CNIL - Délibération n° SAN-2022-002 du 13 janvier 2022 relative à l’injonction prononcée à l’encontre de la société NESTOR SAS

Délibération de la formation restreinte n°SAN-2022-002 du 13 janvier 2022 relative à l’injonction prononcée à l’encontre de la société NESTOR SAS par la délibération n°2020-018 du 8 décembre 2020

La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de Monsieur Alexandre LINDEN, président, Monsieur Philippe-Pierre CABOURDIN, vice-président, Mesdames Anne DEBET et Christine MAUGÜÉ, et Messieurs Alain DRU et Bertrand du MARAIS, membres ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi no 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;

Vu les articles L. 640-1 et suivants du code de commerce ;

Vu le décret no2019-536 du 29 mai 2019 pris pour l’application de la loi
no 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;

Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu la délibération no 2020-018 du 8 décembre 2020 prononçant des mesures correctrices à l’encontre de la société NESTOR SAS ;

Vu le jugement prononcé le 22 février 2021 par le tribunal de commerce de Nanterre arrêtant le plan de cession de la société NESTOR SAS à la société […] (N° RG : […]) ;

Vu les autres pièces du dossier ;

Après en avoir délibéré, a adopté la décision suivante :

La Commission nationale de l’informatique et des libertés (ci-après " la CNIL " ou " la Commission ") saisie de plusieurs plaintes, a effectué des contrôles en mai 2019 et février 2020 auprès de la société NESTOR, spécialisée dans la préparation et la livraison de repas à destination d’employés de bureaux.

À cette occasion, la CNIL a constaté plusieurs manquements concernant le traitement de données personnelles de prospects et de clients.

Par délibération n° 2020-018 du 8 décembre 2020, notifiée le 31 décembre 2020, la formation restreinte, retenant que la société NESTOR avait manqué à plusieurs obligations prévues par l’article 34-5 du code des postes et des communications électroniques et l’article 15 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après " le Règlement " ou " le RGPD "), lui a enjoint de mettre en conformité les traitements avec les obligations résultant de ces textes :

- " s’agissant du manquement à l’obligation de recueillir le consentement de la personne concernée par une opération de prospection directe au moyen d’un système automatisé de communications électroniques :

o Justifier de la suppression de l’ensemble des données à caractère personnel antérieurement collectées sans le consentement des prospects ;

- s’agissant du manquement à l’obligation de respecter le droit d’accès :

o Satisfaire pleinement aux demandes de droits d’accès en communiquant copie de l’ensemble de leurs données à caractère personnel détenues aux demandeurs, ainsi que le cas échéant, les informations relatives à la source d’où proviennent leurs données ".

Cette injonction était assortie d’une astreinte de 500 euros par jour de retard à l’issue d’un délai de trois mois suivant la notification de la délibération, les justificatifs de la mise en conformité devant être adressés à la formation restreinte dans ce délai.

La société NESTOR n’a pas justifié de la mise en conformité de ses traitements.

Le 20 janvier 2021, elle a été placée en liquidation judiciaire avec poursuite d’activité et, le 22 février 2021, le tribunal de commerce de Nanterre a retenu l’offre de reprise en plan de cession présentée par la société […] et ordonné la cession de la société NESTOR.

La cessation d’activité de la société NESTOR, intervenue le 22 février 2021, ne lui permettait plus de mettre ses traitements de données à caractère personnel en conformité avec le CPCE et le RGPD, alors que le délai qui lui avait été accordé à cette fin par la délibération n° 2020-018 du 8 décembre 2020 n’était pas expiré.

Il ne peut donc y avoir lieu à liquidation d’une astreinte pour non-exécution de l’injonction.

Il convient en conséquence de clore la présente procédure, étant observé que le cessionnaire ayant repris tout ou partie des activités de la société NESTOR n’a pas été mis dans la cause.

La présente décision sera rendue publique comme l’avait été la délibération no 2020-018 du 8 décembre 2020.

La formation restreinte de la CNIL, après en avoir délibéré, décide :

- qu’il n’y a pas lieu à liquidation d’astreinte vis-à-vis de la société NESTOR SAS ;

- de rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément la société à compter du 6 janvier 2023.

Le président

Alexandre LINDEN