CNIL - Délibération n° SAN-2021-014 du 15 septembre 2021 concernant la Société nouvelle de l’annuaire français (SNAF)

Délibération de la formation restreinte n°SAN-2021-014 du 15 septembre 2021 concernant la Société nouvelle de l’annuaire français (SNAF)

La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de Messieurs Alexandre LINDEN, président, Bertrand du MARAIS, membre, et de Mesdames Anne DEBET et Christine MAUGÜE, membres ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée, notamment ses articles 20 et suivants ;

Vu le décret no 2019-536 du 29 mai 2019 pris pour l’application de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu la décision n° 2019-133C du 26 juin 2019 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification des traitements mis en œuvre par cet organisme ou pour le compte de la Société nouvelle de l’annuaire français ;

Vu la décision n° MED 2020-017 du 21 juillet 2020 mettant en demeure la Société nouvelle de l’annuaire français ;

Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte, en date du 12 avril 2021 ;

Vu les saisines n° 18011796, 18013215, 18015831, 18016541, 18019128, 18020503, 18020676, 18022147, 18024212, 18024300, 19000390, 19001882, 19003400, 19004724, 19008218 et 19014490 ;

Vu le rapport de Madame Sophie LAMBREMON, commissaire rapporteure, notifié à la Société nouvelle de l’annuaire français le 27 mai 2021 ;

Vu le courriel et les observations adressés par la société le 2 juin et le 6 juillet 2021 ;

Vu les autres pièces du dossier ;

Étaient présents, lors de la séance de la formation restreinte du 8 juillet 2021 :

- Madame Sophie LAMBREMON, commissaire, entendue en son rapport ;

En qualité de représentant de la Société nouvelle de l’annuaire français :

- […] ;

La Société nouvelle de l’annuaire français ayant eu la parole en dernier ;

La formation restreinte a adopté la décision suivante :

1. La Société nouvelle de l’annuaire français (ci-après "la société" ou la "SNAF" ) est une société par actions simplifiée au capital social de 5 000 euros, sise 87 rue des Pyrénées à Paris (75020). Elle a une activité de régie publicitaire et gère le site web annuairefrancais.fr. Son président est son unique salarié. Elle a réalisé, en 2018, un chiffre d’affaires d’environ […], pour un résultat net d’environ […]. En 2019, le chiffre d’affaires de la société s’est élevé à […] avec un résultat net […].

2. Le site web annuairefrancais.fr est un annuaire professionnel recensant les entreprises françaises et qui dresse, pour chacune d’elles, une fiche de présentation reprenant ses principales informations administratives, notamment le nom et l’adresse de son dirigeant. Ces données proviennent exclusivement de la base publique SIRENE publiée par l’INSEE sur son site web. Environ une fois par mois, le dirigeant de la société télécharge manuellement le fichier mis à disposition par l’INSEE et compare la nouvelle liste avec celle précédemment publiée sur le site web de la société pour mettre à jour sa base de données. Les dirigeants des sociétés peuvent créer un compte sur le site, pour accéder à un espace personnel permettant de souscrire aux offres commerciales de la société proposant une présentation personnalisée de leur entreprise.

3. La Commission nationale de l’informatique et des libertés (ci-après "la CNIL" ou "la Commission" ) a été destinataire, entre le 1er mars 2018 et le 16 mai 2019, de seize plaintes (n° 18011796, 18013215, 18015831, 18016541, 18019128, 18020503, 18020676, 18022147, 18024212, 18024300, 19000390, 19001882, 19003400, 19004724, 19008218 et 19014490) concernant le site web annuairefrancais.fr, relatives aux difficultés rencontrées lors de demandes d’effacement et de rectification des données à caractère personnel.

4. Une mission de contrôle a alors été diligentée par la CNIL auprès de la société, en application de la décision n° 2019-133C du 26 juin 2019 de la présidente de la Commission.

5. Cette mission avait notamment pour objet de vérifier la conformité aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 sur la protection des données (ci-après "le RGPD" ou "le Règlement" ) et de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après "la loi du 6 janvier modifiée" ou "la loi Informatique et Libertés" ) des traitements mis en œuvre par cet organisme ou pour son compte.

