00043608 CHARTE Ne
sont autorisées que 2)
les analyses et courtes citations dans un but d’exemple et d’illustration 3)
l’insertion d’extraits dans un ouvrage de formation associées, pour 2) et 3) à la citation du site |
Commission nationale de l’informatique
et des libertés Pouvoir disciplinaire Notification d’un rapport proposant de prononcer une sanction Consultation possible
des pièces au siège de la commission NOTION DE RESPONSABLE DU TRAITEMENT Régime des données à
caractère personnel Conseil d’État 10ème et 9ème sous-sections réunies 12 mars 2014 N° 354629 Vu la
requête sommaire et le mémoire complémentaire, enregistrés au secrétariat du
contentieux du Conseil d’Etat le 6 décembre 2011 et
le 6 mars 2012, présentés pour la société Foncia
Groupe, dont le siège est 3, rue de Londres à Paris (75009), représentée par
son représentant légal ; la société Foncia Groupe
demande au Conseil d’Etat : 1°)
d’annuler la délibération n° 2011-205 du 6 octobre 2011 par laquelle la Commission
nationale de l’informatique et des libertés a, d’une part, prononcé un
avertissement à son encontre, et, d’autre part, décidé de le rendre public ; 2°) de
rendre anonyme la décision à intervenir ; 3°) de
mettre à la charge de l’Etat la somme de 4 000
euros au titre de l’article L. 761-1 du code de justice administrative ; Vu les
autres pièces du dossier ; Vu la
convention européenne de sauvegarde des droits de l’homme et des libertés
fondamentales ; Vu la loi
n° 78-17 du 7 janvier 1978, modifiée notamment par la loi n° 2011-334 du 29
mars 2011 ; Vu le
décret n° 2005-1309 du 20 octobre 2005 ; Vu l’arrêté
du Premier ministre du 9 octobre 2002 relatif au site internet Légifrance ; Vu le code
de justice administrative ; Après avoir
entendu en séance publique : - le
rapport de M. Thierry Carriol, Maître des Requêtes
en service extraordinaire, - les
conclusions de Mme Delphine Hedary, rapporteur
public ; La parole
ayant été donnée, avant et après les conclusions, à la SCP Piwnica, Molinié, avocat de la
société Foncia Groupe ; 1.
Considérant que, par une délibération du 6 octobre 2011, la formation
restreinte de la Commission nationale de l’informatique et des libertés
(CNIL) a infligé à la société Foncia Groupe, holding
spécialisé dans l’administration de biens immobiliers, un avertissement rendu
public pour avoir exploité un traitement informatique, dénommé “ Totalimmo “, recensant les biens immobiliers disponibles
pour des opérations de vente et de location, en méconnaissance de la loi du 6
janvier 1978 relative à l’informatique, aux fichiers et aux libertés ; Sur les
conclusions tendant à l’annulation de la décision attaquée : Sur la
légalité externe de la décision : 2.
Considérant, en premier lieu, qu’en vertu des dispositions de l’article 44 de
la loi du 6 janvier 1978 et de l’article 61 du décret du 20 octobre 2005,
lorsque des membres ou agents de la CNIL opèrent un contrôle dans des locaux
servant à la mise en oeuvre d’un traitement de
données à caractère personnel, le procureur territorialement compétent en est
informé, au plus tard vingt-quatre heures avant le contrôle ; que le
président de la CNIL a informé le 5 mai 2010 le procureur de la République
près le tribunal de grande instance de Nanterre, territorialement compétent,
du contrôle réalisé le lendemain dans les locaux de la société Foncia Groupe à Antony (Hauts-de-Seine) ; que si cette
information a été communiquée à 15 heures pour un contrôle qui a débuté le
lendemain à 9 heures 15, soit dans un délai inférieur à celui de vingt-quatre
heures prescrit par les dispositions précitées, cette circonstance, dont il
n’est pas établi ni même soutenu qu’en raison la brièveté de ces délais, elle
aurait fait obstacle à l’exercice par le procureur de ses pouvoirs, et par
suite à priver la société requérante d’une des garanties légales dont elle
pouvait se prévaloir, n’est pas de nature à affecter la légalité de la
décision attaquée ; 3.
Considérant, en deuxième lieu, que si la société Foncia
Groupe soutient que la décision qu’elle attaque a méconnu le principe du
contradictoire et les droits de la défense, au motif que le rapport du 11 mai
2011 du rapporteur de la CNIL proposant de prononcer une sanction à son
encontre n’était pas accompagné de pièces justifiant de la réalité des
manquements critiqués, il est établi que la CNIL a informé la société, par
des courriers des 12 mai et 21 juin 2011, de la possibilité, qu’elle a
d’ailleurs utilisée le 23 juin 2011, de prendre connaissance de l’ensemble
des pièces du dossier dans les locaux de la commission ; que le moyen tiré de
l’irrégularité de la procédure sur ce point ne peut ainsi qu’être écarté ; 4.
