• Home  / 
  • DELIBERATION 2009-469

DELIBERATION 2009-469

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l’informatique et des libertés, réunie en formation restreinte, sous la présidence de M. Alex TURK ;
Etant aussi présents M. Emmanuel de GIVRY, vice-président délégué, Mme Isabelle FALQUE-PIERROTIN, vice-présidente, Mme Claire DAVAL, M. Sébastien HUYGHE et M. Jean-Marie COTTERET, membres ;
Vula Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ;
Vule décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié par le décret n° 2007-451 du 25 mars 2007 ;
Vu la délibération n° 2006-147 du 23 mai 2006 fixant le règlement intérieur de la Commission nationale de l’informatique et des libertés ;
Vu la délibération n° 2007-012 du 25 janvier 2007 de la Commission nationale de l’informatique et des libertés mettant en demeure la SCP X , notifiée le 27 février 2007 ;
Vu le rapport de M. MASSOT, commissaire rapporteur, notifié à la société par lettre recommandée avec avis de réception le 5 juin 2009 ;
Vu les autres pièces du dossier ;
Après avoir entendu, lors de la réunion du 9 juillet 2009 :

  • M. MASSOT, commissaire, en son rapport ;
  • Mme ROLIN, commissaire du Gouvernement, en ses observations ;
  • Maître G , avocat de la société ;
  • Maître L. , huissier de justice associé de la SCP.

Maître G. ayant pris la parole en dernier.