6. Le président de la société a été convoqué par un courrier du 17 juillet 2019, réceptionné le 20 juillet 2019, à une audition, en application de l’article 19-III de la loi susmentionnée, qui s’est tenue le 5 septembre 2019. En outre, un contrôle en ligne a été effectué le 3 septembre 2019. Le procès-verbal du contrôle en ligne a été notifié à la société par un courrier du 9 septembre 2019.

7. A l’issue du contrôle sur audition, il a été demandé à la société de communiquer à la CNIL, dans un délai de huit jours, tous les échanges intervenus entre les plaignants à l’origine de la procédure de contrôle et la société, ainsi qu’une copie d’un exemple de réponse à une demande d’effacement, un dénombrement du nombre d’entreprises individuelles présentes dans la table "PROFESSIONNEL 3" de la base de données de la société, une copie de tout document contractuel encadrant la relation commerciale avec […] et une copie de tout document contractuel encadrant la relation commerciale […]. Le procès-verbal d’audition a été notifié à la société par courrier le 9 septembre 2019.

8. La société n’ayant pas produit les éléments sollicités dans le délai imparti à l’issue de son audition, un courriel de relance lui a été adressé par les services de la CNIL le 23 septembre 2019, lui accordant un délai supplémentaire de huit jours pour apporter les éléments demandés.

9. Le 4 octobre 2019, la société n’a répondu que partiellement aux demandes de la CNIL en ne fournissant que les documents encadrant sa relation commerciale avec […]. En outre, la société a interrogé la CNIL quant à la légalité de la diffusion de données collectées par l’INSEE et sur le caractère personnel des données traitées. Elle a également mis en avant un conflit qui l’oppose à […]. Enfin, elle a précisé "avoir exclu les demandes spécifiques" transmises par la CNIL sans préciser l’objet de ces demandes et sans communiquer de pièces justificatives.

10. De nombreux échanges sont ensuite intervenus entre la société et les services de la Commission, sans que la société réponde de manière effective aux demandes formulées à l’issue du contrôle. La CNIL a ainsi adressé une relance le 7 octobre 2019 précisant notamment que les documents concernant […] n’étaient que des liens hypertexte. En réponse, la société a adressé un courriel le jour même dans lequel elle indiquait qu’elle allait répondre aux demandes de la CNIL, ce qu’elle n’a toutefois pas fait, ce qui a conduit la CNIL à procéder à une nouvelle relance le 10 octobre 2019. La société a apporté des éléments de réponse les 15 et 16 octobre 2019 en lien avec le traitement des plaintes et sur les contrats sollicités, mais sans transmettre les justificatifs demandés.

11. Le 16 octobre 2019, les services de la Commission ont adressé un courrier constatant que la société n’avait pas apporté de justificatif concernant les échanges entre les plaignants et la société.

12. Par une décision n° MED 2020-017 du 21 juillet 2020, notifiée le 21 juillet 2020 et réceptionnée le 23 juillet 2020, la présidente de la Commission a mis en demeure la SNAF, dans un délai de deux mois, de :

"- procéder à l’information des personnes concernées, conformément aux dispositions des articles 12, 13 et 14 du règlement, quant aux traitements de données à caractère personnel mis en place, et en particulier délivrer une information complète aux personnes, et ce, dans un document ou support distinct des conditions générales d’utilisation du site afin d’en assurer le caractère aisément accessible en prévoyant également une information spécifique aux entrepreneurs dont les données ont été collectées à partir des bases de l’INSEE ;

- procéder à la rectification des données du plaignant concerné et mettre en place une procédure permettant de prendre en compte de manière effective toute demande d’exercice du droit de rectification et de mise à jour formulée par des personnes dont les données personnelles figurent dans la base de données de la société ;

- procéder à la suppression des données des plaignants concernés ([…]) et mettre en place une procédure permettant de prendre en compte de manière effective toute demande d’exercice du droit d’effacement des personnes dont les données personnelles figurent dans la base de données de la société ;

- mettre en œuvre un registre des activités de traitement ;

- transmettre les éléments demandés à l’issue du procès-verbal n° 2019-133/2 non encore communiqués ;

- justifier auprès de la CNIL que l’ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti."

13. Il était indiqué dans la mise en demeure que si, à l’issue du délai de deux mois, la société s’était conformée à la mise en demeure, la procédure serait close et un courrier serait adressé à la société en ce sens. A l’inverse, si la société ne se conformait pas à la mise en demeure, un rapporteur serait désigné par la présidente de la Commission, rapporteur qui pourrait demander à la formation restreinte de prononcer à l’encontre de la société l’une des mesures prévues par l’article 20 de la loi du 6 janvier 1978 modifiée.

