Une récente décision du Conseil d’État montre les limites qui encerclent les pouvoirs de la CNIL. Cet arrêt annule une délibération du 28 juin 2007 de la Commission Informatique et Libertés qui avait infligé une amende de 50 000 euros à une entreprise, après deux visites sur place dans ses locaux.
Dans cette affaire, une société d’agents privés spécialisée notamment dans le recouvrement de créance avait été contrôlée sur place par des agents de la Commission. Durant l’examen, ils décelèrent un traitement de données personnelles ainsi qu’une ribambelle de violations de la loi de 1978. Les fichiers illégaux contenaient par exemple des données relatives à la santé des personnes et à leur passé judiciaire, ne présentaient pas des garanties de sécurité, etc. En avril 2006, la CNIL met la société en demeure. Mais en octobre 2006, une nouvelle visite sur place constate la persistance des problèmes. La CNIL se fâche et inflige une sanction de 50 000 € en enjoignant la société de cesser d’exploiter ces fichiers, du moins sans régularisation des manquements.
Le Conseil d’État, saisi par la société, annulera cette décision. Pourquoi ? La loi autorise les membres de la CNIL et les agents habilités à avoir accès, de 6 heures à 21 heures, dans l’enceinte des établissements contrôlés. Toutefois, la CNIL a l’obligation d’informer préalablement le responsable des lieux de l’objet des vérifications. Cette information permet au chef d’entreprise de s’opposer à cette visite. Le cas échéant, la Commission peut alors se voir autoriser par un juge de mener à bien ses vérifications…
Or ici, la CNIL a oublié de donner cette information lors des visites, ou du moins n’a pu en apporter la preuve. Du coup, conclut le Conseil d’État, la sanction infligée « a été prise au terme d’une procédure irrégulière et elle doit [donc] être annulée » ; Comme le signale le site Legalis.net, ces 50 000 euros « devront être remboursés, la décision du Conseil d’État étant définitive ».
Dans cette affaire, une société d’agents privés spécialisée notamment dans le recouvrement de créance avait été contrôlée sur place par des agents de la Commission. Durant l’examen, ils décelèrent un traitement de données personnelles ainsi qu’une ribambelle de violations de la loi de 1978. Les fichiers illégaux contenaient par exemple des données relatives à la santé des personnes et à leur passé judiciaire, ne présentaient pas des garanties de sécurité, etc. En avril 2006, la CNIL met la société en demeure. Mais en octobre 2006, une nouvelle visite sur place constate la persistance des problèmes. La CNIL se fâche et inflige une sanction de 50 000 € en enjoignant la société de cesser d’exploiter ces fichiers, du moins sans régularisation des manquements.
Le Conseil d’État, saisi par la société, annulera cette décision. Pourquoi ? La loi autorise les membres de la CNIL et les agents habilités à avoir accès, de 6 heures à 21 heures, dans l’enceinte des établissements contrôlés. Toutefois, la CNIL a l’obligation d’informer préalablement le responsable des lieux de l’objet des vérifications. Cette information permet au chef d’entreprise de s’opposer à cette visite. Le cas échéant, la Commission peut alors se voir autoriser par un juge de mener à bien ses vérifications…
Or ici, la CNIL a oublié de donner cette information lors des visites, ou du moins n’a pu en apporter la preuve. Du coup, conclut le Conseil d’État, la sanction infligée « a été prise au terme d’une procédure irrégulière et elle doit [donc] être annulée » ; Comme le signale le site Legalis.net, ces 50 000 euros « devront être remboursés, la décision du Conseil d’État étant définitive ».
![[Enquête] Les escrocs du scraping](https://cdnx.nextinpact.com/compress/100-75/data-next/images/bd/square-linked-media/12848.jpg)