Considérant, en troisième lieu, qu’il ressort des pièces du dossier que la
procédure ayant conduit à infliger un avertissement à la société Foncia Groupe a été menée conformément aux dispositions
de la loi du 6 janvier 1978, modifiées par celles de la loi du 29 mars 2011
relative au Défenseur des droits, entrées en vigueur le 31 mars 2011 ; qu’en
vertu des dispositions de l’article 13 de cette loi ainsi modifiée, le
président de la CNIL, compétent en matière de poursuites, ne siège pas dans
la formation restreinte, compétente pour prononcer des sanctions ; que, par
suite, le moyen tiré de ce que la procédure suivie aurait méconnu les
stipulations de l’article 6 § 1 de la convention européenne de sauvegarde des
droits de l’homme et des libertés fondamentales, ainsi que les principes
d’indépendance et d’impartialité, faute de séparation des fonctions de
poursuite et de sanction au sein de la CNIL, doit être écarté ; Sur le
bien-fondé de la décision attaquée : En ce qui
concerne la qualité de responsable du traitement : 5.
Considérant, en premier lieu, que si la société requérante soutient qu’elle
ne saurait être regardée comme responsable du traitement contesté au sens des
dispositions de l’article 3 de la loi du 6 janvier 1978, aux termes
desquelles : “ Le responsable d’un traitement de données à caractère
personnel est, sauf désignation expresse par les dispositions législatives ou
réglementaires relatives à ce traitement, la personne, l’autorité publique,
le service ou l’organisme qui détermine ses finalités et ses moyens “ et que,
par suite, la CNIL aurait commis une erreur de droit en lui infligeant une
sanction, en méconnaissance de ces dispositions et du principe de
personnalité des peines, applicable aux sanctions administratives, il résulte
de l’instruction que la société Foncia Groupe, qui
a mis à disposition des entités qui lui sont liées le traitement “ Totalimmo “, a décidé de la nature des données collectées
et déterminé les droits d’accès à celles-ci, puis, après le contrôle de la
CNIL, a fixé la durée de conservation des données et apporté des correctifs à
leur traitement ; qu’ainsi, la société Foncia Groupe
détermine les finalités et les moyens du traitement “ Totalimmo
“ ; que la société ne peut être regardée comme sous-traitant au sens des
dispositions de l’article 35 de la loi du 6 janvier 1978 ; que la désignation
d’un correspondant à la protection des données par les entités n’a pas, par
elle-même, pour effet de rendre celles-ci responsables des traitements ; que,
par suite, en estimant que la société Foncia Groupe
pouvait faire l’objet d’une sanction en tant que responsable de ce
traitement, la CNIL a fait une exacte application des dispositions précitées
; En ce qui
concerne la sanction infligée : 6.
Considérant, en deuxième lieu, qu’aux termes de l’article 6 de la loi du 6
janvier 1978 : “ Un traitement ne peut porter que sur des données à caractère
personnel qui satisfont aux conditions suivantes / : (...) 3° Elles (les
données) sont adéquates, pertinentes et non excessives au regard des
finalités pour lesquelles elles sont collectées et de leurs traitements
ultérieurs “ ; qu’aux termes de l’article 8 de la même loi : “ “ I - Il est
interdit de collecter ou de traiter des données à caractère personnel qui
font apparaître, directement ou indirectement, les origines raciales ou
ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance
syndicale des personnes, ou qui sont relatives à la santé ou à la vie
sexuelle de celles-ci. / II - Dans la mesure où la finalité du traitement
l’exige pour certaines catégories de données, ne sont pas soumis à
l’interdiction prévue au I : 1° Les traitements pour lesquels la personne
concernée a donné son consentement exprès, sauf dans le cas où la loi prévoit
que l’interdiction visée au I ne peut être levée par le consentement de la
personne concernée “ ; qu’aux termes du I de l’article 45 de cette loi : “ La
formation restreinte de la Commission nationale de l’informatique et des
libertés peut prononcer, après une procédure contradictoire, un avertissement
à l’égard du responsable d’un traitement qui ne respecte pas les obligations
découlant de la présente loi. Cet avertissement a le caractère d’une sanction
“ ; qu’enfin, aux termes de l’article 46 de la même loi : “ La formation
restreinte peut rendre publiques les sanctions qu’elle prononce (...) “ ; 7.
