La Cnil a publié sa décision sanctionnant une société pour manque de coopération et de transparence. N’ayant pas satisfait aux demandes d’information de la Commission, le groupe a été mis en demeure de répondre à ses questions ou d’indiquer à la Cnil que le traitement avait été abandonné. La Cnil souhaitait, notamment, avoir le descriptif précis des finalités exactes recherchées, savoir les cas précis dans lesquels des données à caractère personnel étaient envoyées en Grande-Bretagne et aux Etats-Unis, et connaître les lieux exacts d’implantation des serveurs et des systèmes, les fonctionnalités précises de l’application, les destinataires exacts des données, les mesures de sécurité assurant la confidentialité des données et la durée de conservation des données.
La Cnil ne s’estimant pas suffisamment informée par la réponse sur le sort exact ayant été finalement réservé au traitement, a fait procéder à une mission de contrôle sur place, dans les locaux de la société, à l’occasion de laquelle elle a constaté que le traitement, contrairement à ce qui avait été affirmé, était bien utilisé. En outre, le contrôle a permis d’établir des flux transfrontaliers de données entre la société basée en France et les locaux du groupe basés en Angleterre et aux Etats-Unis, et des utilisations du traitement dépassant largement la finalité de « reporting », visée dans la déclaration du 22 septembre 2004. La société a contesté la sanction pécuniaire de 30.000 euros fixée par le rapporteur, dans la mesure où celle-ci ne s’appuierait sur aucune mise en demeure préalable, mais uniquement sur la réalisation de la mission de contrôle du 12 juillet 2006. La Commission a rappelé qu’une procédure de sanction pouvait être engagée, lorsque le responsable d’un traitement ne se conformait pas à la mise en demeure qui lui était adressée (art. 45 de la loi du 6 janvier 1978 modifiée le 6 août 2004). La procédure de sanction s’appuie, ainsi, sur la mise en demeure prononcée par la Cnil le 10 mai 2006 et sur la réponse adressée par la société le 1er juin 2006. La Commission considère, par conséquent, que la procédure de sanction est pleinement régulière.
Cnil, Délibération n° 2006-281 du 14-12-2006