L E S T E M P S F O R T S D E L’ A N N É E 2 0 0 6
LES PREMIÈRES SANCTIONS FINANCIÈRES
En 2006, onze sanctions financières et sept
injonctions de cesser ou modifier un fichier ont
été prononcées par la formation restreinte. Les sanctions
pécuniaires prononcées vont de 300 à 45 000 euros,
elles représentent pour cette année un montant total de
168 300 euros.
La formation restreinte a sanctionné deux établissements
bancaires pour non-respect des règles d’inscription dans
les grands fichiers de la Banque de France. D’autre part,
plusieurs entreprises opérant du démarchage publicitaire
« sauvage » (marketing téléphonique ne respectant pas
le droit d’opposition des personnes, spam) ont été
sanctionnées.
Elle a également sanctionné une étude d’huissiers de
justice (commentaires abusifs sur des débiteurs) ainsi que
des organismes n’ayant pas répondu à ses mises en
demeure ou ayant communiqué des informations erronées.
C’est le cas de la société Tyco Healthcare France dont la
sanction de 30 000 euros a été rendue publique.
La formation restreinte a également prononcé quatre
avertissements à l’encontre d’organismes n’ayant pas
respecté les dispositions de la loi informatique et libertés
(opérateur télécoms, parti politique et banques). Certaines
de ces sanctions ont été rendues publiques. Il s’agit du
Crédit Lyonnais (45 000 euros) et du Crédit Agricole
Centre France (20 000 euros).
En 2006, la formation restreinte a engagé plus d’une
centaine de procédures de mise en demeure ou de
sanction. La plupart des dossiers provenaient de plaintes
déposées auprès de la CNIL ou de contrôles réalisés sur
place. L’accent mis par la Commission sur le contrôle
effectif, par les responsables de traitement, du respect de
la réglementation a pour conséquence de faire croître le
nombre de dossiers examinés par la formation restreinte.
Pour autant, de telles procédures ne revêtent aucun caractère systématique et concernent des organismes vis-à-vis
desquels la CNIL a épuisé toute possibilité de concertation.
Questions à …
conformés aux demandes de la CNIL, il a alors été mis fin à la
procédure de sanction engagée, ainsi que le prévoit la loi.
GUY ROSIER
Conseiller maître honoraire
à la Cour des comptes
Commissaire en charge du secteur
Affaires économiques
Ce résultat vous paraît-il satisfaisant ?
Entièrement ! Quand on relève que 82 % des « mis en demeure »
ont, en définitive, suivi les préconisations de la CNIL, on ne
peut que constater qu’une telle procédure fonctionne bien.
C’est un succès pour l’action de la Commission et, au-delà, la
protection des droits des citoyens.
Alors que la CNIL a engagé plus de cent procédures de sanction
en 2006, seuls onze organismes ont été sanctionnés. Comment
expliquer cette différence ?
Pourquoi procéder à une mise en demeure ?
Comme vous le savez, la loi informatique et libertés, telle
qu’elle a été modifiée en août 2004, prévoit que la CNIL
peut prononcer un avertissement à l’égard du responsable de
Cette mesure peut être adoptée dans trois situations, en vue de
faire respecter :
– l’accomplissement des formalités préalables requises par
la loi. Par exemple, lorsque la CNIL n’a pas été saisie d’une
demande d’autorisation préalable à la mise en place d’un
traitement n’ayant pas respecté les obligations fixées par la loi
et également mettre en demeure ce responsable de faire cesser
fichier d’exclusion ou d’un dispositif biométrique ou n’a pas reçu
de réponses aux questions posées dans le cadre de ses pouvoirs
le manquement constaté, dans un délai de dix jours à trois
mois, selon les cas.
d’investigation (instruction d’une plainte ou d’une déclaration);
– une règle consacrée dans la loi. Il en est ainsi, quand il faut
La mise en demeure constitue donc une étape déterminante
de la procédure de sanction, excepté l’avertissement. Aussi,
pour juger de l’efficacité du dispositif établi à cet effet, il faut
considérer le nombre de décisions de cette nature prononcées
dans l’année par la CNIL. Il y en a eu 94 en 2006, étant
précisé que, dans 82% des cas, les organismes en cause s’étant
assurer la sécurité des dossiers ou supprimer des informations
non pertinentes ou périmées ;
– les droits des personnes. C’est le cas pour la suppression
d’un nom sur une « liste noire », lorsque la justification
d’une telle inscription n’est pas apportée ou encore pour la
reconnaissance par une personne de l’exercice de ses droits
d’accès, de rectification ou d’opposition.
23