Recours juridictionnels à l’encontre d’une décision de sanction de la CNIL (et son défaut d’anonymisation)
En avril 2013, la CNIL avait prononcé une décision de sanction à l’encontre d’un responsable de traitement, suite à la constatation de plusieurs manquements par ce dernier à son obligation d’assurer la sécurité et la confidentialité des données traitées.
La sanction infligée consistait en un avertissement assorti d’une mesure de publication sur le site de la CNIL et Légifrance.
Le traitement concerné était un système de vote électronique, utilisé au sein de l’entreprise dans le cadre de ses élections professionnelles. Ce système avait été élaboré par un prestataire, qui avait d’ailleurs, et de sa propre initiative, participé à la procédure devant la CNIL en présentant des observations.
Plusieurs recours ont été formés devant le Conseil d’Etat suite à cette décision de sanction, tant par le responsable de traitement que par la société tierce.
Le responsable de traitement est-il soumis à l’obligation de sécurité en cas de sous-traitance ?
Le prestataire était en effet considéré, pour la mise en œuvre du système de vote électronique en cause, comme le sous-traitant du responsable de traitement, au sens de la Loi Informatique et Libertés.
Le Conseil d’Etat rappelle que, en application de l’article 35 de ladite loi, le fait que des opérations de traitement de données soient effectuées par un sous-traitant ne vient pas décharger le responsable de traitement de son obligation de préserver la sécurité des données, et ce dès lors que le sous-traitant agissait sur instruction du responsable de traitement.
L’atteinte aux données à caractère personnel traitées est-elle une condition préalable au prononcé d’une sanction par la CNIL ?
Le responsable de traitement considérait que la sanction de la CNIL était illégale du fait de l’absence de prise en compte de ce critère pour fonder son analyse.
Sans surprise, le Conseil d’Etat décide que cette circonstance est sans incidence. L’absence d’atteinte effective aux données personnelles des personnes visées par le traitement, en l’espèce les électeurs, ou même l’absence d’atteinte aux principes du droit électoral ou aux libertés publiques n’a pas d’impact sur la légalité de la décision de la CNIL.
La CNIL est-elle tenue par les décisions de sanction précédemment prononcées ?
Le défaut de proportionnalité de la sanction était également soulevé par le responsable de traitement. Le Conseil n’a cependant pas accueilli cet argument, estimant que la sanction ordonnée était proportionnée au regard de la nature et de la gravité des manquements constatés, et que la publication de la décision était « appropriée à la recherche de l’exemplarité ».
Dans ce cadre, le Conseil d’Etat a également précisé que le fait que la CNIL ait, par le passé, prononcé des sanctions moins strictes pour des faits similaires n’a pas d’incidence sur la légalité de la délibération en cause.
Sous quelles conditions un tiers peut-il demander l’anonymisation d’une délibération de la CNIL?
Le prestataire avait, quant à lui, formé un recours pour excès de pouvoir devant la juridiction administrative du fait de la publication de mentions de la délibération le concernant. Il convient de rappeler qu’il avait, au préalable, demandé à la présidente de la CNIL de procéder à l’anonymisation de la publication, mais que sa demande avait été rejetée.
Tout d’abord, le Conseil d’Etat a rappelé que, si la formation restreinte de la CNIL est seule compétente pour réexaminer les sanctions prononcées, tel n’est pas le cas de l’examen des demandes de tiers tendant soit à l’absence de publication des mentions les concernant, soit à l’anonymisation de telles mentions. La présidente de la CNIL était donc compétente pour statuer sur cette demande.
Le Conseil a ensuite précisé que lorsqu’une telle demande est formulée par un tiers, pour une décision de sanction qui ne lui fait pas grief, la CNIL est tenue de faire droit à cette demande sous la seule réserve de la vérification de l’existence des mentions concernées.
Le Conseil d’Etat a cependant décidé que la présence de telles mentions ne donnait pas à la société tierce d’ « intérêt à demander l’annulation de cette délibération, dont le dispositif ne lui fait pas grief ».
Camille BURKHART
Téléchargez cet article au format .pdf
Confirmation en appel du statut d’éditeur d’un site de vente aux enchères et de parking de noms de domaine