Conseil d’Etat, 7 août 2008, n° 304466, Société Tyco Healthcare France

La circonstance que les données personnelles contenues dans le traitement informatisé déclaré aient été absorbées dans un traitement au champ plus large poursuivant les mêmes finalités ne saurait dispenser la personne responsable du traitement informatisé de se conformer à la mise en demeure de la Commission nationale de l’informatique et des libertés de lui fournir des informations relatives à ces mêmes données.

CONSEIL D’ETAT

Statuant au contentieux

N° 304466

SOCIETE TYCO HEALTHCARE FRANCE

M. Gilles Pellissier
Rapporteur

Mlle Célia Verot
Commissaire du gouvernement

Séance du 2 juillet 2008
Lecture du 7 août 2008

REPUBLIQUE FRANÇAISE

AU NOM DU PEUPLE FRANÇAIS

Le Conseil d’Etat statuant au contentieux

(Section du contentieux, 10ème et 9ème sous-sections réunies)

Sur le rapport de la 10ème sous-section de la section du contentieux

Vu la requête sommaire et le mémoire complémentaire, enregistrés les 5 avril et 4 juillet 2007 au secrétariat du contentieux du Conseil d’Etat, présentés pour la SOCIETE TYCO HEALTHCARE FRANCE, dont le siège est 2, rue Denis Diderot La Clef de Saint-Pierre à Elancourt (78990) ; la SOCIETE TYCO HEALTHCARE FRANCE demande au Conseil d’Etat :

1°) d’annuler la délibération n° 2006-281 du 14 décembre 2006 de la Commission nationale de l’informatique et des libertés prononçant à l’encontre de la société exposante, compte tenu de la gravité des manquements commis, une sanction pécuniaire de 30 000 euros ;

2°) de dire qu’aucun manquement ne lui est imputable ;

3°) de mettre à la charge du défendeur la somme de 3 200 euros au titre de l’article L. 761-1 du code de justice administrative ;

Vu les autres pièces du dossier ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ;

Vu le décret n° 2005-1309 du 20 octobre 2005, pris pour l’application de la loi du 6 janvier 1978 modifiée ;

Vu le code de justice administrative ;

Après avoir entendu en séance publique :

- le rapport de M. Gilles Pellissier, Maître des Requêtes,

- les observations de la SCP Gatineau, avocat de la SOCIETE TYCO HEALTHCARE FRANCE,

- les conclusions de Mlle Célia Verot, Commissaire du gouvernement ;

Considérant qu’aux termes de l’article 2 de la loi du 6 janvier 1978 : " Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction. " ; qu’aux termes de l’article 22 de la même loi : " I. - A l’exception de ceux qui relèvent des dispositions prévues aux articles 25, 26 et 27 ou qui sont visés au deuxième alinéa de l’article 36, les traitements automatisés de données à caractère personnel font l’objet d’une déclaration auprès de la Commission nationale de l’informatique et des libertés. " ; qu’aux termes de l’article 44 III de la même loi : " Les membres de la commission et les agents mentionnés au premier alinéa du I peuvent demander communication de tous documents nécessaires à l’accomplissement de leur mission, quel qu’en soit le support, et en prendre copie ; ils peuvent recueillir, sur place ou sur convocation, tout renseignement et toute justification utiles ; ils peuvent accéder aux programmes informatiques et aux données, ainsi qu’en demander la transcription par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle. " ; qu’aux termes de l’article 45 de la même loi " I - La Commission nationale de l’informatique et des libertés peut prononcer un avertissement à l’égard du responsable d’un traitement qui ne respecte pas les obligations découlant de la présente loi. Elle peut également mettre en demeure ce responsable de faire cesser le manquement constaté dans un délai qu’elle fixe. Si le responsable d’un traitement ne se conforme pas à la mise en demeure qui lui est adressée, la commission peut prononcer à son encontre, après une procédure contradictoire, les sanctions suivantes : 1° Une sanction pécuniaire, dans les conditions prévues par l’article 47, à l’exception des cas où le traitement est mis en oeuvre par l’Etat " ; qu’aux termes de l’article 47 de cette loi : " Le montant de la sanction pécuniaire prévue au I de l’article 45 est proportionné à la gravité des manquements commis et aux avantages tirés de ce manquement " ;

