CNIL, 25 mars 2004, n° 04-009

La Commission Nationale de l'Informatique et des Libertés,

Saisie, le 28 novembre 2003, d'une plainte par un particulier qui a reçu, à son attention, un relevé de compte bancaire détenu par une tierce personne ;

Vu la directive n° 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, pris ensemble le décret n° 78-774 du 17 juillet 1978 modifié ;

Vu les articles 226-16 à 226-22 du code pénal ;

Vu la délibération de la Commission nationale de l'informatique et des libertés n° 87-25 du 10 février 1987 fixant le règlement intérieur de la CNIL, et notamment son article 54 ;

Après avoir entendu Monsieur Philippe NOGRIX, commissaire, en son rapport, et Madame Charlotte-Marie PITRAT, commissaire du Gouvernement, en ses observations ;

FORMULE LES OBSERVATIONS SUIVANTES

L'instruction de la plainte dont a été saisie la CNIL a permis d'établir que des relevés de comptes de clients de X ont été envoyés à d'autres personnes que les titulaires des comptes.

La CNIL a rappelé à cet établissement bancaire, par courrier du 6 février 2004 que ces faits sont susceptibles d'être qualifiés pénalement et d'engager la responsabilité de X sur le fondement de l'article 226-17 du code pénal qui punit de cinq ans d'emprisonnement et de 300.000 euros d'amende "le fait de procéder ou de faire procéder à un traitement automatisé d'informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et notamment empêcher qu'elles ne soient déformées, endommagées, ou communiquées à des tiers non autorisés".

X a indiqué à la CNIL qu'elle sous-traitait auprès d'une société extérieure la mise sous pli et l'envoi des relevés de compte de ses clients à la suite d'une erreur matérielle, plusieurs de ses clients ont reçu, à leur attention, des relevés de compte concernant des tiers.

X ajoute avoir été alertée par plusieurs de ses clients et avoir décidé de changer de prestataire de service, recourant désormais à une société présentant de meilleures garanties s'agissant du taux d'anomalie relatif aux mises sous pli automatisées.

L'article 226-22 du code pénal punit par ailleurs d'un an d'emprisonnement et de 15.000 euros d'amende le fait "par toute personne qui a recueilli, à l'occasion de leur enregistrement, de leur classement, de leur transmission ou d'une autre forme de traitement, des informations nominatives dont la divulgation aurait pour effet de porter atteinte à la considération de l'intéressé ou à l'intimité de sa vie privée, de porter, sans autorisation de l'intéressé, ces informations à la connaissance d'un tiers qui n'a pas qualité pour les recevoir".

Les clients dont les relevés de compte ont été portés à la connaissance de tiers seraient fondés à intenter une action judiciaire contre X sur le fondement de ces dispositions.

DECIDE, au vu des mesures prises par X, de faire application des dispositions de l'article 21.4 de la loi du 6 janvier 1978, et d'adresser un AVERTISSEMENT à X, dont le siège social est situé [...].