  1. Faits et procédure

A. Faits
La société civile professionnelle X. (ci après « la SCP ») est une étude d’huissiers de justice située à MONTPELLIER. Celle-ci partage ses locaux avec la SCP X.
1) Le contrôle sur place du 15 décembre 2006
En application de la décision n° 2006-110 C du 6 décembre 2006 du Président de la Commission nationale de l’informatique et des libertés (ci après « CNIL » ou « la Commission »), une délégation de la Commission s'était rendue le 15 décembre 2006 dans les locaux de la SCP, afin d’effectuer un contrôle sur place.
La délégation s’était attachée à examiner le progiciel de gestion des débiteurs et des créanciers dénommé « PRIAM », base de données alimentée par la SCP dans le cadre de ses enquêtes.
Des extractions effectuées et dénommées « adresse.dbf » et « agentdos.dbf » avaient révélé l’existence de nombreux commentaires dans les fiches informatiques des débiteurs, tels que par exemple « idiot fini », « maladie alcoolique et syndrome dépressif », « son fils va faire une cure de désintoxication car alcoolique », « deb en maladie cancer avec métastase », « fréquent séjour prison pr pb drogue », « est en prison pour viol de ses enfants », «vit dans taudis » ou encore « appt très sale ».
En outre, il avait été constaté que l’application « PRIAM » était accessible aux collaborateurs de la SCP, sans qu’un mot de passe ne soit exigé.
Il avait par ailleurs été relevé que les deux études d’huissiers partageant les locaux avaient mis en commun leurs moyens informatiques. Ainsi, le progiciel « PRIAM » s’articulait principalement autour d’une table d’identités commune aux deux SCP (comprenant les données d’identification des personnes enregistrées qu’elles soient débitrices ou créancières : nom, prénom, adresse, qualité, profession, etc.) et de deux tables de gestion des dossiers appartenant respectivement à chaque SCP. Les collaborateurs d’une SCP pouvaient accéder aux informations contenues dans la base alimentée par l’autre SCP, les deux structures ayant parfois des débiteurs en commun.
Enfin, il avait été noté qu’au jour du contrôle, le traitement de gestion des débiteurs et des créanciers n’avait fait l’objet d’aucune formalité préalable auprès de la CNIL.
2) La mise en demeure du 25 janvier 2007
En conséquence, à la suite de la mission de contrôle effectuée le 15 décembre 2006, la formation restreinte de la CNIL a par une délibération n° 2007-012 du 25 janvier 2007, mis la SCP en demeure, sous un délai d’un mois, de :
« - procéder à la suppression des mentions visées dans l’annexe à la présente mise en demeure ainsi que toute autre mention susceptible de ne pas être conforme aux articles 6-1°, 6-3°, 8 et 9-2° de la loi du 6 janvier 1978 modifiée qui serait enregistrée dans tout traitement de données à caractère personnel mis en œuvre au sein de l’étude et en justifier ;
- apporter toute garantie (sensibilisation du personnel, contrôles réguliers du contenu des fichiers, etc.) permettant à la CNIL de considérer que les manquements qui ont été constatés ne se reproduiront pas à l’avenir ;
- définir un dispositif d’accès sécurisé au progiciel « PRIAM » (mot de passe et journalisation des accès) permettant notamment de garantir que les collaborateurs n’auront accès qu’aux dossiers de l’étude (et non aux dossiers de la SCP Y ou aux dossiers de toute autre étude d’ huissiers) ;
- procéder à l’accomplissement des formalités préalables concernant notamment le progiciel « PRIAM » ainsi que tout autre traitement qui serait mis en œuvre au sein de la SCP ;
- informer la CNIL que les termes de la présente mise en demeure ont bien été respectés dans le délai imparti ».
Cette mise en demeure avait été notifiée à la SCP le 27 février 2007.
3) La réponse de la SCP du 21 mars 2007
Par un courrier du 21 mars 2007, la SCP avait répondu à l’ensemble des points soulevés dans la mise en demeure.
Tout d’abord, elle avait fait savoir à la Commission que l’ensemble du personnel de l’étude avait été sensibilisé « afin de corriger et effacer les termes non conformes reproduits dans les aide-mémoire » et qu’il avait été demandé au « prestataire de la société PRIAM de bien vouloir, par souci d’efficacité, au moyen de balayage et de mots clé, procéder à l’effacement des termes litigieux ».
La SCP avait, toutefois, précisé qu’elle pensait en toute bonne foi être en droit de traiter de telles données au regard de la finalité pour laquelle elles étaient collectées, à savoir l’exécution forcée de décisions de justice ou de titres exécutoires. Elle avait également souligné l’intérêt « de connaître s’il y a lieu l’éventuelle agressivité d’un débiteur ».