Considérant que la société requérante soutient que la sanction d’un
avertissement rendu public qui lui a été infligée est disproportionnée ;
qu’il résulte toutefois de l’instruction et n’est d’ailleurs pas contesté que
le contrôle du traitement des données à caractère personnel “ Totalimmo “ a révélé, dans la zone dite de “ commentaires
libres “ de certaines fiches, la présence de données, portant notamment sur
la santé ou les opinions religieuses des personnes, parfois formulées en
termes outrageants, ne répondant pas aux prescriptions des articles 6 et 8 de
la loi précitée ; que la société Foncia Groupe
n’établit pas que des données mentionnées à l’article 8 et recensées dans
certaines fiches individuelles auraient été recueillies, comme elle le
prétend, avec le consentement exprès des personnes concernées ; que, dès
lors, en estimant que la société Foncia Groupe
avait méconnu les dispositions des articles 6 et 8 de la loi du 6 janvier
1978, la CNIL n’a pas commis d’erreur de droit et, eu égard à la gravité des
manquements constatés, ne lui a pas infligé une sanction disproportionnée ; 8.
Considérant, en troisième lieu, que si la décision par laquelle la CNIL rend
publique la sanction prononcée a le caractère d’une sanction complémentaire, aucune
disposition non plus qu’aucun principe n’impose qu’elle fasse l’objet d’une
motivation spécifique, distincte de la motivation d’ensemble de la sanction
principale qu’elle complète ; que, dès lors, le moyen tiré de ce que cette
sanction complémentaire aurait été infligée irrégulièrement faute d’être
motivée par l’intérêt général est sans incidence sur la légalité de la
décision attaquée ; 9.
Considérant qu’il résulte de ce qui précède que les conclusions de la société
Foncia Groupe tendant à l’annulation de la
délibération du 6 octobre 2011 par laquelle la CNIL a décidé de prononcer à
son encontre un avertissement et de le rendre public doivent être rejetées ; Sur les
conclusions tendant à rendre anonyme la publication de la présente décision : 10.
Considérant que la société requérante demande que la présente décision ne
mentionne pas son nom lorsqu’elle sera publiée sur l’Internet par des bases
de données juridiques, notamment par Légifrance ; 11.
Considérant que l’arrêté du Premier ministre du 9 octobre 2002 régissant la
publication sur le site Légifrance des décisions du Conseil d’Etat, statuant au contentieux ne prévoit pas que
celles-ci puissent être rendues anonymes ; que, dès lors que ne peuvent
trouver à s’appliquer, en l’espèce, les conditions tenant à la sauvegarde de
l’ordre public ou au respect de l’intimité des personnes ou de secrets
protégés par la loi auxquelles l’article L. 731-1 du code de justice
administrative subordonne la possibilité de déroger aux principes de
publicité des audiences et à celui de publicité des jugements, figurant
respectivement aux articles L. 6 et L. 10 de ce code, toute personne peut
obtenir copie de la présente décision ; que, par suite, les conclusions
tendant à rendre celle-ci anonyme doivent être rejetées ; Sur les
conclusions présentées au titre de l’article L. 761-1 du code de justice
administrative : 12.
Considérant que les dispositions de l’article L. 761-1 du code de justice
administrative font obstacle à ce qu’une somme soit mise à ce titre à la
charge de l’Etat qui n’est pas, dans la présente
instance, la partie perdante ; D E C I D E
: -------------- Article 1er
: La requête de la société Foncia Groupe est
rejetée. Article 2 :
La présente décision sera notifiée à la société Foncia
Groupe et à la Commission nationale de l’informatique et des libertés. Copie en
sera adressée, pour information, au Premier ministre. commentaires Nous
publions cette décision du Conseil d’État pour montrer ce que pourra être une
procédure de la Commission de contrôle des professions immobilières. Elle est
caractérisée notamment par la notification au professionnel incriminé d’un
projet de sanction avec invitation au destinataire à prendre connaissance des
pièces du dossier au siège de la commission. Toutefois
la délibération du 6 octobre 2011 montre qu’il existe une possibilité de discussion contradictoire par échange de
notes ou conclusions. En l’espèce la légèreté de FONCIA dans le cours de
cette phase procédurale a été pour beaucoup dans la relative sévérité de la
sanction. La CNIL
bénéficie de pouvoirs d’investigation assez larges ! Des membres ou
agents de la CNIL ont opéré un contrôle dans des locaux servant à la mise en
œuvre d’un traitement de données à caractère personnel. Nous ne connaissons
pas encore les pouvoirs qui seront conférés à « notre » Commission
de contrôle. Par
ailleurs il est intéressant de relever que le professionnel incriminé a
prétendu qu’il n’avait pas la qualité de responsable du traitement au sens
des dispositions de l’article 3 de la loi du 6 janvier 1978, aux termes
desquelles : « Le responsable d’un traitement de données à caractère
personnel est, sauf désignation expresse par les dispositions législatives ou
réglementaires relatives à ce traitement, la personne, l’autorité publique,
le service ou l’organisme qui détermine ses finalités et ses moyens » Il est jugé
« que la société Foncia Groupe, qui a mis à
disposition des entités qui lui sont liées le traitement “ Totalimmo “, a décidé de la nature des données collectées
et déterminé les droits d’accès à celles-ci, puis, après le contrôle de la
CNIL, a fixé la durée de conservation des données et apporté des correctifs à
leur traitement ; qu’ainsi, la société Foncia
Groupe détermine les finalités et les moyens du traitement “ Totalimmo ». Le monde
immobilier « snobe » la CNIL. Il est vrai que celle-ci ne fait pas
grand cas de l’évolution des activités immobilières et de la complexité
croissante de la gestion des copropriétés. D’où l’existence d’une norme
simplifiée obsolète. On admettra qu’en l’espèce il n’y avait pas grande
possibilité de discuter le caractère illicite de certains enregistrements.
