Actions sur le document

CNIL, délibération n° 2010-113 du 22 avril 2010

- wikisource:fr, 27/05/2010


Commission nationale de l’informatique et des libertés
22 avril 2010


Formation restreinte – Société AIS 2, ACADOMIA – Délibération n°2010-113


Mme Elisabeth Rolin, commissaire du gouvernement



Sommaire

Visas

La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte sous la présidence de M. Alex TÜRK ;

Etant aussi présents M. Emmanuel de GIVRY, vice-président délégué, Mme Isabelle FALQUE-PIERROTIN, vice-présidente, Mme Claire DAVAL, M. Sébastien HUYGHE et M. Jean-Marie COTTERET, membres ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifié par le décret n° 2007-451 du 25 mars 2007 ;

Vu la délibération n° 2006-147 du 23 mai 2006 fixant le règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu la décision n° 2009-205C du 30 octobre 2009 du président de la CNIL de procéder à une mission de vérification sur place auprès de l’établissement d’Aix-en-Provence de la société AIS 2  ;

Vu le rapport de M. Jean-François CARREZ, commissaire rapporteur, reçu par la société AIS 2 le 21 février 2010, et les observations en réponse reçues le 26 mars 2010;

Après avoir entendu, lors de la réunion du 22 avril 2010 :

  • M. Jean-François CARREZ, commissaire, en son rapport ;
  • Mme Elisabeth ROLIN, commissaire du Gouvernement, en ses observations ;
  • Maître I…, avocat de la société AIS 2, M. D…, directeur administratif et financier de la société ACADOMIA GROUPE SA, et Mme J…, directrice qualité et ressources humaines, en la défense de la société AIS 2 ;

Les représentants de la société mise en cause ayant pris la parole en dernier.

Faits et procédure

Faits

Descriptif de la société AIS 2

La société AIS 2 (ci-après « la société ») est une filiale de la société ACADOMIA GROUPE SA exerçant l’activité de services à la personne. Constituée en août 2005, elle a repris en 2006 les actifs de la société ASSISTANCE INTERNATIONALE SCOLAIRE (AIS). Elle comprend aujourd’hui 30 établissements secondaires et emploie 230 salariés.

La principale activité de la société consiste à sélectionner des enseignants puis de proposer leurs services de soutien scolaire à ses clients, majoritairement des parents d’élèves. Les enseignants ne sont pas recrutés par la société, mais par les familles l’ayant mandatée à ces fins. En sa qualité de mandataire, la société gère ainsi pour le compte de ses clients tous les aspects commerciaux et de gestion de cette relation parent-enseignant, y compris l’accomplissement des formalités requises par l’URSSAF et les organismes de sécurité sociale lorsque ses clients souhaitent en être déchargés.

Les contrôles sur place diligentés par la Commission les 12 et 13 novembre 2009

En application de la décision n° 2009-205C du 30 octobre 2009 du président de la Commission, une délégation de la CNIL a procédé à un contrôle dans les locaux de la société AIS 2, située 37 boulevard Aristide BRIAND à AIX-EN-PROVENCE, les 12 et 13 novembre 2009. Ce contrôle avait notamment pour objet de vérifier la conformité de l’ensemble des traitements de données à caractère personnel mis en œuvre par la société AIS 2 ou pour son compte aux dispositions de la loi n°78-17 du 6 janvier 1978 modifiée.

Lors de ces contrôles, la délégation a constaté la mise en œuvre de deux bases-métiers mises en œuvre par la société AIS 2 : l’une ayant pour finalité la gestion des candidats au poste d’intervenant (base SRANET), l’autre la gestion des intervenants et des familles clientes (base SEANET).

Elle a également relevé les éléments suivants.

a) La gestion des candidatures aux postes d’intervenants

Les candidatures aux postes d’intervenants sont gérées depuis avril 2006 par le biais de la base de données SRANET. Au jour du contrôle, cette base comprenait 179 763 candidats « non recrutés » et 52 618 candidats « recrutés ».

La base est alimentée à partir du formulaire de candidature en ligne disponible sur le site internet www.acadomia.fr et des candidatures transmises par courrier (données d’identification, données professionnelles, notamment). La fourniture du numéro de sécurité sociale (NIR) est également prévue, bien qu’elle ne soit que facultative à ce stade.

Lors du contrôle précité, il a été constaté que la société enregistrait des commentaires sur les candidats. Elle a ainsi constaté la présence de mentions telles que « Hyper hyper hyper stressée Sa bouche tremble quand elle me parle Le problème c’est qu’elle sent très mauvais (renfermé, sueur, tabac) malgré tout jeune femme très jolie et qui a un passé difficile (a eu une leucémie) », « négligé, pas sain, sent le tabac et la cave, a l’air à l’ouest… », « petit détail annexe : sent mauvais de la bouche », « ATTENTION : présente mal /sent l’alcool / parle bizarrement », « sent la transpiration (ne connait pas le déo) », « GROS CON!! BEAUCOUP TROP SUR DE LUI NE SURTOUT PAS CONVOQUE ».

