CNIL : sanction pécuniaire à l'encontre d'un grand de la distribution

La CNIL (Commission nationale de l'informatique et des libertés) a récemment prononcé une sanction financière pour non respect de la loi Informatique, fichiers et libertés. Procédure désormais classique, à l'issue d'un contrôle et d'injonctions "sans frais" non suivies d'effet. En voici les étapes.

Des commentaires sur les clients non pertinents, au sens de la loi

À la suite de plusieurs plaintes, la CNIL a décidé d’effectuer un contrôle dans un centre auto d’une grande surface LECLERC, située dans les Yvelines. Les contrôleurs de la CNIL ont alors constaté que le fichier client comportait des dizaines de commentaires excessifs tels que : «Attention ne plus intervenir sur le véhicule client de mauvaise foi problème crédit», «mari avocat maître chanteur voir monsieur R. avant intervention».

Vidéo-surveillance et contrôle des horaires non déclarés

Les contrôleurs ont aussi constaté qu’une cinquantaine de caméras surveillaient les lieux, notamment l’hypermarché, sans que le dispositif ait été déclaré à la CNIL (pour les parties non ouvertes au public). Même constat pour le système de contrôle des horaires de travail.

Absence d'information des intéressés

Mise en demeure de déclarer ses fichiers, de supprimer les commentaires injurieux ou inexacts, de mettre en place une information des clients sur le fichage de leurs données et de limiter la conservation dans le temps de ces données, la société n’a pas répondu à la CNIL.

Lors de l’audience de la formation contentieuse, la société a indiqué qu’elle avait néanmoins pris des mesures pour se conformer à la loi, notamment en supprimant définitivement les commentaires dans ses fichiers clients et en veillant à mieux les informer de l’utilisation de leurs données (vidéosurveillance, par exemple).

Non respect même après les injonctions de la CNIL

La CNIL a cependant établi que le manquement relatif à l’information des personnes persistait car la société n’avait toujours mis en place d’information des clients ou des salariés (plus de 500) concernant différents fichiers  mis en œuvre (fichiers clients pouvant contenir jusqu’à plus de 100 000 noms ; gestion des horaires, de la paie pour le personnel). En s’abstenant de toute information à destination de ses clients et de ses salariés, la société ne leur permet pas d’exercer les droits conférés par la loi  «informatique et libertés», tel que celui de s’opposer ou de rectifier les informations inexactes.

Sanction pécuniaire avec publication de celle-ci

Ces éléments, ajoutés à l’absence de réponse à la mise en demeure, ont conduit la formation contentieuse de la CNIL à prononcer une sanction, rendue publique, de 30 000 euros à l’encontre de la société LECLERC ARCYDIS.

Source : communiqué de la CNIL du 27 mars dernier

Comme on le voit, il importe de bien se conformer à cette loi destinée, rappelons-le, à protéger les citoyens contre des traitements de données les concernant réalisés à leur insu.

Voir notre Fiche synthétique sur la loi

Précédentes actualités sur d'autres sanctions pécuniaires :
17 avril 2007 (Tyco Healthcare
11 juin 2007 (Crédit agricole)

Didier FROCHOT