Au travers de sa délibération SAN-2021-014 du 15 septembre 2021, la formation restreinte de la Commission Nationale de l’Informatique et des Libertés (CNIL) a prononcé une amende administrative publique de 3000€ , à l’encontre d’une microentreprise (Société par actions simplifiée) uniquement constituée de son Président, seul salarié de l’entité. Est reprochée à cette entité diffusant un annuaire en ligne constitué à partir de données provenant du répertoire SIRENE, une absence de respect du droit des personnes (de rectification et d’effacement), une absence de tenue du registre des activités de traitement, ainsi qu’un manque de coopération avec l’autorité de contrôle française.
Une microentreprise au coeur de nombreuses plaintes
La Société nouvelle de l’annuaire français (SNAF) est une microentreprise constituée d’un salarié : son fondateur et actuel Président. Parmi ses activités, elle édite notamment un annuaire en ligne (http://annuairefrancais.fr/) recensant les entreprises françaises. Les données permettant d’alimenter ce site proviennent en grande partie du répertoire SIRENE (Système national d’identification et du répertoire des entreprises et de leurs établissements) diffusé par l’INSEE (Institut national de la statistique et des études économiques). Les entreprises le souhaitant peuvent également enrichir avec des données complémentaires la page de l’annuaire consacrée à leur entreprise.
Page d’accueil de l’annuaire en ligne :
Cette microentreprise propose un service similaire à celui proposé par de très nombreux annuaires en ligne privés (societe.com, kompass, LeFigaro, PagesJaunes, etc.), ainsi que par plusieurs entités publiques (https://annuaire-entreprises.data.gouv.fr/ ou encore https://data.inpi.fr/).
Pour se retrouver dans le collimateur de l’autorité de contrôle française, la SNAF a fait l’objet de 16 plaintes entre mars 2018 et mai 2019, déposées auprès de la CNIL par des personnes dont les données étaient publiquement exposées sur l’annuaire (responsables légaux d’entreprises, personnes ayant des “entreprises en nom”, etc.) et qui malgré leurs demandes auprès de la SNAF, n’arrivaient pas à obtenir la rectification ou l’effacement de leurs données personnelles.
Au regard du nombre important de plaintes, la Présidente de la CNIL a décidé de mener une mission de contrôle. Cette dernière s’est traduite par une convocation du Président de la microentreprise 17/07/2019) pour audition (05/09/2019), et de manière quasi-concomitante, à la réalisation d’un contrôle en ligne par les agents de la CNIL (03/09/2021).
Une absence de coopération avec la CNIL
L’article 31 du Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) dispose :
Le responsable du traitement et le sous-traitant ainsi que, le cas échéant, leurs représentants coopèrent avec l’autorité de contrôle, à la demande de celle-ci, dans l’exécution de ses missions.
Au delà des manquements qui seront constatés par la formation restreinte de la CNIL sur des enjeux de traitements de données personnelles, cette délibération est singulière en ce qu’elle considère que la société SNAF a méconnu les obligations de coopération lui incombant. Un manquement extrêmement rare. Pour la formation restreinte, la société SNAF n’a pas répondu à l’ensemble des questions posées par la CNIL durant sa procédure de contrôle, mais seulement à certaines, et la plupart du temps, de manière “insatisfaisante ou incomplète“. La délibération fait par ailleurs état de très nombreux retards dans les réponses adressées par la société à l’autorité de contrôle. Enfin, malgré les nombreuses relances de l’autorité durant la procédure de contrôle, la formation restreinte souligne que la société SNAF n’a jamais transmis certaines informations, pourtant requises par l’autorité à plusieurs reprises (exemple : le nombre d’entreprises individuelles présentes dans la base de données de l’annuaire de la SNAF).
Au delà du manque de volonté manifeste du Président de la société de répondre aux demandes de l’autorité, qu’il expliquera en raison de “difficultés de gestion de la charge de travail induite“, cette délibération pose surtout les limites des réglementations sur la protection des données personnelles et plus particulièrement du RGPD pour les TPE et PME. La complexité croissante des obligations et l’inflation constante des textes de droit font des enjeux de protection des données des sujets “d’experts”. Loin d’être à la portée de tous, ces réglementations peuvent difficilement être maîtrisées par des personnes n’étant pas amenées à les manier quotidiennement. Pour une microentreprise, les prestations d’accompagnement d’experts (avocats, DPO externe, …) n’étant souvent pas à la portée de leurs bourses, la mise en œuvre des obligations leur incombant en matière de traitements de données personnelles sera au mieux approximative, et bien souvent inexistante.