La SCP s’était tout de même engagée « outre la sensibilisation du personnel, confirmée par une note de service » à « mettre en œuvre avec son prestataire, une vérification régulière des fichiers avec suppression le cas échéant, des mots litigieux et révision périodique pour faire disparaître les informations très anciennes ».
En outre, la SCP avait indiqué à la Commission que l’accès au progiciel PRIAM allait être sécurisé par la mise en place de mots de passe individuels régulièrement modifiés et par la journalisation des accès. Toutefois, la SCP avait fait valoir que la mise en commun du dispositif informatique était justifiée par l’association des deux études au sein d’une société en participation, dont les statuts prévoient le partage du personnel, des locaux et du matériel.
Un modèle de lettre d’information affichée à l’accueil de l’étude et en interne ainsi qu’un formulaire de déclaration normale avaient par ailleurs été joints au courrier de la SCP du 21 mars 2007.
Cette déclaration, enregistrée sous le numéro 1226682 a pour « finalité » l’« exercice de l’activité d’huissier de justice et rédaction des documents y afférents » et plus précisément selon les indications fournies au dossier, le recouvrement de créances, l’exécution et le suivi de procédures amiables et judiciaires, la production, la signification et la conservation d'actes authentiques ainsi que la production de courriers et de documents divers.
4) Le courrier de la CNIL du 21 juin 2007
Réunie le 30 mai 2007 en formation restreinte, la Commission avait formulé un certain nombre d’observations sur la réponse apportée par la SCP à la mise en demeure n° 2007-012 du 25 janvier 2007.
Il avait tout d’abord été demandé que l’affichage du panneau d’information soit complété d’une mention d’information inscrite sur les correspondances.
En outre, la Commission avait estimé que la structure juridique de la société en participation ne justifiait nullement la mise en œuvre d’un dispositif informatique permettant un échange systématique d’informations entre deux études d’huissiers juridiquement distinctes.
Enfin, il avait été rappelé à la SCP que la collecte d’informations relatives à la santé des personnes, leur passé judiciaire ou leur numéro de sécurité sociale était interdite par la loi du 6 janvier 1978 modifiée.
Dans son courrier du 21 juin 2007, la Commission avait estimé que sous réserve d’une réponse de la part de la SCP sur ces points dans un délai d’un mois, il serait possible de considérer que l’étude d’huissier s’était conformée à la mise en demeure. Il avait néanmoins été précisé que « cette analyse ne préjugeait en aucune manière des suites données à des vérifications ultérieures qui pourraient être effectuées par la Commission afin de s’assurer du respect des termes de la mise en demeure ou de la réalité de faits nouveaux qui pourraient être portés à sa connaissance ».
Ce courrier notifié le 27 juin 2007 à la SCP n’a jamais fait l’objet d’une réponse de sa part.
5) Le contrôle sur place du 15 janvier 2009
Afin de vérifier le respect de la mise en demeure, une délégation de la CNIL s’est rendue sur place le 15 janvier 2009 afin d’effectuer une mission de contrôle.
a. La nature des données traitées
Il a, tout d’abord, été constaté que des données litigieuses étaient toujours contenues dans les bases du progiciel PRIAM.
A la suite de la mise en demeure de la CNIL, une table recensant les données contraires à la loi aurait été créée par la SCP puis transmise à la société prestataire PRIAM afin que celle-ci remplace dans la base de données active les mentions litigieuses par un sigle « + ». Or, une telle opération n’a pas été mise en œuvre pour les données enregistrées dans la base « archives ». En outre, cette purge de données n’a été effectuée qu’une seule fois et aucune systématisation de ce type d’action n’a été prévue par la SCP.
L’exploitation de données extraites de la base active a permis de constater que sur les 25 fiches de débiteurs qui avaient été jointes à la mise en demeure (ne représentant nécessairement qu’une partie des fiches concernées ) et qui comportaient des données excessives, 12 fiches ont été supprimées de la base active, 4 fiches ont été modifiées (le sigle « + » remplaçant les mots litigieux) et 9 fiches n’ont pas été modifiées du tout.
Un comptage a permis d’établir que 34 autres fiches de débiteurs ont été expurgées de mots litigieux. Les purges auraient été faites à partir de mot-clé tels que « cancer » ou « prison » mais il n’a pas été tenu compte du contexte de la phrase. Ainsi, il subsiste des phrases dont le sens est parfaitement compréhensible telles que par exemple « deb a été libéré de +++ », « deb a un +++ du pancréas » ou « +++ a l'héroïne ».
La méthodologie utilisée afin de procéder à ces purges de mots-clés pose question, de nombreuses fiches de débiteurs contenant en effet des mots ou expressions qui sont pourtant remplacés par des « + » dans d’autres fiches.