14. La mise une demeure étant restée sans réponse, un courrier de relance a été envoyé par la présidente de la CNIL le 19 novembre 2020, accordant à la société un délai supplémentaire de 15 jours pour apporter sa réponse à la mise en demeure.

15. Le 17 décembre 2020, la société a adressé un courriel aux services de la CNIL dans lequel elle indiquait avoir traité toutes les demandes des plaignants individuellement, sans pour autant communiquer de justificatifs. Elle expliquait ensuite ne pas avoir les moyens permettant de "gérer automatiquement les demandes de suppression".

16. Le 6 mars 2021, la société a adressé un nouveau courriel aux services de la CNIL dans lequel elle établissait une liste des dossiers correspondants aux différentes saisines reçues par la CNIL et où elle indiquait le traitement accordé à chacune d’entre elles et leur statut actuel. Cette réponse ne comportait pas de justificatif.

17. Aux fins d’instruction de ces éléments, la présidente de la Commission a, le 12 avril 2021, désigné Madame Sophie LAMBREMON en qualité de rapporteure, conformément à l’article 39 du décret n° 2019-536 du 29 mai 2019.

18. À l’issue de son instruction, la rapporteure a fait signifier par huissier de justice à la Société nouvelle de l’annuaire français, le 27 mai 2021, un rapport détaillant les manquements au RGPD qu’elle estimait constitués en l’espèce. Le courrier de notification du rapport précisait à la société que le dossier était inscrit à la séance de la formation restreinte du 8 juillet 2021.

19. Ce rapport proposait à la formation restreinte de la Commission de prononcer une amende administrative.

20. Le 2 juin 2021, la société a adressé un courriel aux services de la CNIL. Elle a complété son courriel par des observations du 6 juillet 2021.

21. La société et la rapporteure ont présenté des observations orales lors de la séance de la formation restreinte.

22. L’article 4.1 du RGPD définit les "données à caractère personnel" comme "toute information se rapportant à une personne physique identifiée ou identifiable" .

23. La société a émis des doutes quant au caractère personnel des données traitées et, partant, quant à la compétence de la Commission. Selon la société, les données qu’elle publie dans son annuaire ne sont pas soumises au règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 au motif qu’elles ne seraient pas des données à caractère personnel mais des données relatives à des entreprises.

24. La rapporteure considère que les informations présentes sur ces pages contiennent des données qui ont le caractère de "données à caractère personnel" au sens du RGPD dès lors qu’elles permettent une identification directe d’une personne physique.

25. La formation restreinte relève que les fiches relatives aux entreprises référencées dans l’annuaire accessible à partir du site web de la société font figurer, notamment, les noms, prénoms et adresses des personnes physiques lorsque celles-ci ont le statut d’autoentrepreneur ou lorsqu’elles exercent une profession libérale sans être membre d’une structure d’exercice. Dès lors, des données présentes sur les fiches se rapportent à une personne physique identifiée et ont ainsi le caractère de "données à caractère personnel" au sens du RGPD.

26. A cet égard, la formation restreinte observe que la CNIL adopte cette position de manière constante, depuis de nombreuses années. Elle indiquait en ce sens, dès 1985, que "sont directement nominatives : les informations relatives aux dirigeants, quelle que soit la forme de l’entreprise, de même que les informations relatives aux électeurs dans le cadre de l’organisation des élections consulaires ; les informations relatives à la raison sociale de l’entreprise, dès lors qu’il s’agit d’une entreprise en nom" (délibération n° 85-45 du 15 octobre 1985). Le Conseil d’Etat affirme également que sont des données à caractère personnel les données qui permettent une identification directe d’une personne physique (voir en ce sens la décision Conseil d’État, 10ème SSJS, 30 décembre 2015, n° 376845, §8).

27. La formation restreinte considère donc que les données traitées par la Société nouvelle de l’annuaire français sont des données à caractère personnel au sens de l’article 4.1 du Règlement et que les dispositions du Règlement sont applicables au traitement opéré par la société.

