Conseil d'État, 10ème et 9ème sous-sections réunies, 20 octobre 2010, 327916

  • 39 de la loi du 6 janvier 1978)·
  • Droits civils et individuels·
  • Responsable du traitement·
  • Données personnelles·
  • Cnil·
  • Informatique·
  • Caractère·
  • Commission nationale·
  • Fichier·
  • Sociétés

Chronologie de l’affaire

Résumé de la juridiction

Aux termes de l’article 32 de la loi n° 78-17 du 6 janvier 1978, toute personne peut à tout moment avoir accès aux données à caractère personnel la concernant contenues dans un fichier. Cet article fait obligation au responsable du traitement de transmettre au demandeur les données dont il sollicite la communication, sauf si la demande présente un caractère abusif. La circonstance que le responsable du traitement a auparavant répondu favorablement à une demande de l’avocat de l’intéressé, formulée dans le cadre d’un litige avec son employeur, est sans influence sur l’existence de l’obligation.

Chercher les extraits similaires

Commentaires sur cette affaire

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. En savoir plus

Sur la décision

Sur les parties

Texte intégral

Vu la requête, enregistrée le 12 mai 2009 au secrétariat du contentieux du Conseil d’Etat, présentée par la SOCIETE CENTRAPEL, dont le siège est 8, rue de la Ville-l’Evêque à Paris (75008), représentée par sa présidente en exercice ; la SOCIETE CENTRAPEL demande au Conseil d’Etat :

1°) d’annuler la délibération du 18 décembre 2008 par laquelle la Commission nationale de l’informatique et des libertés (CNIL) lui a infligé une sanction de 5 000 euros ;

2°) de mettre à la charge de la CNIL la somme de 2 000 euros en application de l’article L. 761-1 du code de justice administrative ;

Vu les autres pièces du dossier ;

Vu la loi n° 78-17 du 6 janvier 1978 ;

Vu le code de justice administrative ;

Après avoir entendu en séance publique :

— le rapport de M. Gilles Pellissier, Maître des Requêtes,

— les observations de la SCP Capron, Capron, avocat de la SOCIETE CENTRAPEL,

— les conclusions de Mme Sophie-Justine Lieber, rapporteur public ;

La parole ayant été à nouveau donnée à la SCP Capron, Capron, avocat de la SOCIETE CENTRAPEL ;

Sans qu’il soit besoin de statuer sur les fins de non-recevoir opposées par la Commission nationale de l’informatique et des libertés ;

Considérant qu’aux termes de l’article 45 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dans sa rédaction applicable à la date de la délibération attaquée : « I – La Commission nationale de l’informatique et des libertés peut prononcer un avertissement à l’égard du responsable d’un traitement qui ne respecte pas les obligations découlant de la présente loi. Elle peut également mettre en demeure ce responsable de faire cesser le manquement constaté dans un délai qu’elle fixe. Si le responsable d’un traitement ne se conforme pas à la mise en demeure qui lui est adressée, la commission peut prononcer à son encontre, après une procédure contradictoire, les sanctions suivantes : 1° Une sanction pécuniaire, dans les conditions prévues par l’article 47, à l’exception des cas où le traitement est mis en oeuvre par l’Etat » ;

Considérant que, par une délibération du 18 décembre 2008, la Commission nationale de l’informatique et des libertés (CNIL) a, en application de ces dispositions, infligé à la SOCIETE CENTRAPEL une sanction de 5 000 euros pour n’avoir pas déféré à la mise en demeure qu’elle lui avait adressée le 14 juin 2007 de communiquer à M. A l’ensemble des données personnelles le concernant, y compris celles figurant dans son dossier papier et de lui communiquer l’intégralité des mesures prises pour assurer le respect des dispositions de la loi du 6 janvier 1978 modifiée relatives à l’information des personnes dont les données étaient collectées ainsi qu’à la mise en oeuvre de leurs droits d’accès, d’opposition et de rectification de ces données ; que la SOCIETE CENTRAPEL demande l’annulation de cette sanction ;

Considérant, en premier lieu, qu’aux termes de l’article 39 de la loi du 6 janvier 1978 susvisée : « I. – Toute personne physique justifiant de son identité a le droit d’interroger le responsable d’un traitement de données à caractère personnel en vue d’obtenir : (…) 4° La communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l’origine de celles-ci. / (…) II. – Le responsable du traitement peut s’opposer aux demandes manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique. (…) » ; qu’aux termes de l’article 2 de la même loi : « La présente loi s’applique aux traitements automatisés de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l’exception des traitements mis en oeuvre pour l’exercice d’activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l’article 5. / (…) Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés. » ;