Nous rappelons toutefois que certaines mentions relatives à l’état de santé
figurent dans les fichiers des professionnels pour des raisons tout à fait
pertinentes et qu’il en être de même pour des mentions religieuses. Abstrats : 26-07-04 DROITS CIVILS ET INDIVIDUELS. -
IDENTIFICATION DE LA PERSONNE RESPONSABLE DU TRAITEMENT - INDICES [RJ2] -
DÉFINITION DES FINALITÉS ET DES MOYENS DU TRAITEMENT. 26-07-10-02
DROITS CIVILS ET INDIVIDUELS. - CONTRÔLE DANS DES LOCAUX SERVANT À LA MISE EN
ŒUVRE D’UN TRAITEMENT DE DONNÉES À CARACTÈRE PERSONNEL - 1) PRINCIPE -
OBLIGATION D’INFORMER LE PROCUREUR TERRITORIALEMENT COMPÉTENT AU PLUS TARD
VINGT-QUATRE HEURES AVANT LE CONTRÔLE - EXISTENCE - 2) ESPÈCE - INFORMATION
COMMUNIQUÉE DANS UN DÉLAI INFÉRIEUR DE CINQ HEURES QUARANTE-CINQ MINUTES AU
DÉLAI DE VINGT-QUATRE HEURES PRESCRIT - ABSENCE D’OBSTACLE À L’EXERCICE PAR
LE PROCUREUR DE SES POUVOIRS - PRIVATION D’UNE GARANTIE AU SENS DE LA
JURISPRUDENCE DANTHONY [RJ1] - ABSENCE. Résumé : 26-07-04
Société ayant mis un traitement de données à caractère personnel à
disposition des entités qui lui sont liées, décidé de la nature des données
collectées et déterminé les droits d’accès à celles-ci puis, après le
contrôle de la Commission nationale de l’informatique et des libertés (CNIL),
ayant fixé la durée de conservation des données et apporté des correctifs à
leur traitement. Ainsi, cette société, qui détermine les finalités et les
moyens du traitement, doit être regardée comme le responsable du traitement,
la désignation d’un correspondant à la protection des données par les autres
entités n’ayant pas, par elle-même, pour effet de rendre celles-ci
responsables des traitements. 26-07-10-02
1) En vertu des dispositions de l’article 44 de la loi n° 78-17 du 6 janvier
1978 et de l’article 61 du décret n° 2005-1309 du 20 octobre 2005, lorsque
des membres ou agents de la Commission nationale de l’informatique et des
libertés (CNIL) opèrent un contrôle dans des locaux servant à la mise en oeuvre d’un traitement de données à caractère personnel,
le procureur territorialement compétent doit en être informé, au plus tard
vingt-quatre heures avant le contrôle.,,,2) En l’espèce, si l’information a
été communiquée au procureur territorialement compétent à 15 heures pour un
contrôle qui a débuté le lendemain à 9 heures 15, soit dans un délai
inférieur de cinq heures quarante-cinq minutes au délai de vingt-quatre
heures prescrit, cette circonstance, dont il n’est pas établi ni même soutenu
qu’en raison de la brièveté de ces délais, elle aurait fait obstacle à
l’exercice par le procureur de ses pouvoirs, et par suite privé la société
requérante d’une des garanties légales dont elle pouvait se prévaloir, n’est
pas de nature à affecter la légalité de la décision de sanction prononcée par
la CNIL. [RJ1] Cf.
CE, Assemblée, 23 décembre 2011, Danthony et
autres, n° 335033, p. 649.,,[RJ2] Cf., pour le recours
à la méthode du faisceau d’indices, CE, 27 juillet 2012, Société AIS 2, n°
340026, T. p. 766. |
Mise à jour |