450 € d’amendes pour ne pas avoir déclaré son site web à la CNIL

Publié le 07/03/2004 par Etienne Wery - 0 vues

La Cour d’appel de Lyon a condamné une personne à 450 € d’amende pour ne pas avoir déclaré à la CNIL un site web traitant des données à caractère prsonnel. La Cour a ainsi confirmé le premier jugement tout en accordant le sursis au prévenu qui disait avoir « oublié » d’effectuer cette déclaration. L’affaire…

La Cour d’appel de Lyon a condamné une personne à 450 € d’amende pour ne pas avoir déclaré à la CNIL un site web traitant des données à caractère prsonnel. La Cour a ainsi confirmé le premier jugement tout en accordant le sursis au prévenu qui disait avoir « oublié » d’effectuer cette déclaration.

L’affaire avait ceci de particulier qu’elle impliquait l’Eglise de Scientologie. On sait que l’Eglise a déjà utilisé le droit d’auteur pour lutter contre les personnes qui dénoncent son caractère sectaire ; cette fois, c’est le droit des données à caractère personnel qui servait d’assise à l’action.

Un ancien membre de l’Eglise a mis au point un site web dans lequel il dénonce la « secte » ; le site contient des données à caractère personnel mais n’a pas fait l’objet de déclaration à la CNIL. Sur plainte d’un membre de la secte nominativement cité sur le site, le premier juge condamne à 450 € d’amende + 1 € de dommages et intérêts. La Cour confirme l’amende mais accorde le sursis, et annule les dommages et intérêts car la partie civile ne prouve pas son dommage.

La Cour confirme donc que l’ommission de déclaration est pénalement punie : le juge ne peut du reste pas faire autrement, la loi étant particulièrement claire sur ce point. Quant à la peine, les juges se montrent finalement cléments (les faits de la cause peut-être …).

L’obligation de déclaration préalable

Les droits belge et français prévoient tous deux l’obligation de déclarer les traitements de données à caractère personnel avant leur mise en oeuvre. La déclaration est adressée à la Commission de la protection de la vie privée en Belgique, et à la Commission Nationale Informatique et Libertés en France. Chaque finalité ou ensemble de finalités liées pour lesquelles il est procédé à un ou à plusieurs traitements doit faire l’objet d’une déclaration. Une nouvelle déclaration doit être ef-fectuée lors de la suppression d’un traitement ou toute modifi-cation d’une des informations énumérées ci-dessus.

Sous réserve des cas particuliers , la déclaration belge doit notamment mentionner : les nom, prénoms et adresse complète ou la dénomination et le siège du responsable du traitement et, le cas échéant, de son représentant en Belgique ; la dénomination du traitement automatisé ; la finalité ou l’en-semble des finalités liées du traitement automatisé ; les catégories de données à caractère personnel qui sont traitées avec une description particulière des données sensibles ; les catégories de destinataires à qui les données peuvent être fournies ; les garanties dont doit être entourée la communication de données aux tiers ; les moyens par lesquels les personnes qui font l’objet des données en seront informées ainsi que le service auprès duquel s’exercera le droit d’accès et les mesures prises pour faciliter l’exercice de ce droit ; la période au-delà de laquelle les données ne peuvent plus, le cas échéant, être gardées, utilisées ou diffu-sées ; une description générale permettant d’apprécier de façon préliminaire le caractère approprié des mesures prises pour assurer la sécurité du traitement. En outre, si les données trai-tées sont destinées, même occasionnellement, à faire l’objet d’une transmission vers l’étranger, quel que soit le support uti-lisé, la déclaration doit mentionner les catégories de données qui font l’objet de la transmission et pour chaque catégorie de données, le pays de destination.

La déclaration française doit comporter l’engagement que le traitement satisfait aux exigences de la loi et préci-ser notamment : la personne qui présente la demande et celle qui a pouvoir de décider la création du traitement ou, si elle réside à l’étranger, son représentant en France ; les caractéristiques, la finalité et, s’il y a lieu, la dénomination du traitement ; le service ou les services chargés de mettre en oeuvre celui-ci ; le service auprès duquel s’exerce le droit d’accès ainsi que les mesures prises pour faciliter l’exercice de ce droit ; les catégories de personnes qui, à raison de leurs fonctions ou pour les besoins du service, ont directement accès aux informations en-registrées ; les informations nominatives traitées, leur origine et la durée de leur conservation ainsi que leurs destinataires ou catégories de destinataires habilités à recevoir communication de ces informations ; les rapprochements, interconnexions ou toute autre forme de mise en relation de ces informations ainsi que leur cession à des tiers ; les dispositions prises pour assurer la sécurité des traitements et des informations et la garantie des secrets protégés par la loi. En outre, le déclarant doit préciser si le traitement est destiné à l’expédition d’informations nominati-ves entre le territoire français et l’étranger, sous quelque forme que ce soit, y compris lorsqu’il est l’objet d’opérations partielle-ment effectuées sur le territoire français à partir d’opérations antérieurement réalisées hors de France.

Plus d’infos ?

En prenant connaissance du jugement, en ligne sur notre site.