28. Aux termes de l’article 16 du RGPD "la personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes" .

29. Il ressort des constations de la délégation de la CNIL que, lorsque la société reçoit des demandes de rectification de la part des entrepreneurs dont les données figurent sur le site annuairefrancais.fr, une comparaison est effectuée entre les données de la base SIRENE et les données d’entreprise figurant sur le site web de la société. Il a été également établi que la société ne faisait droit aux demandes de rectification des données que lorsqu’une différence était relevée entre la fiche présente sur le site annuairefrancais.fr et la base SIRENE. Si les fiches du site et de la base SIRENE étaient identiques, la société refusait de procéder à la rectification des données.

30. Le 13 septembre 2017, […] (saisine n° 18020503) a adressé une demande de rectification de son adresse à la Société nouvelle de l’annuaire français. Il précisait que l’adresse renseignée sur la fiche était celle de son domicile personnel et non son adresse professionnelle. Constatant que les informations présentes sur la fiche de son entreprise étaient toujours inexactes, […] a de nouveau contacté la société le 23 janvier 2018. Il a par la suite saisi la CNIL d’une réclamation, le 10 octobre 2018, ces données n’étant toujours pas rectifiées.

31. La société a été mise en demeure par la présidente de la Commission, par décision du 21 juillet 2020, dans un délai de deux mois, de procéder à la rectification des données du plaignant ayant saisi la CNIL. Elle a également été mise en demeure, dans le même délai, de mettre en place une procédure permettant de prendre en compte de manière effective toute demande d’exercice du droit de rectification et de mise à jour formulée par des personnes dont les données personnelles figurent dans la base de données de la société.

32. La rapporteure relève dans son rapport de sanction qu’au jour du contrôle, le 3 septembre 2019, soit deux ans après sa demande, la fiche de l’entreprise de […] présentait toujours des informations inexactes, la société méconnaissant ainsi ses obligations au regard de l’article 16 du RGPD.

33. La société indique qu’elle a procédé, le 6 juillet 2021, à la suppression de toutes les données relatives à […].

34. La formation restreinte relève que […] a alerté la Société nouvelle de l’annuaire français, en septembre 2017, de l’inexactitude de certaines des données mentionnées sur la fiche de son entreprise diffusée sur le site annuairefrancais.fr.

35. Bien que la société lui ait indiqué, dès le 13 septembre 2017, prendre en compte sa demande, la formation restreinte relève que le plaignant a, en l’absence de rectification de ses données, adressé une relance à la société en janvier 2018, puis saisi la CNIL d’une plainte en octobre 2018. Lors du contrôle réalisé par la délégation en septembre 2019, la société n’avait toujours pas rectifié les données à caractère personnel du plaignant. En juillet 2020, la présidente de la CNIL a par la suite mis en demeure la société de rectifier, dans un délai de deux mois, les données de […]. La formation restreinte relève que cette demande n’a à nouveau pas été suivie d’effet, la société n’ayant pas apporté de réponse satisfaisante à la mise en demeure. En outre, la formation restreinte relève que la rapporteure précise dans son rapport de sanction du 25 mai 2021 que les vérifications informelles effectuées au moment de sa rédaction ont permis de constater que la fiche du plaignant comportait toujours l’adresse de son domicile personnel, la demande de rectification n’ayant donc toujours pas été prise en compte.

36. La formation restreinte a été avisée, par un courrier du 6 juillet 2021, que la société avait finalement fait droit à la demande du plaignant.

37. La formation restreinte retient, en tout état de cause, que malgré les différentes démarches du plaignant et des services de la CNIL, la société ne s’est pas mise en conformité à l’expiration du délai fixé dans la mise en demeure du 21 juillet 2020.

38. Dans ces conditions, et au vu de ce qui précède, la formation restreinte considère que la société a failli à l’obligation prévue par l’article 16 du Règlement.

39. Aux termes de l’article 17 du RGPD "la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique […] la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement" .

40. En outre, l’article 21 paragraphe 1 prévoit que "la personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice ". Enfin, l’article 6, paragraphe 1, point f) dispose que "le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant" .

