fonctionnalités précises <strong>de</strong> l’application, les <strong>de</strong>stinataires exacts <strong>de</strong>s données, les me<strong>sur</strong>es <strong>de</strong> sécurité as<strong>sur</strong>ant <strong>la</strong>confi<strong>de</strong>ntialité <strong>de</strong>s données et <strong>la</strong> durée <strong>de</strong> conservation <strong>de</strong>s données).Au regard <strong>de</strong>s faits précités, <strong>la</strong> Commission a, par délibération adoptée le 10 mai 2006, mis en <strong>de</strong>meure <strong>la</strong>société Tyco, sous dix jours, <strong>de</strong> répondre aux questions posées par <strong>la</strong> CNIL dans ses courriers (courriers <strong>de</strong>s 21février, 19 septembre 2005, 21 mars 2006) ou <strong>de</strong> lui indiquer que le traitement précité avait été abandonné. Enréponse à cette mise en <strong>de</strong>meure, <strong>la</strong> société Tyco Healthcare France a indiqué, par courrier du 1er juin 2006, que« Le groupe Tyco au niveau international <strong>de</strong>vait scin<strong>de</strong>r les 4 secteurs d’activités qui le constituent actuellementen entités indépendantes. Cette scission doit intervenir d’ici <strong>la</strong> fin <strong>de</strong> l’année calendaire. Par conséquent lesprocédures et les <strong>de</strong>man<strong>de</strong>s d’information qui avaient été mises en <strong>p<strong>la</strong>ce</strong> sont dans les circonstances actuellessuspendues ».La CNIL ne s’estimant pas suffisamment informée par cette réponse <strong>sur</strong> le sort exact ayant été finalementréservé au traitement objet <strong>de</strong> <strong>la</strong> mise en <strong>de</strong>meure a fait procé<strong>de</strong>r à <strong>un</strong>e mission <strong>de</strong> contrôle <strong>sur</strong> <strong>p<strong>la</strong>ce</strong> le 12juillet 2006 dans les locaux <strong>de</strong> <strong>la</strong> société Tyco Healthcare France. À cette occasion, les services <strong>de</strong> <strong>la</strong> CNILont constaté que le traitement objet <strong>de</strong> <strong>la</strong> mise en <strong>de</strong>meure, contrairement à ce qui avait été affirmé, était bienutilisé par <strong>la</strong> société Tyco Healthcare France.Au regard <strong>de</strong>s documents comm<strong>un</strong>iqués (« International Database Project Update, Data Auditing and NextSteps, J<strong>un</strong>e 2006 » et « Gui<strong>de</strong> <strong>de</strong> l’administrateur, Administration et traitement <strong>de</strong>s données pour <strong>la</strong> base <strong>de</strong>données internationales »), le traitement précité apparaît comme <strong>un</strong> outil <strong>de</strong> gestion essentiel, au p<strong>la</strong>n mondial,<strong>de</strong> <strong>la</strong> politique sa<strong>la</strong>riale du groupe Tyco dont les finalités dépassent <strong>la</strong>rgement <strong>la</strong> finalité <strong>de</strong> « reporting » viséedans <strong>la</strong> déc<strong>la</strong>ration du 22 septembre 2004 (« <strong>la</strong> finalité <strong>de</strong> cette base <strong>de</strong> données est purement celle d’<strong>un</strong> «reporting » vis à vis <strong>de</strong> notre hiérarchie européenne en ressources humaines »). Lors <strong>de</strong> <strong>la</strong> mission <strong>de</strong> contrôle<strong>sur</strong> <strong>p<strong>la</strong>ce</strong>, il a également été constaté que <strong>de</strong> strictes et récentes procédures étaient mises en œuvre pour que <strong>la</strong>société Tyco Healthcare France alimente <strong>de</strong> façon régulière <strong>la</strong> base <strong>de</strong> données avec les informations concernantles sa<strong>la</strong>riés français.Un document interne datant <strong>de</strong> juin 2006 comm<strong>un</strong>iqué aux services <strong>de</strong> <strong>la</strong> CNIL lors <strong>de</strong> <strong>la</strong> mission <strong>de</strong> contrôle du12 juillet 2006 indiquait pourtant, concernant le traitement précité, que celui-ci sert à <strong>la</strong> gestion <strong>de</strong>s stockoptions,<strong>la</strong> formation professionnelle, le niveau <strong>de</strong>s rém<strong>un</strong>érations, <strong>la</strong> comm<strong>un</strong>ication professionnelle, etc. LaCommission ne s’estimait donc pas informée <strong>sur</strong> le <strong>de</strong>scriptif précis <strong>de</strong>s finalités recherchées par le traitementdéc<strong>la</strong>ré le 22 septembre 2004 par <strong>la</strong> société Tyco Healthcare France comme ce<strong>la</strong> était pourtant <strong>de</strong>mandé dans <strong>la</strong>mise en <strong>de</strong>meure du 10 mai 2006.S’agissant ensuite <strong>de</strong>s cas précis dans lesquels <strong>de</strong>s données à caractère personnel sont envoyées en Gran<strong>de</strong>-Bretagne et aux Etats-Unis, le courrier du 4 avril 2006 se limitait à indiquer que « ces données peuvent êtretransmises du Royaume-Uni aux Etats-Unis si notre hiérarchie juge opport<strong>un</strong> <strong>de</strong> le faire ». Si le contrôle du 12juillet 2006 a permis d’établir <strong>un</strong>e comm<strong>un</strong>ication d’informations concernant le traitement objet <strong>de</strong> <strong>la</strong> mise en<strong>de</strong>meure entre <strong>la</strong> société Tyco Healthcare France et les locaux du groupe Tyco en Angleterre et aux Etats-Unis, iln’a pas été possible d’obtenir <strong>de</strong>s informations précises <strong>sur</strong> les motifs liés à cet envoi d’informations. LaCommission ne s’estimait pas correctement informée <strong>de</strong>s cas précis où <strong>de</strong>s données à caractère personnel sontenvoyées dans les locaux du groupe Tyco en Gran<strong>de</strong>-Bretagne et aux Etats-Unis comme ce<strong>la</strong> était pourtant<strong>de</strong>mandé dans <strong>la</strong> mise en <strong>de</strong>meure du 10 mai 2006.S’agissant encore <strong>de</strong>s lieux exacts d’imp<strong>la</strong>ntation <strong>de</strong>s serveurs et <strong>de</strong>s systèmes, seul <strong>un</strong> schéma technique aété comm<strong>un</strong>iqué aux services <strong>de</strong> <strong>la</strong> Commission (« Schéma <strong>de</strong> fonctionnement informatique Tyco HealthcareFrance ») mais les adresses exactes <strong>de</strong>s centres informatiques n’ont pas été comm<strong>un</strong>iquées à ce jour.S’agissant <strong>de</strong>s questions posées concernant les <strong>de</strong>stinataires exacts <strong>de</strong>s données et <strong>la</strong> durée <strong>de</strong> conservation<strong>de</strong>s données, <strong>la</strong> Commission ne dispose à ce jour d’auc<strong>un</strong>e réponse précise.S’agissant enfin <strong>de</strong>s me<strong>sur</strong>es <strong>de</strong> sécurité as<strong>sur</strong>ant <strong>la</strong> confi<strong>de</strong>ntialité <strong>de</strong>s données, si <strong>la</strong> mission <strong>de</strong> contrôle du12 juillet 2006 a permis d’établir que l’accès aux ordinateurs <strong>de</strong> <strong>la</strong> société Tyco Healthcare France est sécurisépar mot <strong>de</strong> passe, <strong>la</strong> Commission ne dispose à ce jour d’auc<strong>un</strong>e information technique précise <strong>sur</strong> les conditions<strong>de</strong> sécurité liées à <strong>la</strong> conservation <strong>de</strong>s données en Angleterre et aux Etats-Unis. Dès lors, <strong>la</strong> Commission nes’estime toujours pas correctement informée <strong>sur</strong> les lieux exacts d’imp<strong>la</strong>ntation <strong>de</strong>s serveurs et <strong>de</strong>s systèmes, lesPage 72 <strong>sur</strong> 82AFCDP, Association Française <strong>de</strong>s Correspondants à <strong>la</strong> protection <strong>de</strong>s Données à caractère Personnelwww.afcdp.net
<strong>de</strong>stinataires exacts <strong>de</strong>s données, <strong>la</strong> durée <strong>de</strong> conservation <strong>de</strong>s données et les me<strong>sur</strong>es <strong>de</strong> sécurité as<strong>sur</strong>ant <strong>la</strong>confi<strong>de</strong>ntialité <strong>de</strong>s données comme ce<strong>la</strong> était pourtant <strong>de</strong>mandé dans <strong>la</strong> mise en <strong>de</strong>meure du 10 mai 2006.Au final, les services <strong>de</strong> <strong>la</strong> CNIL ont constaté lors du contrôle <strong>sur</strong> <strong>p<strong>la</strong>ce</strong> que non seulement <strong>la</strong> mise en œuvre dufichier n’était pas suspendue, mais que celui-ci était très régulièrement utilisé et mis à jour, en dépit <strong>de</strong>snombreuses incertitu<strong>de</strong>s juridiques relevées par <strong>la</strong> CNIL (finalités du fichier, transmission du fichier <strong>sur</strong> le p<strong>la</strong>ninternational et me<strong>sur</strong>e <strong>de</strong> sécurité notamment).Les sanctionsLa Commission observe à cet égard que <strong>la</strong> société Tyco Healthcare France n’a manifestement pas pris <strong>la</strong> me<strong>sur</strong>e<strong>de</strong> <strong>la</strong> gravité <strong>de</strong>s manquements qui lui sont reprochés concernant son manque <strong>de</strong> coopération (pouvantconstituer <strong>un</strong>e infraction pénale d’entrave) et <strong>de</strong> transparence. Par ailleurs, <strong>la</strong> Commission enjoint <strong>la</strong> sociétéTyco Healthcare France <strong>de</strong> répondre, sous dix jour à compter <strong>de</strong> <strong>la</strong> notification <strong>de</strong> <strong>la</strong> présente délibération, àl’ensemble <strong>de</strong>s <strong>de</strong>man<strong>de</strong>s formulées par <strong>la</strong> CNIL dans sa mise en <strong>de</strong>meure du 10 mai 2006.La CNIL, en application <strong>de</strong>s dispositions <strong>de</strong>s articles 45 et suivants <strong>de</strong> <strong>la</strong> loi du 6 janvier 1978 modifiée le 6 août2004• a prononcé <strong>un</strong>e sanction péc<strong>un</strong>iaire <strong>de</strong> 30.000 euros à l’encontre <strong>de</strong> cette société,• a décidé <strong>la</strong> suspension <strong>de</strong> <strong>la</strong> mise en œuvre <strong>de</strong> ce fichier,• a décidé <strong>de</strong> rendre publique sa décision.Les faits18.5. Du bon usage <strong>de</strong>s données bancaires collectées par leshôtelsA <strong>la</strong> suite d’<strong>un</strong> contrôle au sein d’<strong>un</strong> hôtel, <strong>la</strong> CNIL a rappelé en mai 2007 les règles encadrant le traitement <strong>de</strong>sdonnées bancaires <strong>de</strong>s clients. Ces données doivent faire l’objet <strong>de</strong> me<strong>sur</strong>es <strong>de</strong> sécurité particulières et leurconservation doit être limitée dans le temps. Ces rappels concernent aussi <strong>un</strong> grand nombre <strong>de</strong> professionnelsdisposant <strong>de</strong> fichiers clients.Le contrôle <strong>sur</strong> <strong>p<strong>la</strong>ce</strong> <strong>de</strong> <strong>la</strong> CNIL avait pour objet <strong>de</strong> vérifier le respect par <strong>un</strong> hôtel <strong>de</strong> ses obligations en matière<strong>de</strong> gestion <strong>de</strong> ses fichiers « clientèle ».Les manquements relevésParmi les manquements relevés, il a été constaté : l’absence d’<strong>un</strong>e politique d’effacement <strong>de</strong>s données collectées(certaines données étaient conservées <strong>de</strong>puis près <strong>de</strong> quinze ans), <strong>de</strong>s me<strong>sur</strong>es <strong>de</strong> sécurité insuffisantes au regard<strong>de</strong> <strong>la</strong> nature <strong>de</strong>s données enregistrées (numéros <strong>de</strong> carte bancaire notamment) et <strong>un</strong> défaut d’information <strong>de</strong>sclients <strong>sur</strong> les conditions <strong>de</strong> traitement <strong>de</strong> leurs données et <strong>de</strong>s droits qui leur sont reconnus par <strong>la</strong> loi (droitd’accès par exemple).La Commission a insisté <strong>sur</strong> <strong>la</strong> nécessité d’effacer les données bancaires <strong>un</strong>e fois <strong>la</strong> transaction réalisée, c’est-àdireaprès le paiement effectif. Cette exigence est <strong>de</strong>stinée à limiter les cas d’utilisation frauduleuse <strong>de</strong> numéros<strong>de</strong> cartes bancaires. Seul le consentement exprès du client, préa<strong>la</strong>blement informé <strong>de</strong> l’objectif poursuivi(faciliter le paiement par les clients réguliers <strong>de</strong> l’hôtel) peut justifier que les données soient conservées pluslongtemps.En outre, toutes les me<strong>sur</strong>es garantissant <strong>la</strong> sécurité et <strong>la</strong> confi<strong>de</strong>ntialité <strong>de</strong>s informations doivent être prises : àsavoir, protéger par <strong>de</strong>s mots <strong>de</strong> passe l’accès aux fichiers « clientèle » et aux logiciels, chiffrer les donnéesbancaires stockées et sécuriser les accès et les liaisons aux sites <strong>de</strong> gestion <strong>de</strong> réservations en ligne (login, mots<strong>de</strong> passe, protocole sécurisé).Enfin, <strong>la</strong> CNIL a précisé que les clients doivent être informés par <strong>de</strong>s formu<strong>la</strong>ires <strong>de</strong> réservation en ligne, par lesfactures ou par voie d’affichage, <strong>de</strong> l’i<strong>de</strong>ntité du responsable <strong>de</strong>s traitements, <strong>de</strong> leurs finalités, <strong>de</strong>s <strong>de</strong>stinatairesPage 73 <strong>sur</strong> 82AFCDP, Association Française <strong>de</strong>s Correspondants à <strong>la</strong> protection <strong>de</strong>s Données à caractère Personnelwww.afcdp.net