En cas de rejet de la candidature, les copies de documents fournis par le candidat sur support papier lui sont restituées ou sont détruites. La délégation a constaté que les données figurant dans la base SRANET sont en revanche conservées sans limitation de durée depuis avril 2006, date de création de la base.

b) La gestion des intervenants inscrits

La gestion des enseignants inscrits, c’est-à-dire retenus au terme du processus de candidature, s’effectue par le biais de la base de données SEANET depuis juillet 2004. Au jour du contrôle, la base de données comprenait 23 831 enseignants « inscrits », disponibles pour effectuer des cours, mais aussi 131 704 enseignants « démissionnaires », c’est-à-dire ayant cessé de collaborer avec la société.

Les données contenues dans cette base de données sont les suivantes : nom, prénom, date et lieu de naissance, nationalité, profession / établissement, adresses postale et électronique, dernier diplôme, diplômes et concours, formations et expérience, évaluation (non utilisée), convention valide, casier judiciaire valide, NIR, numéro de carte de séjour, numéro de l’autorisation de travail, numéro de la carte de résident, numéro de compte en banque, codes extranet, communes souhaitées ou refusées, compétences et matières, historique des cours dispensés, commentaires, réclamations, historique des rémunérations et affectations.

En outre, la délégation a constaté la présence de nombreux commentaires relatifs aux enseignants tels que « cette conne n’a contacte aucun élève », « prquoi ns plante t’il des cours ce crétin fini?!? », « […] est un crétin », « gros crétin encore du temps de perdu », « […] crétin se décommande au dernier moment », « ce crétin de […] a propose des seance de 1 h ou 1 h 30 », « ce gros con, laisse tomber ses élèves », « cette conne de […] ne nous prévient pas , elle n’aplus de voiture !!! », « vraiment trop conne […] lorsqu’elle s’y met », « enseignante sympathique mais qui "zozottz" à cause de son piercing sur la langue ! », « M. […] tient des propos sur sa vie privée/sexuelle avec sa femme », « hospitalisé en urgence pour une tumeur cancéreuse au cerveau de grade 3 », « fausse couche d’un de ses jumeaux », « M. […] avait eu des pbs avec la justice suite à des échanges de photos pédophiles », « a été mise en garde à vue suite à la demande du directeur sportif pour avoir fait geste déplacé sur un adolescent (12 -17 ans) puis incarcéré », « en liberté surveillée (commissariat d’Eaubonne) pour affaire de pédophilie », « la gendarmerie l’a contacté car il est mis en examen suite à la consultation de sites à caractère pédophile », « cancer du sein », « Mr […] sent l’alcool et le tabac très fortement », « il y a un problème d’odeur : tabac, transpiration… », « son hygiène corporelle était plus que limite, odeur de transpiration tenace! », « Seul bémol : il pue. Sa transpiration est insupportable », « Je croise Melle […] : elle fuit mon regard et porte plusieurs bouteilles de vin "bon marché". attitude suspecte, démarche très "laborieuse" », « son arret est du a une agression debut annee , (sequestration, viol, brulures…) », « mme ne veut pas de […] car il n’est pas catholique ! ».

Des commentaires relatifs à l’entourage familial des enseignants ont également été relevés, tels que « son père vient d’apprendre son cancer du poumon tant mérité (a fumé pdt 45 ans!)», « sa maman a cancer utérus », « son beau-père a cancer de la gorge », « père en prison ».

Par ailleurs, la base SEANET comprend une liste de 6 043 enseignants dits « interdits », auxquels la société ne souhaite plus attribuer de cours. Cette liste contient le nom, le prénom, la date et le lieu de naissance, le NIR lorsque la société en dispose, ainsi que le motif d’interdiction des enseignants exclus. Y figurent les enseignants signalés par un client à la suite d’un comportement déplacé avec un élève, ainsi que les enseignants visés par une mesure d’interdiction administrative et inscrits comme tels au fichier des « cadres interdits d’exercice dans les centres de vacances » du ministère de la jeunesse et des sports, auquel la société a régulièrement accès. La délégation a constaté que l’ensemble des données du fichier du ministère étaient extraites mensuellement par la société, puis intégrées dans sa propre liste d’« interdits ».

La société interroge sa liste d’« interdits » lors de l’enregistrement d’une nouvelle candidature dans la base SRANET, à partir du nom, du prénom et de la date de naissance du candidat. Elle procède à la même vérification lors du transfert en base SEANET d’un candidat recruté. La vérification s’effectue alors à partir du nom, du prénom, de la date de naissance et du NIR de la personne concernée.

Les données des enseignants sont conservées sur la base SEANET sans limitation de durée depuis juillet 2004, date de création de la base. Par ailleurs, la délégation a constaté la présence de données d’enseignants « démissionnaires » archivées sur support papier datant de 2000.

c) La gestion des clients et prospects

La société assure la gestion de ses clients et prospects également par le biais de la base de données SEANET, depuis juillet 2004. La société distingue les clients « actifs » (prestation réalisée moins de trois mois auparavant) des clients « inactifs » (prestation réalisée entre trois et douze mois auparavant) et des clients « terminés » (prestation réalisée plus de douze mois auparavant). Elle distingue également les prospects « actifs » des prospects « inactifs », selon que ceux-ci l’ont ou non sollicitée dans les trois mois précédents.