Considérant qu’après avoir reçu le 22 septembre 2004 de la SOCIETE TYCO HEALTHCARE FRANCE la déclaration d’un traitement automatisé d’informations nominatives dénommé " EMEA database France " ayant pour finalité la " gestion des carrières à l’international ", la Commission nationale de l’informatique et des libertés a demandé à trois reprises à cette société un certain nombre d’informations complémentaires relatives au contenu de ces données, aux finalités du traitement, à sa localisation exacte, à ses modalités d’utilisation, aux mesures de sécurité assurant la confidentialité des données et à la durée de leur conservation ; qu’en réponse à la mise en demeure de fournir ces informations que la commission, qui n’avait obtenue qu’une réponse très partielle à ses précédentes demandes, avait notifiée à la société le 10 mai 2006, cette dernière a répondu le 1er juin 2006 qu’à la suite d’une restructuration du groupe, " les procédures et les demandes d’information qui avaient été mises en place " étaient suspendues ; que lors de la visite sur place à laquelle elle a procédé le 25 juillet 2006, la commission a constaté que la société utilisait une base de données mondiale de gestion des ressources humaines dénommée " Ivantage ", qui comportait à côté d’autres données les mêmes champs que le traitement déclaré ; que, par une délibération du 14 décembre 2006, la commission, estimant que la SOCIETE TYCO HEALTHCARE FRANCE avait manqué à ses obligations en ne fournissant pas les informations demandées et en prétendant ne plus traiter les données déclarées, lui a infligé une sanction pécuniaire de 30 000 euros et lui a enjoint de répondre, dans un délai de dix jours, aux demandes formulées dans la mise en demeure ; que la SOCIETE TYCO HEALTHCARE FRANCE demande l’annulation de cette délibération ;

Considérant en premier lieu, qu’aux termes de l’article 78 du décret du 20 octobre 2005 : " La décision de sanction énonce les considérations de droit et de fait sur lesquels elle est fondée. Elle indique les voies et délais de recours " ; que l’indication des voies et délais de recours est une règle relative à la notification de la décision, dont la méconnaissance, si elle rend inopposable à son destinataire les délais de recours, est sans incidence sur la légalité de la décision ; que le moyen tiré de ce que la mention des voies et délais de recours ne figure pas dans la décision elle-même est, par suite, inopérant ;

Considérant en deuxième lieu, que la délibération contestée a expressément répondu à l’argument de la société relatif à la distinction des traitements en justifiant les manquements de la société par l’identité d’un certain nombre de champs du traitement déclaré et de celui dont la commission a constaté le fonctionnement lors de sa visite sur place, ainsi que par leurs finalités partiellement communes ; que le moyen tiré de ce que la délibération serait insuffisamment motivée sur ce point manque en fait ;

Considérant en troisième lieu, qu’en relevant, pour fonder la sanction infligée à la société, que cette dernière n’avait pas répondu aux demandes qui lui avaient été faites dans la mise en demeure du 10 mai 2006 et que, contrairement à ce qu’elle avait affirmé, les données collectées dans le traitement initialement déclaré l’étaient encore lors de la visite sur place, même si elles étaient intégrées dans un traitement comprenant des fonctionnalités plus larges, ce qui n’est pas contesté par la requérante, la Commission nationale de l’informatique et des libertés n’a pas fondé sa décision sur des faits matériellement inexacts ;

Considérant en dernier lieu, que la circonstance que les données personnelles contenues dans le traitement informatisé déclaré aient été absorbées dans un traitement au champ plus large poursuivant les mêmes finalités ne saurait dispenser la personne responsable du traitement informatisé de se conformer à la mise en demeure de la Commission nationale de l’informatique et des libertés de lui fournir des informations relatives à ces mêmes données ; qu’en répondant aux demandes précises de la commission portant sur le contenu et l’usage des données, les finalités du traitement, sa localisation exacte, ses modalités d’utilisation, les mesures de sécurité assurant la confidentialité des données et la durée de leur conservation que le traitement déclaré était interrompu, alors que ces mêmes données personnelles avaient été intégrées au traitement élargi, qui n’avait pas été porté à la connaissance de la commission, la SOCIETE TYCO HEALTHCARE FRANCE a méconnu les obligations découlant de la mise en demeure qui lui avait été faite, sans qu’elle puisse utilement soutenir que cette mise en demeure portait sur le traitement déclaré en 2004 et non sur celui auquel les données avaient été postérieurement intégrées ; que, par suite, la Commission nationale de l’informatique et des libertés a pu, à bon droit, infliger à la requérante une sanction de 30 000 euros, qui n’est pas disproportionnée aux faits de l’espèce ;

Considérant qu’il résulte de ce qui précède que la SOCIETE TYCO HEALTHCARE FRANCE n’est pas fondée à demander l’annulation de la délibération de la Commission nationale de l’informatique et des libertés du 14 décembre 2006 ; que sa requête doit, par suite, être rejetée ;

Sur les conclusions tendant à l’application des dispositions de l’article L. 761-1 du code de justice administrative :

Considérant que ces dispositions font obstacle à ce que soit mise à la charge de l’Etat, qui n’est pas dans la présente instance la partie perdante, la somme demandée par la requérante au titre des frais exposés par elle et non compris dans les dépens ;

D E C I D E :

Article 1er : La requête de la SOCIETE TYCO HEALTHCARE FRANCE est rejetée.

Article 2 : La présente décision sera notifiée à la SOCIETE TYCO HEALTHCARE FRANCE, à la Commission nationale de l’informatique et des libertés et au Premier ministre.

_________________
Adresse originale : http://www.rajf.org/spip.php?article3078