Le Quotidien du 16 novembre 2020 : Données personnelles

[Brèves] Faculté, pour la CNIL, de sanctionner sans mise en demeure préalable du responsable de traitement ou de son sous-traitant par le président de la CNIL

Réf. : CE 9° et 10° ch.-r., 4 novembre 2020, n° 433311, mentionné aux tables du recueil Lebon (N° Lexbase : A516633Q)

Lecture: 8 min

N5219BYX

Citation copiée !

Citer l'article

Créer un lien vers ce contenu

Référence copiée !
[Brèves] Faculté, pour la CNIL, de sanctionner sans mise en demeure préalable du responsable de traitement ou de son sous-traitant par le président de la CNIL. Lire en ligne : https://www.lexbase.fr/article-juridique/61366697-0
Copier

par Marie-Lou Hardouin-Ayrinhac

le 10 Novembre 2020

► Le prononcé d'une sanction par la formation restreinte de la CNIL n'est pas subordonné à l'intervention préalable d'une mise en demeure du responsable du traitement ou de son sous-traitant par le président de la CNIL (loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (N° Lexbase : L8794AGS), art. 45, III, dans sa rédaction applicable au litige, devenu l'article 20 de la même loi) ;

Dès lors, la société requérante n'est pas fondée à demander l'annulation de la délibération qu'elle attaque ; sa requête doit être rejetée, y compris ses conclusions tendant à l'application de l'article L. 761-1 du Code de justice administrative (N° Lexbase : L3227AL4).

Faits et procédure. La CNIL, à la suite d'un signalement faisant état de l'existence d'un défaut de sécurité permettant à des tiers non autorisés d'accéder aux données personnelles de candidats à la location d'un bien immobilier ayant téléchargé des documents sur le site « www.sergic.com », a diligenté, le 7 septembre 2018, une mission de contrôle en ligne sur le traitement mis en œuvre par la société d'étude et de réalisation de gestion immobilière de construction (SERGIC), à l'occasion de laquelle a été constaté un manquement aux dispositions de la loi n° 78-17 du 6 janvier 1978 et au « RGPD » (Règlement n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I), dont la société a été informée le jour même. Lors d'une mission de contrôle effectuée sur place le 13 septembre 2018, la délégation de la CNIL a constaté qu'il n'avait pas été porté remède à ce défaut de sécurité. La présidente de la CNIL a alors engagé une procédure de sanction à l'encontre de la société SERGIC. Par une délibération n° 2019-995 du 28 mai 2019, la formation restreinte de la CNIL a infligé à la société SERGIC une amende de 400 000 euros et décidé de rendre cette sanction publique pendant une durée de deux ans à compter de sa publication avant anonymisation.

Par une requête sommaire, un mémoire complémentaire et deux mémoires en réplique, enregistrés les 5 août 2019, 5 novembre 2019, 5 août 2020 et 3 septembre 2020 au secrétariat du contentieux du Conseil d'État, la société SERGIC demande au Conseil d'État :

  • d'annuler la délibération n° SAN-2019-005 du 28 mai 2019 par laquelle la formation restreinte de la Commission nationale de l'informatique et des libertés (CNIL) a prononcé à son encontre une sanction pécuniaire d'un montant de 400 000 euros et ordonné la publication de sa délibération pendant une durée de deux ans, avant anonymisation ;
  • d'enjoindre à la CNIL de publier la décision à venir du Conseil d'État dans les mêmes formes que la délibération attaquée ;
  • de mettre à la charge de la CNIL la somme de 5 000 euros au titre de l'article L. 761-1 du Code de justice administrative.

Décision. Le Conseil d’État décide que la société requérante n'est pas fondée à demander l'annulation de la délibération qu'elle attaque. Sa requête doit être rejetée, y compris ses conclusions tendant à l'application de l'article L. 761-1 du Code de justice administrative.

Possibilité pour les membres de la CNIL et ses agents habilités de télécharger des fichiers rendus accessibles par un défaut de sécurité. En premier lieu, le Conseil d’État énonce qu’il résulte de l'article 44 de la loi du 6 janvier 1978, dans sa rédaction applicable au litige, devenu l'article 19 de la même loi, que pour retranscrire les données d'un service de communication au public en ligne, les membres de la CNIL et ses agents habilités, dans le cadre de leurs missions de contrôle, peuvent télécharger les fichiers rendus accessibles par un défaut de sécurité. Il s'ensuit que c'est à bon droit que la formation restreinte de la CNIL a rejeté la demande de la société requérante tendant à faire déclarer nulles les constatations opérées en ligne par les agents de la CNIL le 7 septembre 2018.

