CNIL 27e RAPPORT D’ACTIVITÉ 2006
Qu’est-ce que c’est ?
LA FORMATION RESTREINTE
Il s’agit de la formation contentieuse créée en 2004 par le législateur et composée de six
commissaires ayant le pouvoir de prononcer des sanctions.
Typologie des manquements constatés
par la formation restreinte manquements de fond
Typologie des dossiers présentés
en formation restreinte - secteur privé
Agences de détectives
privés (4%)
Spam
2%
Presse (2%)
Droit d'accès
2%
Associations et partis
politiques (2%)
Données sensibles
9%
Commerce (40%)
Internet (3%)
Télécoms (8%)
FICP - FCC
21%
Atteinte grave à l'intimité
de la vie privée
16%
Information des
personnes
15%
Sécurité
14% Droit d'opposition
8%
Banque (36%)
Préventel
4%
Liste noire
9%
Questions à …
conscience qu’elle a entraînée, la décision Crédit Lyonnais
a eu des répercussions positives au sein de l’ensemble de la
profession bancaire.
PHILIPPE NOGRIX
Sénateur de l’Ille-et-Vilaine
Commissaire en charge du secteur
« Monnaie et crédit »
Rapporteur en formation restreinte dans le
dossier Crédit Lyonnais
En quoi la décision de sanction du Crédit Lyonnais vous paraîtelle exemplaire ?
La décision de sanction financière d’un montant de
45 000 euros prise à l’encontre du Crédit Lyonnais est
fondamentale, et ceci pour deux raisons.
La CNIL a tout d’abord sanctionné une pratique qu’elle
estime être particulièrement stigmatisante pour les personnes
concernées, à savoir le fichage abusif dans les fichiers de
la Banque de France. Ce faisant, la CNIL entend utiliser ses
nouveaux pouvoirs de sanction afin de garantir le respect des
droits fondamentaux des personnes.
Mais la CNIL a également sanctionné le manque de
coopération dont il avait été fait preuve dans le cas
d’espèce. Il convient ainsi de rappeler qu’aux termes de la loi
informatique et libertés, tout responsable de traitement est tenu
à une stricte obligation de collaboration et de transparence
vis-à-vis de la CNIL.
Au-delà, je crois au caractère pédagogique des décisions
de sanction prononcées par la CNIL. Par la prise de
24
À la lumière de cette première expérience, considérez-vous que
la possibilité de prononcer des sanctions pécuniaires va changer
le rapport CNIL/responsables de traitement ?
La CNIL est une institution multiforme qui dispose, par la loi,
d’une multitude de compétences très différentes. Tenue à une
obligation de conseil à l’égard des responsables de traitement,
elle est également une autorité de contrôle (contrôle des
déclarations, instruction des plaintes et missions de vérification
sur place) et, désormais, une autorité de sanction.
Dans ce contexte, la CNIL s’engage, vis-à-vis de ses
interlocuteurs, dans une démarche cohérente où la mise en
œuvre d’une procédure de sanction n’est que l’aboutissement
d’un long processus, lorsque les étapes préalables du conseil
et du contrôle se sont avérées insuffisantes à engager par
exemple une entreprise dans une démarche de mise en
conformité.
Le conseil, la recommandation et la persuasion sont préférables
à l’injonction et à la contrainte. C’est donc le bon sens et
l’intérêt stratégique qui justifient tout d’abord la mise en
œuvre d’un partenariat entre la CNIL et les responsables de
traitement. Pour autant, il faut clairement reconnaître que
les nouveaux pouvoirs dont dispose aujourd’hui la CNIL
modifient le regard que portent les responsables de traitement
sur la réglementation. En effet, il est indéniable que le risque
d’image et le risque juridique liés à l’exploitation de données
personnelles sont plus importants qu’ils ne l’étaient hier.