L’exploitation des données extraites de la base active a également permis de constater que, malgré une sensibilisation du personnel qui semble effective, des fiches postérieures à la mise en demeure comportent des éléments tels que par exemple « avait des prob de drogues et de justice », « fils incarcéré a la prison de Perpignan », « grave dépression nerveuse » ou « en cours de séparation ».
b. La sécurité et la confidentialité des données
La mission de contrôle sur place a révélé que l’architecture du système informatique utilisé par la SCP avait été modifiée de sorte que chaque SCP dispose désormais de sa propre base de données et possède sa propre liste de personnel susceptible d’accéder à cette base.
Chaque salarié accède à la base de données de la SCP dans laquelle il travaille grâce à un mot de passe individualisé. Or, les mots de passe n’ont pas été renouvelés depuis plus de 18 mois. En outre, le partage des mêmes locaux par les deux SCP facilite, semble-t-il, des échanges ponctuels d’information entre les salariés.
c. L’information des personnes
Enfin, la délégation de la CNIL a pu constater qu’un panneau d’information "informatique et libertés" était installé dans la salle d’attente de la SCP et qu’une mention d’information était insérée dans les courriers émis par la SCP.
B. Procédure
A la suite de cette mission de vérification sur place, il a été décidé d’engager, conformément au I de l’article 45 de la loi du 6 janvier 1978 modifiée, une procédure de sanction pécuniaire à l’encontre de la SCP, compte tenu de la nature, de la gravité et de la réitération des manquements constatés. A cette fin, le rapport de M. Jean MASSOT, proposant à la formation restreinte de la CNIL de prononcer une sanction d’un montant de 20 000 euros rendue publique, a été notifié à la SCP le 5 juin 2009.
Au soutien de sa demande et au vu des constats précités, le rapporteur a fait valoir l’existence de cinq manquements à la loi « Informatique et Libertés », à savoir l’obligation d’effectuer une collecte loyale et licite des données, l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données, l’interdiction de collecter ou de traiter des données à caractère personnel qui sont relatives à la santé des personnes, l’interdiction de mettre en œuvre des traitements de données à caractère personnel relatives à des infractions ainsi que l’obligation de veiller à la sécurité et à la confidentialité des données.
Le 2 juillet 2009, la SCP a fait parvenir à la CNIL ses observations en défense.
La SCP soutient, tout d’abord, avoir en toute bonne foi exécuté la mise en demeure de la CNIL du 25 janvier 2007, en procédant notamment à la sensibilisation de son personnel, en confiant à son prestataire informatique le soin de purger les données litigieuses et en nommant un correspondant à la protection des données à caractère personnel (CIL) mutualisé par l’intermédiaire de la chambre nationale des huissiers de justice, après avoir déclaré le traitement automatisé auprès de la CNIL. La SCP rappelle le contexte dans lequel elle se trouve depuis plusieurs années : destruction de l’étude à la suite d’un incendie en août 2005, évolution de la profession et du statut des huissiers de justice (extension de compétences, modification de la carte judiciaire…) et concertation entre la chambre nationale des huissiers de justice et la CNIL.
En outre, la SCP indique avoir adopté de nouvelles mesures depuis la notification du rapport de sanction, à savoir la désignation d’un nouveau CIL qui est commun à l’étude E et employé de cette dernière. Ce correspondant sera chargé notamment de procéder aux nettoyages des fichiers, au renouvellement des mots de passe et à l’établissement d’une « charte informatique et de traitement des données ».
Enfin, la SCP soutient qu’une sanction financière rendue publique ne serait pas justifiée en l’état, l’étude ayant réellement cru que les mesures adoptées en réponse à la mise en demeure de la CNIL étaient satisfaisantes et que les instances représentatives des huissiers de justice « étudiaient le problème avec la CNIL ».
Puis, lors de la séance de la formation restreinte de la CNIL du 9 juillet 2009, la SCP représentée par Maître G. , avocat de la société et par Maître L. , huissier de justice associé, a présenté ses diverses observations orales.
Sans nullement contester la matérialité des faits, la SCP a, de nouveau, exposé à la Commission les mesures prises à la suite de la mise en demeure, mesures qu’elle pensait satisfaisantes. Puis, elle a fait part de ses observations sur chacun des manquements soulevés par le commissaire rapporteur, avant d’attirer l’attention de la formation restreinte quant au préjudice qu’engendrerait la publicité de la sanction pécuniaire.