41. La délégation de contrôle de la CNIL a établi que la société reçoit des demandes d’exercice de droit à l’effacement par téléphone, par courrier, par courriel et par un formulaire en ligne. Lors du contrôle du 5 septembre 2019, la délégation a été informée que ces demandes étaient normalement traitées au fur et à mesure de leur réception, mais qu’elles ne l’avaient pas été depuis le mois d’avril 2019, "en raison de difficultés opérationnelles" . Il a été ainsi constaté, lors du contrôle sur audition, dans la boîte de réception des courriels de la société, la présence de 135 demandes d’effacement de données non lues et non traitées par le gérant de la société. La plus ancienne avait été reçue le 3 mai 2019, soit plus de quatre mois avant l’audition.

42. La délégation a également constaté, dans le cadre du contrôle en ligne du 3 septembre 2019 que, parmi les pages dont la suppression avait été demandée à la société par les plaignants ayant saisi la CNIL, cinq étaient toujours présentes, au jour du contrôle, sur le site web de la société et qu’elles contenaient les données personnelles des plaignants (les pages signalées par […]). Pour trois autres plaignants ([…]), si les fiches correspondant à leur établissement avaient effectivement été supprimées, des données les concernant, comme l’activité professionnelle et le département dans lequel se situe la société, demeuraient accessibles dans des pages d’index du site www.annuairefrancais.fr et apparaissaient ainsi toujours à la saisie du nom des plaignants lors d’une recherche effectuée sur un moteur de recherche.

43. La société a été mise en demeure de procéder à la suppression des données des plaignants concernés ([…]) et de mettre en place une procédure permettant de prendre en compte de manière effective toute demande d’exercice du droit d’effacement des personnes dont les données à caractère personnel figurent dans la base de données de la société.

44. La rapporteure relève dans son rapport de sanction que la société n’a pas procédé, dans le délai imparti, à la suppression des données de tous les plaignants, les données de […] étant toujours accessibles.

45. La société indique, dans un courrier du 6 juillet 2021, avoir réinitialisé la totalité de sa base de données et que celle-ci est à présent exclusivement constituée à partir des données du répertoire SIRENE diffusé par l’INSEE. Elle précise que les demandes formulées par les personnes sur les précédentes informations diffusées sur le site annuairefrancais.fr ont été de facto annulées car ces données ont été supprimées lors de cette mise à jour. Désormais, la société ne diffuse plus que les données publiées chaque mois par l’INSEE, et mises à jour auparavant par cette dernière.

46. La formation restreinte considère qu’il ressort des dispositions précitées du RGPD que, lorsque le traitement a pour base légale l’intérêt légitime du responsable de traitement, celui-ci doit faire droit à la demande d’effacement formulée par la personne concernée lorsque celle-ci s’est opposée au traitement de ses données à caractère personnel et que le responsable de traitement ne démontre pas de motifs légitimes et impérieux justifiant le traitement.

47. La formation restreinte relève qu’au jour des constats, dans huit des seize plaintes visées dans la présente procédure, la société n’a pas apporté de réponse efficace aux demandes formulées et les données à caractère personnel en cause sont restées accessibles, directement dans les fiches d’entreprise diffusées sur le site web.

48. En outre, la formation restreinte note que le responsable de traitement n’invoque aucun motif légitime impérieux justifiant que le traitement qu’il met en œuvre primerait sur les droits des plaignants, alors que les personnes concernées ont manifesté leur opposition au traitement et qu’elles ont formulé une demande d’effacement de leurs données à caractère personnel.

49. La formation restreinte considère par ailleurs que les mesures que la société annonce avoir récemment mises en place en lien avec la mise à jour de sa base de données, qui permettraient selon cette dernière de satisfaire aux demandes d’exercice des droits, ne sont pas suffisantes pour s’assurer de la prise en compte de ces demandes, dès lors que les données de trois plaignants restent toujours accessibles sur le site malgré la mise à jour effectuée.

50. La formation restreinte retient, en tout état de cause, que la société ne s’est pas mise en conformité à l’expiration du délai fixé dans la mise en demeure du 21 juillet 2020.

51. Dans ces conditions, la formation restreinte considère que la société a failli à l’obligation prévue par l’article 17 du Règlement.

52. L’article 30 du RGPD dispose que "chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité" . Cette obligation ne peut être imposée aux entreprises comptant moins de 250 salariés, "sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel […] ".

53. Il ressort des constatations de la délégation de la CNIL que la société ne met pas en œuvre un registre des activités de traitement.

54. La société a été mise en demeure le 21 juillet 2020 de mettre en œuvre un registre des activités de traitement. Elle n’a toutefois pas apporté de réponse sur cette injonction dans le cadre de la mise en demeure.

