• Données personnelles

    par brm_admin

    Exercice effectif du droit d’opposition et du droit d’accès : deux sociétés condamnées par la CNIL – 30/04/09

     »
    En bref : Informer les personnes visées par un traitement de données personnelles de leurs droits issus de la loi informatique et libertés du 6 janvier 1978 modifiée le 6 août 2004 ne suffit pas. Encore faut-il que l’exercice effectif de ces droits soit assuré par le responsable du traitement.

    Les articles 38 à 40 de la loi informatique et libertés listent les droits dont disposent les personnes concernées par un traitement de données personnelles :
    droit d’opposition au traitement et à la prospection commerciale ;
    droit d’accès aux données auprès du responsable du traitement ;
    droit de rectification, de mise à jour et de suppression des données traitées.

    L’existence de ces droits doit obligatoirement figurer dans la mention informative accompagnant la collecte de données personnelles, au même titre que l’identité du responsable du traitement, la finalité du traitement, les destinataires des données traitées et les transferts hors Union européenne de données envisagés.

    Tout en informant la personne de ses droits, le responsable du traitement doit en assurer l’exercice effectif, dont les modalités ont été précisées par le décret du 25 mars 2007.

    C’est la gestion par le responsable de traitement des demandes d’exercice de ces droits qui a amené la formation contentieuse de la CNIL à condamner deux sociétés.

    Sur le droit d’accès, la CNIL avait condamné la société NEUF-Club Internet (aujourd’hui groupe SFR) à une amende de 7.000 euros par une délibération du 12 juin 2008.

    En l’espèce, une abonnée avait demandé à exercer son droit d’accès sur l’ensemble des données la concernant détenues par cet opérateur Internet. Après avoir essuyé un refus, elle avait fini par recevoir quelques informations la concernant (nom, adresse, références bancaires…) mais sans obtenir, en particulier, les éléments enregistrés par le service client lors de ses différents appels (commentaires, réponses formulées et décisions prises…).

    Il convient donc de déduire de cette décision l’importance pour les responsables de traitement de conserver et d’assurer la traçabilité de l’intégralité des données faisant l’objet de traitements.

    Sur le droit d’opposition, la CNIL a par la suite condamné la société CDISCOUNT à une amende de 30.000 euros par une délibération du 6 novembre 2008.

    En l’espèce, la CNIL avait été saisie depuis janvier 2008 de 11 plaintes de personnes ne parvenant pas à exercer leur droit d’opposition à ne plus recevoir de courriers électroniques publicitaire de la part de la société CDISCOUNT.

    Le lien de désinscription pourtant présent dans les mails commerciaux ne fonctionnant pas, ces personnes avaient tenté en vain de se désinscrire par courrier postal, par téléphone et par mail.

    Après une première mise en demeure adressée à CDISCOUNT par la CNIL en juin 2008, la condamnation a été prononcée le 6 novembre 2008.

    La CNIL a considéré que CDISCOUNT n’avait pas mis en place de procédure permettant de prendre en compte, de manière efficace et immédiate, l’exercice du droit d’opposition et que la gestion de ces demandes était lacunaire voir inexistante.

    Malgré les engagements pris par CDISCOUNT quant à l’amélioration de ces procédures et à la nomination future d’un Correspondant Informatique et Libertés, la CNIL est entrée en voie de condamnation, estimant que ces mesures étaient tardives.

    On retiendra à l’aune de ces deux décisions l’intérêt qu’il peut y avoir de procéder très tôt à la désignation d’un Correspondant Informatique et Libertés interne ou externe (conseil, avocat) pour éviter ce genre de désagréments. »