  1. Motifs de la décision 

Un manquement à l’obligation d’effectuer une collecte loyale et licite des données
La Commission rappelle qu’aux termes du 1° de l’article 6 de la loi n° 78-17 du 6 janvier 1978 modifiée, les données à caractère personnel doivent être « collectées et traitées de manière loyale et licite ».
Dans sa délibération n° 2007-012 du 25 janvier 2007, la Commission avait mis la SCP en demeure de supprimer les mentions visées en annexe ainsi que toute autre mention susceptible de ne pas être conforme aux 1° de l’article 6. Il lui avait également été demandé d’apporter toute garantie afin qu’un tel manquement ne se reproduise pas à l’avenir.
Dans sa réponse du 21 mars 2007, la SCP avait indiqué à la Commission avoir procédé à la sensibilisation de son personnel et avoir demandé à son prestataire d’effectuer l’effacement des termes litigieux. Une vérification régulière des fichiers devait, en outre, être mise en œuvre.
Il a été relevé à l’occasion du contrôle sur place du 15 janvier 2009, que le progiciel PRIAM utilisé par la SCP pour la gestion des débiteurs et des créanciers contenait toujours des commentaires litigieux tel que « avait des prob de drogues et de justice », « fils incarcéré a la prison de Perpignan », « grave dépression nerveuse », « en cours de séparation » ou « frappait son épouse et est en prison ». Cette base est notamment alimentée par des informations obtenues par l’étude d’huissiers, dans le cadre d’enquêtes effectuées auprès de la personne concernée ou de tiers, sans que l’intéressé ait été informé de la destination de ses données à caractère personnel et du traitement qui en est fait.
La SCP n’a apporté aucun élément de réponse sur ce point.
La Commission estime que la collecte et le traitement de certaines informations intéressant le débiteur lui-même ou son entourage familial sont déloyales dans la mesure où la personne concernée ignore le traitement qui est fait de ses données. Ainsi, en continuant à collecter et à traiter de telles informations, malgré les engagements pris dans son courrier du 21 mars 2007, la SCP ne s’est pas conformée à la mise en demeure de la CNIL n° 2007-012 du 25 janvier 2007.
Un manquement à l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données
La Commission rappelle qu’aux termes du 3° de l’article 6 de la loi n° 78-17 du 6 janvier 1978 modifiée, les données à caractère personnel doivent être « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ».
Dans sa délibération n° 2007-012 du 25 janvier 2007, la Commission avait mis la SCP en demeure de supprimer les mentions visées en annexe ainsi que toute autre mention susceptible de ne pas être conforme aux 3° de l’article 6 précité. Il lui avait également été demandé d’apporter toute garantie afin qu’un tel manquement ne se reproduise pas à l’avenir.
Or, le rapporteur a relevé qu’au jour du contrôle sur place du 15 janvier 2009, la base « active » de PRIAM contenait toujours des commentaires litigieux, tant dans des fiches signalées par la CNIL dans le cadre de sa mise en demeure que dans des fiches créées postérieurement à celle-ci. En outre, l’opération de vérification, qui n’avait été réalisée par la SCP et son prestataire qu’une seule fois depuis la mise en demeure et uniquement pour la base « active », avait conduit à purger certains mots-clés et à les remplacer par le sigle « + », sans s’attacher à expurger ces commentaires de leur sens.
La SCP fait valoir que, certes, la base « archive » n’a pas été traitée par le prestataire informatique mais celle-ci ne serait jamais consultée par le personnel de l’étude. S’agissant des dossiers « actifs », la SCP expose que la purge automatique programmée par le prestataire n’a pas fonctionné de façon homogène, selon que le mot litigieux était ou non entouré d’espaces ou de ponctuations. Concernant la présence de nouveaux commentaires litigieux dans de récentes fiches de débiteurs, la société explique avoir pourtant bien procédé à la sensibilisation de son personnel. Dorénavant, le nouveau CIL désigné sera en charge du nettoyage des fichiers. Pour autant, si la société insiste sur le caractère involontaire de la persistance du manquement, celle-ci soutient tout de même que les mentions contestées seraient pertinentes car elles permettraient aux huissiers de justice de connaître les conditions de vie des débiteurs et ainsi s’adapter aux situations de chacun.