L’application du RGPD pour des données personnelles “professionnelles”
Cette délibération est également l’occasion pour la CNIL de rappeler que depuis 1985, elle considère que “sont directement nominatives : les informations relatives aux dirigeants, quelle que soit la forme de l’entreprise, (…) ; les informations relatives à la raison sociale de l’entreprise, dès lors qu’il s’agit d’une entreprise en nom” (délibération n° 85-45 du 15 octobre 1985). Dès lors, l’ensemble des règles encadrant les traitements de données personnelles trouvent à s’appliquer à des données “professionnelles”, si ces dernières sont constitutives d’informations se rapportant à une personne physique identifiée ou identifiable.
Au sein du répertoire SIRENE, sont notamment considérées comme étant des données personnelles, les informations suivantes :
- les noms et prénoms des dirigeants d’entreprise ;
- la dénomination des entreprises individuelles, dont le nom de l’entreprise est obligatoirement le nom de l’entrepreneur lui-même ;
- toute information étant rattachée aux dirigeants (date et lieu de naissance, …) ;
Dès lors, l’ensemble des règles s’imposant à un traitement de données personnelles doivent être mises en œuvre par la SNAF, compte tenu de son activité d’édition d’un annuaire en ligne recensant les entreprises françaises, et intégrant de facto des données personnelles. Parmi ces règles, nous pouvons citer les grands principes relatifs au traitement des données à caractère personnel (article 5 du RGPD), au droit d’information des personnes (articles 12, 13 et 14 du RGPD) ou encore au respect du droit des personnes (articles 15 et suivants du RGPD).
L’absence de prise en compte du droit des personnes
Objet initial des plaintes déposées auprès de la CNIL, il est reproché à la société SNAF de ne pas avoir fait droit aux demandes de rectification et d’opposition des personnes dont les données étaient publiquement diffusées sur son annuaire. Lors du contrôle sur audition, les agents de la CNIL ont même identifié la présence de quelques 135 demandes d’effacement qui n’avaient pas été traitées par le gérant de la société SNAF, dont une partie de ces demandes dataient de plus d’1 mois (i.e. sauf cas particuliers, le délai réglementaire pour traiter ces demandes).
En ce qui concerne plus particulièrement les demandes de rectification, il ressort des constations opérées par la CNIL qu’à réception de telles demandes, le gérant de la société SNAF opérait une comparaison entre les données affichées publiquement sur son annuaire et celles figurant au sein du répertoire SIRENE. Si aucune différence n’était constatée, le gérant de la société ne faisait tout simplement pas droit aux demandes de rectification reçues. Or, l’article 16 du RGPD consacrant le droit de rectification ne pose pas de limite à l’exercice de ce droit en fonction de l’origine des données traitées :
La personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire.
Les seules limites encadrant le droit de rectification sont d’une part de s’assurer que le demandeur est bien la personne concernée, et d’autre part, de s’assurer que les données dont la rectification est demandée sont bien “inexactes“. Autrement dit, la société SNAF n’était pas en droit de refuser une demande de rectification de données (exemple : un dirigeant d’entreprise demandait à ce que soit remplacée de sa fiche d’entreprise l’adresse y figurant, qui était celle de son domicile personnel et non celle du siège social de son entreprise), y compris si cette rectification supposait de procéder à une modification qui aurait entraîné un écart entre les données de l’annuaire privé et celles figurant au sein du répertoire SIRENE.
Une multitude d’autres non-conformités non prises en compte par la CNIL
Pour justifier la faible amende administrative de 3 000€ prononcée à l’encontre de la société SNAF, la formation restreinte de la CNIL prend en compte les “capacités financières” de la SNAF (sans en préciser les montants dans sa délibération), et retient à son encontre trois manquements distincts :
- une absence de respect du droit des personnes (demandes de rectification et d’opposition) ;
- une absence de constitution du registre des activités de traitement ;
- une absence de coopération avec l’autorité de contrôle.
Pourtant, les non-conformités de cette entité aux réglementations sur la protection des données personnelles sont loin de s’arrêter là.
Une rapide navigation sur l’annuaire en ligne permet par exemple de constater que malgré l’utilisation et le dépôt de cookies 🍪 non “techniques”, aucun consentement n’est récolté (en méconnaissance de l’article 82 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés). Un sujet que maîtrisent parfaitement les agents de la CNIL, puisque plusieurs dizaines d’entités ont été mises en demeure pour de tels manquements depuis le début de l’année 2021 (Cf ce communiqué et celui-ci).
Le site ne semble pas non plus respecter la Délibération n° 2017-012 du 19 janvier 2017 de la CNIL portant adoption d’une recommandation relative aux mots de passe dans la mesure où les critères de robustesse imposés à la création d’un mot de passe 🔓 de compte sur l’annuaire sont de seulement 6 caractères.
