une part, de dissimuler des documents ou des renseignements[9], d’autre part, d’invoquer de manière injustifiée le secret professionnel[10].

Au vu de ces éléments, la CNIL a donc mis en demeure le Crédit Lyonnais de justifier les différences relevées entres les informations communiquées et celles constatées par la CNIL lors de ses deux missions de contrôle relatifs au FICP, ainsi que d’apporter toute garantie sur la régularité des trois inscriptions au fichier des retraits « CB ».

La réponse du Crédit Lyonnais n’a pas convaincu la CNIL sur la non-dissimulation d’informations et a, au contraire, démontré que les inscriptions au fichier retrait « CB » n’étaient pas justifiées, car non liés à des incidents de paiement directement liés à l’usage d’une carte bancaire.

Dans ces conditions, la CNIL a notifié à la banque les sanctions envisagées, reçue ses observations écrites et orales lors d’une audition.

Epilogue

Après audition de la banque, la CNIL a appliqué ses nouveaux pouvoirs en prononçant une sanction pécuniaire de 45 000 € :

- 30 000 € correspondant au triple de la somme mise en recouvrement dans la première affaire (FICP), en raison de la gravité des manquements.

- 5000 € pour chacune des trois inscriptions injustifiées au fichier retrait « CB ».

Et compte tenu de la mauvaise foi du Crédit Lyonnais, la publication de la décision de sanction de la CNIL dans les quotidiens Le Figaro et La Tribune.

Cette décision montre l’intérêt de nommer, en interne ou en externe, son « correspondant Informatiques et libertés » (CIL)[11] qui, outre les allègements administratifs dans la création ou la gestion des fichiers clients ou prospects, garantit un contact privilégié avec la CNIL auprès d’un service dédié.

Véritable conseil « Informatique et libertés », il réduira d’autant les risques juridiques tout en améliorant l’image de son entreprise (un second décret d’application de la loi devra prochainement organiser la mise en place d’un label pour les organismes ayant désigné un CIL).

Au 11 septembre 2006, 416 organismes ont notifié leur CIL à la CNIL (liste consultable sur le site www.cnil.fr).

Nicolas Samarcq

Juriste TIC

www.lexagone.com