La Commission admet que des traitements de données à caractère personnel puissent comporter des zones de commentaires destinées à enregistrer des informations objectives nécessaires au suivi d’un dossier. Néanmoins, elle considère que la SCP collecte et traite un certain nombre de données allant bien au-delà de simples informations liées à la solvabilité des débiteurs. Certaines des informations renseignées par la SCP, telles que par exemple des problèmes de drogues ou de violence intra-familiale, sont manifestement dépourvues de tout lien avec la finalité du traitement mis en œuvre, à savoir le recouvrement de créances, l’exécution et le suivi de procédures amiables et judiciaires ainsi que la production, la signification et la conservation d'actes authentiques. Au surplus, l’usage de ces mentions dont le but serait de mieux connaître le profil d’un débiteur et s’adapter à sa situation est disproportionné au regard de la finalité du traitement.
En conséquence, la Commission estime que la SCP ne s’est pas conformée à la mise en demeure sur ce point.
Un manquement à l’interdiction de collecter ou de traiter des données à caractère personnel qui sont relatives à la santé des personnes
Aux termes du I de l’article 8 de la loi n° 78-17 du 6 janvier 1978 modifiée, il est interdit de collecter ou de traiter des données à caractère personnel qui sont relatives à la santé des personnes.
Le rapporteur a rappelé que les données de santé sont des données sensibles bénéficiant d’une protection particulière de la loi « Informatique et Libertés ».
La SCP fait valoir que le traitement mis en œuvre ne serait pas soumis à l’interdiction précitée, la société bénéficiant des exceptions prévues aux 1° et 5° du II de l’article 8 qui visent respectivement « les traitements pour lesquels la personne concernée a donné son consentement exprès » et « les traitements nécessaires à la constatation, à l’exercice ou à la défense d’un droit en justice ».
La Commission relève d’une part, que le consentement exprès de la personne exige qu’il soit libre, éclairé et explicite. La circonstance que la société obtiendrait des informations relatives à la santé des débiteurs ou de leur entourage familial, directement auprès du débiteur lui-même n’implique nullement que ce dernier consentirait expressément à ce que ce type de renseignements figure dans un fichier de la société. La SCP semble entretenir une confusion entre l’origine des données collectées et le consentement exprès des personnes concernées.
La Commission considère d’autre part, que la mention d’information telle que « dépression nerveuse » ou « +++ du pancréas » ne constitue aucunement un traitement nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice. L’exception précitée vise, par exemple, un fichier de santé constitué dans l’hypothèse où un salarié viendrait à se prévaloir d'une maladie professionnelle, ou des fichiers d’avocats traitant de dossiers de responsabilité médicale. En l’espèce, le traitement de données de santé effectué par la SCP dans le cadre du recouvrement de créances, n’a pas vocation à servir à la constatation, à l’exercice ou à la défense d’un droit en justice et a fortiori n’est pas « nécessaire » au sens de l’article précité.
La SCP, en continuant de traiter des données relatives à la santé des personnes, ne s’est pas conformée à la mise en demeure de la CNIL n° 2007-012 du 25 janvier 2007.
Un manquement à l’interdiction de mettre en œuvre des traitements de données à caractère personnel relatives à des infractions
Aux termes du 2° de l’article 9 de la loi n° 78-17 du 6 janvier 1978 modifiée, les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté ne peuvent être mis en oeuvre que par « les auxiliaires de justice, pour les stricts besoins de l’exercice des missions qui leur sont confiées par la loi ».
Le rapporteur a rappelé que ce type de traitement de données à caractère personnel fait également l’objet d’un régime particulier, la loi « Informatique et Libertés » ayant réservé leur mise en œuvre à certaines catégories de responsables de traitement, telles que les auxiliaires de justice, les juridictions, les autorités publiques ou les personnes morales gérant un service public. Le rapporteur relève néanmoins que certains des commentaires identifiés dans la base de données utilisée par la SCP, tels que par exemple « fils incarcéré à la prison de Perpignan » sont manifestement excessifs au regard des missions qui incombent à une étude d’huissiers de justice.
La SCP expose que des renseignements tels que l’incarcération d’un débiteur sont utiles puisqu’ils permettent de déterminer l’adresse de l’intéressé et d’établir que celui-ci est sans emploi et/ou sans revenu.
Quand bien même la mention de l’emprisonnement d’un débiteur s’avèrerait utile afin de déterminer sa domiciliation ou expliquer son absence d’emploi, la Commission relève que bon nombre des mentions dépassent largement les stricts besoins de l’exercice des missions confiées à des huissiers de justice.