Considérant qu’il résulte de ces dispositions que toute personne peut à tout moment avoir accès aux données à caractère personnel la concernant contenues dans un fichier ; que si le responsable du traitement de ces données a auparavant répondu favorablement à une demande de l’avocat de l’intéressé, formulée dans le cadre d’un litige avec son employeur, cette circonstance est sans influence sur l’application des dispositions de l’article 39 de la loi du 6 janvier 1978 qui font obligation au responsable du traitement, sauf si la demande dont il est saisi présente un caractère abusif, de transmettre au demandeur les données dont il sollicite la communication ;

Considérant qu’il résulte de l’instruction que la SOCIETE CENTRAPEL a refusé de communiquer à l’un de ses salariés, M. A, les données à caractère personnel contenues dans son dossier individuel, lequel constitue un fichier au sens des dispositions précitées de l’article 2 de la loi du 6 janvier 1978, au seul motif qu’elle les avaient déjà communiquées à son avocat dans le cadre de la procédure de licenciement qu’elle avait engagée à son encontre ; que cette circonstance n’étant pas de nature à la dispenser de l’obligation de communiquer ces données lorsque la demande lui en fut faite sur le fondement des dispositions précitées de l’article 39, la CNIL a pu légalement relever ce manquement à ces dispositions et mettre la société requérante en demeure de communiquer l’intégralité des données personnelles du demandeur qu’elle détenait puis, constatant qu’elle n’y avait pas déféré, décider de lui infliger une sanction ;

Considérant, en second lieu, qu’aux termes de l’article 32 de la loi du 6 janvier 1978, modifiée : " I. – La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable, par le responsable du traitement ou son représentant : 1° De l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ; 2° De la finalité poursuivie par le traitement auquel les données sont destinées ; 3° Du caractère obligatoire ou facultatif des réponses ; 4° Des conséquences éventuelles, à son égard, d’un défaut de réponse ; 5° Des destinataires ou catégories de destinataires des données ; 6° Des droits qu’elle tient des dispositions de la section 2 du présent chapitre ; 7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d’un Etat non membre de la Communauté européenne. / (…) III. – Lorsque les données à caractère personnel n’ont pas été recueillies auprès de la personne concernée, le responsable du traitement ou son représentant doit fournir à cette dernière les informations énumérées au I dès l’enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données. » ; que les articles 38, 39 et 40 de la même loi confèrent sous certaines conditions aux personnes physiques dont les données à caractère personnel font l’objet de traitements le droit de s’opposer à leur traitement, d’en obtenir communication et d’exiger qu’elles soient, le cas échéant, rectifiées, complétées, mises à jour, verrouillées ou effacées ; que l’ensemble de ces dispositions obligent le responsable du traitement, d’une part, à donner aux personnes physiques dont il collecte des données à caractère personnel l’intégralité des informations prévues à l’article 32, d’autre part, à permettre à ces personnes un exercice effectif des droits qu’elles tiennent des articles 38 à 40 ;

Considérant que, d’une part, contrairement à ce que soutient la société requérante, ni le document intitulé « charte informatique » qui, s’il indique que l’employeur se réserve le droit d’accéder à la messagerie informatique des salariés, ne comporte aucune des informations requises par les dispositions précitées, ni les stipulations des contrats de travail qu’elle conclut avec ses employés, aux termes desquelles le salarié « accepte que ses données personnelles soient traitées par Centrapel » et « dispose d’un droit d’accès et de rectification sur les informations nominatives le concernant en écrivant à la Direction des ressources humaines », ne permettent de porter à la connaissance des salariés dont les données personnelles sont conservées par la SOCIETE CENTRAPEL, l’intégralité des informations qu’elle est tenue de leur donner en application des dispositions précitées de l’article 32 ; que, d’autre part, il est constant que la société s’est bornée à communiquer à la CNIL, afin de justifier de la mise en oeuvre des procédures permettant aux personnes dont les données personnelles étaient conservées, d’exercer les droits qu’elles tiennent des articles 38 à 40, cette « charte informatique » et la copie d’un contrat de travail ; qu’ainsi le moyen tiré de ce que la SOCIETE CENTRAPEL aurait permis à la commission de vérifier que ces droits peuvent effectivement être exercés au sein de la société ne peut qu’être écarté ;

Considérant qu’il résulte de ce qui précède que la SOCIETE CENTRAPEL n’est pas fondée à demander l’annulation de la délibération contestée ; que ses conclusions au titre des dispositions de l’article L. 761-1 ne peuvent, par suite, qu’être rejetées ;

D E C I D E  :

--------------


Article 1er : La requête de la SOCIETE CENTRAPEL est rejetée.

Article 2 : La présente décision sera notifiée à la SOCIETE CENTRAPEL et à la Commission nationale de l’informatique et des libertés.

Chercher les extraits similaires
highlight
Chercher les extraits similaires
Extraits les plus copiés
Chercher les extraits similaires
Collez ici un lien vers une page Doctrine
Inscrivez-vous gratuitement pour imprimer votre décision
Conseil d'État, 10ème et 9ème sous-sections réunies, 20 octobre 2010, 327916