Conseil d’Etat; sous-sections réunies, 12 mars 2014, Sté Foncia Groupe/Cnil
La CNIL, par une délibération du 6 octobre 2011, a infligé à la société Foncia Groupe un avertissement rendu public pour avoir exploité un traitement informatique, dénommé « Totalimmo », recensant les biens immobiliers disponibles pour des opérations de vente et de location, en méconnaissance de la loi « Informatique et libertés » de 1978.
Foncia Groupe considère qu’elle n’est pas responsable du traitement litigieux au sens des dispositions de l’article 3 de la loi informatique et libertés, et que la CNIL a commis une erreur de droit en la sanctionnant ainsi, car :
- le traitement informatique « Totalimmo » a été mis en œuvre par des entités liées à Foncia Groupe ;
- et que la société Foncia Groupe est par conséquent non pas le responsable du traitement mais un sous-traitant du traitement de données.
Par conséquent, la CNIL a, d’après Foncia Groupe, méconnu les dispositions de la loi informatique et libertés, ainsi que le principe de personnalité des peines, applicable aux sanctions administratives.
La requête en annulation de ladite délibération est rejetée par le Conseil d’Etat dans la décision ici présentée. Pour se prononcer en ce sens, les Conseillers considèrent que la société Foncia Groupe est responsable du traitement contesté au sens des dispositions de l’article 3 de la loi du 6 janvier 1978, aux termes desquelles :« Le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens.»
Or le Conseil d’Etat relève qu’il résulte de l’instruction que la société Foncia Groupe, a certes mis à disposition des entités qui lui sont liées le traitement « Totalimmo » mais a décidé de la nature des données collectées et déterminé les droits d’accès à celles-ci, puis, après le contrôle de la CNIL, a fixé la durée de conservation des données et apporté des correctifs à leur traitement. Par conséquent, c’est bien la société Foncia Groupe qui détermine les finalités et les moyens du traitement « Totalimmo ».
Et le Conseil d’Etat de conclure que :« la société ne peut être regardée comme sous-traitant au sens des dispositions de l’article 35 de la loi du 6 janvier 1978 ; […] que la désignation d’un correspondant à la protection des données par les entités n’a pas, par elle-même, pour effet de rendre celles-ci responsables des traitements ; […] et que, par suite, en estimant que la société Foncia Groupe pouvait faire l’objet d’une sanction en tant que responsable de ce traitement, la CNIL a fait une exacte application des dispositions précitées ».
On notera que les entités chargées de procéder au traitement des données en cause étaient en réalité les filiales de la société Foncia Groupe.