55. La rapporteure considère dans son rapport de sanction que la société a dès lors manqué à son obligation prévue par l’article 30 du RGPD.

56. La société ne produit aucun élément en défense sur ce point.

57. La formation restreinte relève que si la société compte un unique salarié en la personne de son président, […], le traitement mis en œuvre par la société n’est toutefois pas occasionnel puisqu’il constitue le cœur de son activité. La société aurait dès lors dû mettre en œuvre un registre de ses activités de traitement.

58. La formation restreinte retient que la société ne s’est pas mise en conformité à l’expiration du délai fixé dans la mise en demeure du 21 juillet 2020, ni ultérieurement.

59. Dans ces conditions, la formation restreinte considère que la société a méconnu l’obligation prévue par l’article 30 du Règlement.

60. L’article 31 du RGPD dispose que "le responsable du traitement et le sous-traitant ainsi que, le cas échéant, leurs représentants coopèrent avec l’autorité de contrôle, à la demande de celle-ci, dans l’exécution de ses missions" .

61. La délégation de la CNIL a constaté que la société n’avait pas répondu à toutes les demandes qu’elle avait formulées à la suite du contrôle sur audition réalisé le 5 septembre 2019, mais seulement à certaines, la plupart du temps de manière insatisfaisante ou incomplète. Par ailleurs, il a été constaté par la délégation que, dans la boîte de réception des courriels de la société, quatre courriels de la CNIL en date des 13 novembre 2017, 16 janvier 2018, 29 janvier 2018 et 1er février 2018, n’étaient pas ouverts. Ces courriers n’ayant pas été lus par le responsable de traitement, aucune réponse ne leur a été apportée.

62. La société a donc été mise en demeure, le 21 juillet 2020, notamment de communiquer les pièces sollicitées lors du contrôle sur audition. La mise en demeure comportait également d’autres injonctions visant à la mise en conformité du traitement et au respect des droits des personnes.

63. La rapporteure soutient dans son rapport de sanction que la société n’a répondu que très partiellement à la demande de communication de pièces de la délégation de contrôle, malgré les nombreux échanges, et que la société ne s’est par conformé aux exigences de la mise en demeure dans le délai imparti, ce qui constitue un manquement à l’obligation de coopération prévue à l’article 31 du RGPD.

64. En défense, le responsable de traitement a fait part de difficultés de gestion de la charge de travail induite. Il affirme toutefois, dans un courrier du 6 juillet 2021, avoir consacré près d’un mois complet à "répondre la même chose" aux services de la CNIL, considérant qu’il s’était mis en conformité avec le RGPD.

65. En premier lieu, la formation restreinte relève que les treize échanges entre la société et la CNIL n’ont pas permis d’aboutir à la communication de l’intégralité des pièces sollicitées lors de l’audition du 5 septembre 2019 (pièces mentionnées ci-dessus au paragraphe 7). Pourtant, de multiples relances ont été adressées en septembre et octobre 2019 à la société par les services de la CNIL, sans succès, et le dernier courrier envoyé par la CNIL par un mail du 8 novembre 2019 étant resté sans réponse. A l’issue de ces nombreux échanges, sur l’intégralité des demandes formulées par la CNIL, la société n’a communiqué que les conditions particulières de location de […], les conditions d’utilisation de […], une indication - sans justificatif - de l’état sur le site de l’annuaire français des fiches correspondant aux seize saisines reçues par la CNIL et une capture d’écran de la page de téléchargement des bases SIRENE des entreprises du site data.gouv.fr. Ainsi, aucune réponse n’a été apportée sur les échanges entre les plaignants et la société, la communication d’une copie d’une réponse à une demande d’effacement d’une fiche et le dénombrement du nombre d’entreprises individuelles présentes dans la table "PROFESSIONNEL 3" de la base de données de la société.

66. En second lieu, la formation restreinte note que, malgré les divers échanges et relances dans le cadre de l’instruction de la mise en demeure, aucune réponse satisfaisante n’a été apportée aux cinq injonctions formulées dans ce cadre.

67. Dans ces conditions, la formation restreinte considère que la société a méconnu l’obligation prévue par l’article 31 du Règlement.