La Commission rappelle que parmi les commentaires constatés lors de la mission de contrôle du 15 décembre 2006, figuraient toujours lors du contrôle sur place du 15 janvier 2009, des fiches indiquant « RMI depuis 06/04 (avant en prison)», « déb a fait de la prison », « serait un habitué de la prison », « deb sorti de ++++++ le 22.12.2001 » ainsi que « deb a été libéré de ++++++ le 08/09/01 ». Ces informations relatives à l’incarcération de débiteurs, qui portent ainsi sur des faits passés et parfois lointains, n’étaient dès lors justifiées ni en 2006 ni en 2009.
La Commission relève que des mentions portant sur l’incarcération de tiers ont également été retrouvées parmi les anciennes fiches utilisées par la SCP. Ainsi, la mention « sœur deb serait en prison » n’avait pas été effacée. Le traitement de telles données qui concernent des tiers et non pas le débiteur lui-même, excède les stricts besoins de l’exercice des missions confiées à des huissiers de justice en charge du recouvrement de créances et ne peut ainsi être légitimement mis en œuvre par la SCP.
Il résulte de ce qui précède qu’en poursuivant la mise en œuvre d’un traitement de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté, ne correspondant pas aux stricts besoins de l’exercice des missions confiées à des huissiers de justices, la SCP ne s’est pas conformée à la mise en demeure de la CNIL n° 2007-012 du 25 janvier 2007 .
Un manquement à l’obligation de veiller à la sécurité et à la confidentialité des données
La Commission rappelle qu’en application de l’article 34 de la loi n° 78-17 du 6 janvier 1978 modifiée, « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
Dans sa délibération n° 2007-012 du 25 janvier 2007, la Commission avait mis la société en demeure de « définir un dispositif d’accès sécurisé au progiciel « PRIAM » (mot de passe et journalisation des accès) permettant notamment de garantir que les collaborateurs n’auront accès qu’aux dossiers de l’étude ».
Dans sa réponse du 21 mars 2007, la SCP avait notamment indiqué à la CNIL que l’accès au progiciel PRIAM allait être sécurisé par la mise en place de mots de passe individuels régulièrement modifiés et par la journalisation des accès.
Le rapporteur a relevé que si depuis la mise en demeure de la Commission, chaque salarié de l’étude dispose d’un mot de passe individualisé, pour autant les mots de passe attribués n’avaient, au jour du contrôle sur place, pas été renouvelés depuis plus de 18 mois.
La SCP soutient qu’un renouvellement régulier des mots de passe ne sécuriserait pas davantage les données traitées. Néanmoins, la SCP précise que la rédaction de la charte informatique qui sera mise en œuvre par le nouveau CIL désigné, permettra de définir une politique de renouvellement des mots de passe.
La Commission considère, à l’inverse, qu’un renouvellement régulier des mots de passe est une précaution indispensable pour garantir la sécurité et la confidentialité des données. Le mot de passe est par essence un élément clef de la sécurité du réseau et des données. En cas de divulgation de celui-ci à un tiers, interne ou externe à la société, son renouvellement régulier permet de limiter, dans le temps, l’usurpation. Il en va de même dans l’hypothèse d’une captation, par exemple par un logiciel espion, du couple identifiant / mot de passe à l’insu des utilisateurs et des administrateurs.
En conséquence, la Commission estime qu’à la suite de la mise en demeure, la SCP aurait du mettre en place un renouvellement régulier des mots de passe, et ce a fortiori dans le contexte particulier de partage des locaux avec un autre organisme. La SCP ne s’est donc que partiellement conformée à la mise en demeure de la CNIL.
Sur les manquements constatés
En conséquence, eu égard aux manquements constatés aux 1° et 3° de l’article 6 ainsi qu’aux articles 8, 9 et 34 de la loi n° 78-17 du 6 janvier 1978 modifiée, la SCP X, qui ne s’est que partiellement conformée à la mise en demeure n° 2007-012 du 25 janvier 2007, verra prononcer à son encontre une sanction pécuniaire d’un montant de 10 000 euros.
Sur la publicité de la délibération
Eu égard à la nature des manquements constatés, au surplus réitérés par la SCP malgré les engagements pris par elle dans son courrier du 21 mars 2007, aucune circonstance de l’espèce n’est de nature à faire obstacle à ce que la délibération à intervenir soit rendue publique sur le site internet de la CNIL et sur le site internet Légifrance.
PAR CES MOTIFS
Conformément aux articles 45 et suivants de la loi du 6 janvier 1978 modifiée, la formation restreinte de la CNIL, après en avoir délibéré, décide de :

  • prononcer à l’encontre de la SCP X. une sanction pécuniaire de 10 000 euros ;
  • publier la présente décision sur le site internet de la CNIL et sur la base « Légifrance ».

La SCP X. dispose d’un délai de deux mois à compter de la notification de la présente décision pour exercer à son encontre un recours devant le Conseil d’Etat.
A Paris, le

Le Président


Alex TURK

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: