La CNIL sanctionne le défaut de coopération et impose la publication de décisions de sanction
La CNIL a prononcé en octobre, novembre et décembre 2013 (délibérations n°2013-319 ; 2013-320 ; 2013-366 ; 2013-400) des sanctions financières à l’encontre de quatre sociétés, au titre de divers manquements à la loi « Informatique et Libertés » du 6 janvier 1978 (ci-après « la Loi »). Elle a choisi de publier ces décisions sur son site Internet.
Si la CNIL connaît sa capacité limitée de sanction financière (maximum de 150 000 euros), elle sait que son véritable pouvoir réside dans la publication des décisions, susceptible d’avoir un impact majeur sur l’image et la réputation des entreprises sanctionnées.
De nombreux manquements à la loi « Informatique et libertés »
Chacune des sociétés avait commis divers manquements à la Loi. Deux d’entre elles avaient mis en place un dispositif biométrique et un système de vidéosurveillance de leurs locaux, en méconnaissance de la Loi. Les systèmes n’avaient pas été déclarés à la CNIL bien que la Loi impose à l’employeur, responsable du traitement des données vidéos, de déclarer ce dispositif à la CNIL et d’informer individuellement les salariés de la présence de caméras.
De même, aucune demande d’autorisation n’avait été formulée préalablement à la mise en œuvre du dispositif biométrique.
Après avoir contrôlé les deux entreprises, la CNIL les a mises en demeure de se conformer à la loi. Constatant le défaut de mise en œuvre de ses prescriptions, la CNIL a infligé à chacune une sanction financière de 10.000 euros.
La troisième société avait également mis en place un système de vidéosurveillance sans l’avoir préalablement déclaré. Elle s’était en outre contentée d’informer ses salariés par le biais d’un panneau d’affichage « local placé sous vidéosurveillance », alors que la CNIL avait précisé par voie de mise en demeure, que cet affichage était insuffisant au regard de la Loi. Prenant acte de l’absence de réaction de la société, la CNIL l’a elle aussi condamnée au versement de 10.000 euros.
Enfin, pour avoir tardé à mettre son système de géolocalisation en conformité avec la Loi, une dernière société a été condamnée à 3.000 euros d’amende par la CNIL. Mise en demeure de modifier son système de géolocalisation de véhicules, la société n’avait pas respecté les délais imposés par la CNIL, ce qui a justifié sa condamnation.
Un manquement général à l’obligation de coopération avec la CNIL
Chacune des décisions de la CNIL a sanctionné le manquement à l’obligation pesant sur tout responsable de traitement de données, de répondre aux demandes de la CNIL (article 21 alinéa 2 de la Loi). L’autorité de protection reproche aux entreprises qu’elle sanctionne d’avoir omis de le faire, ne répondant jamais ou de manière très lacunaire à ses demandes. Elle précise sur son site www.cnil.fr que ces « quatre décisions confirment la volonté de la CNIL de sanctionner les organismes qui entraveraient son action en vue d’une mise en conformité, notamment en s’abstenant de répondre à ses courriers ».
Il semble donc primordial pour les entreprises de prendre en considération les demandes de la CNIL, puisqu’il n’est pas dans sa politique de prononcer des sanctions immédiatement après la constatation d’un manquement. En général, la CNIL commence par adresser un simple courrier demandant à la société de communiquer certains renseignements. Si la CNIL n’obtient pas de réponse satisfaisante, elle réitère le plus souvent sa demande par un ou plusieurs autres courriers. Ce n’est donc qu’après un long délai que la CNIL met en demeure une société de se conformer à la loi. In fine, la CNIL n’engage que rarement une procédure de sanction à l’encontre d’une société.
Le risque de réputation au cœur des problématiques « Informatique et Libertés »
C’est également en raison de ce refus manifeste de coopération, que la CNIL a décidé de rendre publique ces décisions de sanction. Chacune des quatre décisions rendues précise clairement « En outre, en raison du refus manifeste de coopération de la société avec la commission, la formation restreinte décide de rendre cette décision publique ».
Acadomia, Sony, Google…les entreprises dont l’image a profondément souffert du fait de la publication de sanctions prononcées par la CNIL sont nombreuses. Longtemps regardé par les entreprises comme ne générant que des risques faibles, le droit des données personnelles est aujourd’hui un paramètre essentiel dans la stratégie de gestion des risques juridiques et financiers de l’entreprise. Une mise en demeure, une sanction, mais également une faille de sécurité ou la révélation d’un non-respect de la vie privée des clients ou salariés peuvent fortement impacter la réputation d’une marque et conduire à une chute des ventes ou du cours de bourse.
A propos de l’auteur
Anne-Laure Villedieu, avocat associée. Elle intervient en matière de conseils, contentieux, rédactions d’actes et négociations notamment dans les domaines de droit d’auteur, droit de la propriété industrielle (marques, brevets, dessins et modèles), droit de l’informatique, des communications électroniques et protection des données personnelles.
Analyse juridique parue dans la revue Option Finance du 3 février 2014