68. Aux termes du III de l’article 20 de la loi du 6 janvier 1978 modifiée :

"Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut également, le cas échéant après lui avoir adressé l’avertissement prévu au I du présent article ou, le cas échéant en complément d’une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l’une ou de plusieurs des mesures suivantes : […]

7° À l’exception des cas où le traitement est mis en œuvre par l’État, une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l’article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d’euros et 4 % dudit chiffre d’affaires. La formation restreinte prend en compte, dans la détermination du montant de l’amende, les critères précisés au même article 83 ".

69. L’article 83 du RGPD prévoit en outre que "chaque autorité de contrôle veille à ce que les amendes administratives imposées […] soient, dans chaque cas, effectives, proportionnées et dissuasives" , avant de préciser les éléments devant être pris en compte pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de cette amende.

70. Sur le prononcé d’une amende et son montant, la formation restreinte estime que, dans le cas d’espèce, les manquements précités justifient que soit prononcée une amende administrative à l’encontre de la société.

71. Concernant l’amende proposée par la rapporteure, la société soutient en défense que son montant est excessif, compte tenu de ses capacités financières.

72. La formation restreinte analyse les critères dressés par l’article 83 de la manière suivante.

73. Tout d’abord, la formation restreinte relève le nombre de manquements et le fait qu’ils constituent des manquements portant atteinte aux droits des personnes et aux principes fondamentaux de la protection des données à caractère personnel, ainsi qu’à l’obligation de coopération avec la CNIL.

74. Ensuite, la formation restreinte considère que ces manquements ont eu des conséquences directes pour les personnes concernées, puisque seize plaintes sont à l’origine de la procédure. En outre, si les difficultés rencontrées dans l’exercice de leurs droits ont conduit seize personnes à saisir la CNIL de plaintes, la CNIL a également constaté que cent trente-cinq demandes d’exercice des droits n’avaient pas été traitées par la société au jour du contrôle.

75. La formation restreinte souligne également la durée particulièrement longue pendant laquelle la société a été accompagnée par les services de la CNIL, qui lui ont adressé de nombreuses demandes dans le cadre de la procédure de contrôle, ainsi qu’une mise en demeure en vue d’aboutir à une mise en conformité. Malgré un accompagnement particulièrement long et minutieux par les services de la Commission, la société n’a pas pris les mesures de nature à lui permettre d’être en totale conformité avec les dispositions du RGPD. Surtout, la société n’a pas coopéré de manière satisfaisante avec les services de la Commission et ce comportement apparaît délibéré.

76. Enfin, la formation restreinte observe que si la société a fini par prendre certaines mesures en vue d’une mise en conformité avec le RGPD, celles-ci ne sont intervenues que tardivement, et uniquement dans le cadre de la procédure de sanction. En outre, la formation restreinte note que la société ne satisfait pas aux demandes de tous les plaignants, ni à toutes les injonctions de la mise en demeure.

77. L’ensemble de ces manquements et leur gravité justifient qu’une amende soit prononcée.

78. S’agissant du montant de l’amende administrative, la formation restreinte note qu’en 2018 le chiffre d’affaires de la société s’est élevé à […], avec un résultat net comptable de […]. En 2019, le chiffre d’affaires de la société s’est élevé à […]avec un résultat net […].

79. Dès lors, au regard des critères pertinents de l’article 83, paragraphe 2, du RGPD évoqués ci-avant, la formation restreinte considère que le prononcé d’une amende de 3000 euros apparaît effectif, proportionné et dissuasif, conformément aux exigences de l’article 83, paragraphe 1, du RGPD, au regard de la taille de l’entreprise et de sa situation financière.

80. Sur la publicité de la décision, la formation restreinte considère que la gravité de certains manquements justifie, par elle-même, la publication de la présente décision.

81. La formation restreinte rappelle en outre que les manquements ont donné lieu à plusieurs plaintes reçues par la CNIL et que les manquements en lien avec l’exercice des droits des personnes sont graves. Elle considère que la publication de sa décision permet d’informer les personnes de l’existence des manquements commis par la société.

La formation restreinte de la CNIL, après en avoir délibéré, décide de :

- prononcer à l’encontre de la Société nouvelle de l’annuaire français une amende administrative d’un montant de trois mille (3 000) euros, au regard des manquements constitués aux articles 16, 17, 30 et 31 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;

- rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.

Le président

Alexandre LINDEN

Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.