Faculté, pour la CNIL, de sanctionner sans mise en demeure préalable du responsable de traitement ou de son sous-traitant par le président de la CNIL. En deuxième lieu, le Conseil d’État affirme qu’il résulte clairement du III de l'article 45 de la loi du 6 janvier 1978, dans sa rédaction applicable au litige, devenu l'article 20 de la même loi, que le prononcé d'une sanction par la formation restreinte de la CNIL n'est pas subordonné à l'intervention préalable d'une mise en demeure du responsable du traitement ou de son sous-traitant par le président de la CNIL. Il s'ensuit que le moyen tiré de ce que le président de la CNIL aurait méconnu les dispositions du III de l'article 45 de la loi du 6 janvier 1978 en saisissant la formation restreinte sans adresser à la société requérante une mise en demeure préalable, ne peut qu'être écarté.

Durée de conservation des données excédant dans des proportions importantes celle nécessaire à la réalisation de la finalité du traitement. En troisième lieu, le Conseil d’État déclare qu’il résulte de l'instruction, d'une part, que la finalité pour laquelle les données à caractère personnel des candidats à la location sont conservées et traitées par la société requérante est le suivi des demandes de location d'un bien immobilier et, d'autre part, que les missions de contrôle de la CNIL ont révélé que les documents transmis par les personnes désirant louer un bien immobilier étaient conservées, sans archivage intermédiaire, pour tenir compte du délai de prescription de six ans des actions en discrimination. Dès lors, en estimant que la durée de conservation des données excédait dans des proportions importantes celle nécessaire à la réalisation de la finalité du traitement, sans qu'aucune solution d'archivage intermédiaire, qui aurait permis de conserver les données nécessaires à la gestion d'un éventuel contentieux, n'ait été mise en place, la formation restreinte de la CNIL n'a pas méconnu les dispositions du e) du 1° de l'article 5 du « RGPD », ni entaché sa délibération d'erreur manifeste d'appréciation ni d'insuffisance de motivation.

Rappel des conditions générales pour imposer des amendes administratives. En dernier lieu, le Conseil d’État cite l'article 83 du « RGPD ».

Sanction proportionnée. Pour finir, le Conseil d’État observe qu’il résulte de l'instruction que les manquements constatés par la formation restreinte de la CNIL consistaient d'une part, en un défaut de sécurité du site « www.sergic.com » permettant, à des tiers non autorisés d'accéder, au moyen d'une simple modification de liens URL, à plusieurs centaines de milliers de documents téléchargés par plusieurs dizaines de milliers de candidats à la location de logement, tels que des bulletins de salaires, des avis d'imposition, des justificatifs d'identité ou des actes de mariage ou de divorce, qui contiennent des données à caractère personnel lesquelles, sans être nécessairement des données sensibles au sens du « RGPD », concernent la vie privée des personnes, et d'autre part, en une conservation de ces données pendant une durée excessive au regard de la finalité poursuivie par leur traitement. Eu égard à la nature et à la gravité des manquements constatés qu'il aurait été possible de prévenir par des mesures simples de sécurité, comme l'authentification des utilisateurs du traitement, ainsi que par des mesures d'archivage, aux moyens dont disposait la société pour y remédier et au délai avec lequel elle a apporté les mesures correctrices nécessaires, , le Conseil d’État conclut que la formation restreinte de la CNIL n'a pas infligé à la société SERGIC une sanction disproportionnée en prononçant à son encontre une sanction pécuniaire d'un montant de 400 000 euros, représentant moins de 1 % de son chiffre d'affaires pour l'année 2017 et 4 % du plafond des sanctions, accompagnée, pour en assurer le caractère dissuasif et informer les utilisateurs du traitement concerné des risques auxquels ils ont été confrontés, d'une sanction complémentaire consistant en sa publication pendant une durée de deux ans avant son anonymisation.

© Reproduction interdite, sauf autorisation écrite préalable

newsid:475219

Vos notes

add
  • Aucune note pour le moment
Ajouter une nouvelle note


Utilisation des cookies sur Lexbase

Notre site utilise des cookies à des fins statistiques, communicatives et commerciales. Vous pouvez paramétrer chaque cookie de façon individuelle, accepter l'ensemble des cookies ou n'accepter que les cookies fonctionnels.

En savoir plus

Parcours utilisateur

Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.

Réseaux sociaux

Nous intégrons à Lexbase.fr du contenu créé par Lexbase et diffusé via la plateforme de streaming Youtube. Ces intégrations impliquent des cookies de navigation lorsque l’utilisateur souhaite accéder à la vidéo. En les acceptant, les vidéos éditoriales de Lexbase vous seront accessibles.

Données analytiques

Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.