Notons que la CNIL a par le passé déjà sanctionné des entités sur le fondement de l’article 32 du RGPD pour des manquements similaires (Cf notre article sur la sanction de 500 000€ prononcée par la CNIL à l’encontre de la société Brico Privé).
Enfin, bien que la Présidente de la CNIL ait mis en demeure par sa décision n°MED 2020-017 notifiée le 21 juillet 2020 la société SNAF de “procéder à l’information des personnes concernées, conformément aux dispositions des articles 12, 13 et 14 du règlement, quant aux traitements de données à caractère personnel mis en place, et en particulier délivrer une information complète aux personnes, et ce, dans un document ou support distinct des conditions générales d’utilisation du site afin d’en assurer le caractère aisément accessible en prévoyant également une information spécifique aux entrepreneurs dont les données ont été collectées à partir des bases de l’INSEE“, la délibération aboutissant au prononcé d’une sanction à l’encontre de la société SNAF ne fait aucune référence à un éventuel manquement aux obligations d’information. Cette absence pourrait s’expliquer par une mise en conformité de la société SNAF. Il n’en est rien. Là encore, une simple visite de l’annuaire de la SNAF permet de constater une absence d’information dédiée 📋 sur les traitements de données personnelles mis en œuvre par l’annuaire. Seules quelques clauses pour le moins approximatives, ne comportant pas l’ensemble des informations exigées par les articles 13 et 14 du RGPD figurent parmi les nombreux paragraphes des “Conditions Générales d’Utilisation” (CGU) de l’annuaire. Comme le démontre très distinctement la capture d’écran ci-dessous (au sein de laquelle nous avons entouré en vert les clauses relatives aux traitements de données personnelles, au sein des CGU), une telle information noyée au sein de CGU, outre être incomplète, ne pourrait prétendre à remplir les critères de transparence et d’accessibilité fixés par l’article 12 du RGPD :
Capture d’écran illustrant à date du 17/09/2021 les clauses relatives aux traitements de données personnelles au sein des CGU de l’annuaire français.
Notons là encore que la CNIL a par le passé déjà sanctionné des entités sur le fondement des articles 12, 13 et 14 du RGPD, en opérant une appréciation particulièrement stricte de ces articles (Cf les points 57. et suivants de la Délibération de la formation restreinte n° SAN-2020-008 du 18 novembre 2020 concernant la société CARREFOUR FRANCE).
Comme indiqué précédemment dans cet article, nous ne remettons pas en cause les difficultés que peuvent avoir les microentreprises à respecter les nombreuses et complexes dispositions des règlementations sur la protection des données personnelles, et ce malgré les actions menées par la CNIL, avec ses propres moyens, en faveur des TPE et PME (des ressources documentaires leur sont par exemple dédiées). En sanctionnant publiquement une microentreprise uniquement constituée de son gérant, la CNIL souhaite envoyer un signal fort : elle peut sanctionner des entités de toutes tailles. Un signal qu’elle avait d’ailleurs déjà eu l’occasion d’émettre via la sanction en 2019 de la société boutique.aéro, qui employait à l’époque 7 salariés et réalisait un chiffre d’affaires inférieur à 2M d’€ (Décision n° MED 2019-025).
Pourtant, cette délibération à un goût d’inachevé. En (i) ne retenant que 3 manquements à l’encontre de la société SNAF, en (ii) éclipsant des manquements au droit d’information de la SNAF malgré une mise en demeure restée infructueuse, et en (iii) ignorant des manquements ayant forcément été identifiés officieusement par les agents de l’autorité durant leur mission contrôle en ligne, la CNIL donne l’impression d’avoir bâclé sa procédure de contrôle et sa délibération de sanction. Pire, en éclipsant des non-conformités, la CNIL ne se laisse pas l’opportunité d’enjoindre la société SNAF de se mettre en conformité sous astreinte. Compte tenu de l’attitude du gérant de la société sanctionnée (telle que retracée au travers de la délibération), cumulée au montant peu dissuasif de l’amende, l’astreinte semblait pourtant être l’un des rares leviers qui aurait pu inciter la société SNAF à se mettre réellement en conformité. Au delà du signal émis par la CNIL (i.e. : nous pouvons sanctionner les entités de toutes tailles), nous pouvons légitimement nous demander quel aura été le réel impact de toute cette procédure pour les personnes concernées par les traitements de données de la société SNAF ?
À bon entendeur.
Mise à jour effectuée en mai 2022 : postérieurement à la délibération de sanction de la SNAF, la CNIL s’est vue dotée d’une nouvelle procédure simplifiée de sanctions 💰. La mise en œuvre d’une telle procédure aurait certainement été la bienvenue dans le cadre de la présente affaire. Il est fort probable que ce nouveau mécanisme de sanction soit à l’avenir privilégié par la CNIL pour ce type de dossier.