Conseil d'État
N° 354629
Mentionné aux tables du recueil Lebon
Lecture du mercredi 12 mars 2014
26-07-04 : Droits civils et individuels- Protection des données à caractère personnel- Obligations incombant aux responsables de traitements-
Identification de la personne responsable du traitement - Indices (1) - Définition des finalités et des moyens du traitement.
Société ayant mis un traitement de données à caractère personnel à disposition des entités qui lui sont liées, décidé de la nature des données collectées et déterminé les droits d'accès à celles-ci puis, après le contrôle de la Commission nationale de l'informatique et des libertés (CNIL), ayant fixé la durée de conservation des données et apporté des correctifs à leur traitement. Ainsi, cette société, qui détermine les finalités et les moyens du traitement, doit être regardée comme le responsable du traitement, la désignation d'un correspondant à la protection des données par les autres entités n'ayant pas, par elle-même, pour effet de rendre celles-ci responsables des traitements.
26-07-10-02 : Droits civils et individuels- Protection des données à caractère personnel- Commission nationale de l'informatique et des libertés- Pouvoirs de contrôle-
Contrôle dans des locaux servant à la mise en oeuvre d'un traitement de données à caractère personnel - 1) Principe - Obligation d'informer le procureur territorialement compétent au plus tard vingt-quatre heures avant le contrôle - Existence - 2) Espèce - Information communiquée dans un délai inférieur de cinq heures quarante-cinq minutes au délai de vingt-quatre heures prescrit - Absence d'obstacle à l'exercice par le procureur de ses pouvoirs - Privation d'une garantie au sens de la jurisprudence " Danthony " (2) - Absence.
1) En vertu des dispositions de l'article 44 de la loi n° 78-17 du 6 janvier 1978 et de l'article 61 du décret n° 2005-1309 du 20 octobre 2005, lorsque des membres ou agents de la Commission nationale de l'informatique et des libertés (CNIL) opèrent un contrôle dans des locaux servant à la mise en oeuvre d'un traitement de données à caractère personnel, le procureur territorialement compétent doit en être informé, au plus tard vingt-quatre heures avant le contrôle. 2) En l'espèce, si l'information a été communiquée au procureur territorialement compétent à 15 heures pour un contrôle qui a débuté le lendemain à 9 heures 15, soit dans un délai inférieur de cinq heures quarante-cinq minutes au délai de vingt-quatre heures prescrit, cette circonstance, dont il n'est pas établi ni même soutenu qu'en raison de la brièveté de ces délais, elle aurait fait obstacle à l'exercice par le procureur de ses pouvoirs, et par suite privé la société requérante d'une des garanties légales dont elle pouvait se prévaloir, n'est pas de nature à affecter la légalité de la décision de sanction prononcée par la CNIL.
(2) Cf. CE, Assemblée, 23 décembre 2011, Danthony et autres, n° 335033, p. 649. (1) Cf., pour le recours à la méthode du faisceau d'indices, CE, 27 juillet 2012, Société AIS 2, n° 340026, T. p. 766.
N° 354629
Mentionné aux tables du recueil Lebon
Lecture du mercredi 12 mars 2014
26-07-04 : Droits civils et individuels- Protection des données à caractère personnel- Obligations incombant aux responsables de traitements-
Identification de la personne responsable du traitement - Indices (1) - Définition des finalités et des moyens du traitement.
Société ayant mis un traitement de données à caractère personnel à disposition des entités qui lui sont liées, décidé de la nature des données collectées et déterminé les droits d'accès à celles-ci puis, après le contrôle de la Commission nationale de l'informatique et des libertés (CNIL), ayant fixé la durée de conservation des données et apporté des correctifs à leur traitement. Ainsi, cette société, qui détermine les finalités et les moyens du traitement, doit être regardée comme le responsable du traitement, la désignation d'un correspondant à la protection des données par les autres entités n'ayant pas, par elle-même, pour effet de rendre celles-ci responsables des traitements.
26-07-10-02 : Droits civils et individuels- Protection des données à caractère personnel- Commission nationale de l'informatique et des libertés- Pouvoirs de contrôle-
Contrôle dans des locaux servant à la mise en oeuvre d'un traitement de données à caractère personnel - 1) Principe - Obligation d'informer le procureur territorialement compétent au plus tard vingt-quatre heures avant le contrôle - Existence - 2) Espèce - Information communiquée dans un délai inférieur de cinq heures quarante-cinq minutes au délai de vingt-quatre heures prescrit - Absence d'obstacle à l'exercice par le procureur de ses pouvoirs - Privation d'une garantie au sens de la jurisprudence " Danthony " (2) - Absence.
1) En vertu des dispositions de l'article 44 de la loi n° 78-17 du 6 janvier 1978 et de l'article 61 du décret n° 2005-1309 du 20 octobre 2005, lorsque des membres ou agents de la Commission nationale de l'informatique et des libertés (CNIL) opèrent un contrôle dans des locaux servant à la mise en oeuvre d'un traitement de données à caractère personnel, le procureur territorialement compétent doit en être informé, au plus tard vingt-quatre heures avant le contrôle. 2) En l'espèce, si l'information a été communiquée au procureur territorialement compétent à 15 heures pour un contrôle qui a débuté le lendemain à 9 heures 15, soit dans un délai inférieur de cinq heures quarante-cinq minutes au délai de vingt-quatre heures prescrit, cette circonstance, dont il n'est pas établi ni même soutenu qu'en raison de la brièveté de ces délais, elle aurait fait obstacle à l'exercice par le procureur de ses pouvoirs, et par suite privé la société requérante d'une des garanties légales dont elle pouvait se prévaloir, n'est pas de nature à affecter la légalité de la décision de sanction prononcée par la CNIL.
(2) Cf. CE, Assemblée, 23 décembre 2011, Danthony et autres, n° 335033, p. 649. (1) Cf., pour le recours à la méthode du faisceau d'indices, CE, 27 juillet 2012, Société AIS 2, n° 340026, T. p. 766.