Au jour du contrôle, la délégation a constaté la présence dans la base SEANET de données concernant près de 350 000 clients et 150 000 prospects. Les données traitées sont les suivantes : nom et prénom du client, nom et prénom de l’élève, adresses postale et électronique, identifiant URSSAF, historique des contacts, facturation, commentaires sur l’élève, commentaires sur l’enseignant, matières, horaires des cours.

La délégation a par ailleurs constaté la présence de nombreux commentaires concernant les parents, les élèves et leur entourage familial.

S’agissant des parents, elle a notamment relevé des commentaires tels que « le père est un gros con il ne veut pas payer les cours de sa fille », « Gros con ! imbuvable !! mr borné ! impossible de parler, d’avoir des infos pour apc, et de déterminer une fréquence de cours et avoir une approche pédagogique avec ce genre de parisien frustré !!!! psyco rigide ! », « Mme est vraiment trés CON et se vexe quand je lui dis que je dois raccrocher », « grosse conne qui dit que ds le secteur personne n’est satisfait des profs acadomia », « GROSSE CONNE », « eu mere : une vraie conne et je ne mache pas mes mots », « la maman est une grosse conne », « Bref, vraiment trop conne pour comprendre », « J’ai mere, une vraie “salope” », « Mere salope », « père pas malin du tout ( voir crétin) », « attention pbs attouchements père!!!!! », « Mme est rasciste, homophobe c’est certain », « JE CROIS QUE MME EST RACISTE et qu’elle n’m pas les hommes………… », « Raciste, ne veulent pas d’etranger », « Mr est RACISTE !! », « Je confirme : mme est raciste ! », « M. est raciste me dit qu’il ne veut ni d’arabe ni de noirs », « placement des enfants chez le père (celui là même qui avait frappé son fils dès ses 1ères années !) », « alcollisme des parents ».

S’agissant des élèves, elle a pu constater la présence des mentions suivantes : « trop de prfos ont déjà défilé chez sa saloperie de gamin », « eleve retourné en prison !! », « ne pas parlé de cela mais a savoir qu il s est fait virer de St Genès pr traffic de drogue et comme n a pas 18 ans a echappé a la prison », « […] a fait de la prison », « […] est mis en examen (je ne sais pas pourquoi », « […] commet des actes de violence », « a fait des vols, drogue », « a priori […] a eu de gros pb, ils sont suivi par un juge car a fait des vols et autre… », « pbs de comportement au ly Vauban, Aire (vols de sacs et argent avec un camarade, destruction de toilettes…) », « sort de chimio, cancer du poumon diagnostiqué en avril dernier », « en grave dépression (viol) suite à une agression », « va aller passer en février test neurologique a marseille (car enfant adopte ! sa mere lui ayant fait boire de l’alcool etant bebe !) », « s’est faite violée à paques par son cousin! vraiment le sort s’acharne car avait déjà subi des attouchements il y a qques temps, du coup est en dépression totale, a été hospitalisée », « tentative suicide + grande sœur ("danseuse") », « vie perso très troublée, viol », « jf qui d’après lui a vécu un traumatisme psycho , peut être un viol en 3ème, info qu’il aurait eu par un de ses camarades de lycée », « élève se laisse aller, ne travaille pas ( viol il y a deux ans) », « gros soucis psycho, victime d’un enseignant avec d’autres élèves (pédophilie?) », « narcoleptique ; hypersomniaque, tentatives de suicide, varie de la boulimie & anorexie + a perdu son gd-père », « s’est teinte en blonde toute seule et n’importe comment. Elle s’est fait un piercing dans le dos de sa mère… », « a fait 3 tentatives de suicide ».

Des commentaires relatifs à l’entourage familial des parents et élèves ont également été relevés, tels que « attouchements sexuels fait par un ami de la famille sur les 3 enfants », « s’est faite violée à paques par son cousin! », « grande sœur ("danseuse") », « sa cousine avait été assassinée et violée », « le père avait fait de la prison ».

Les données sont conservées sur la base SEANET sans limitation de durée depuis juillet 2004, date de création de la base de données.

d) Sur les formalités préalables effectuées par la société AIS 2

Concernant les formalités préalables requises par la loi du 6 janvier 1978 modifiée, il convient d’indiquer que la société ASSISTANCE INTERNATIONALE SCOLAIRE, dont la société AIS 2 a repris les actifs en 2006, avait effectué des formalités auprès de la CNIL entre 2004 et 2005. Elle avait ainsi déclaré des traitements ayant pour finalité de « délivrer de l’information sur les produits de cours particulier Acadomia » (déclaration n° 703669), de « vendre des cours particuliers à domicile » (déclaration n° 703673) et de « mettre en place des cours particuliers » (déclaration n° 703675). Elle avait également déclaré son site internet www.acadomia.fr (déclaration n° 1047538) et souscrit un engagement de conformité à la norme simplifiée n° 46 pour la gestion de son personnel (déclaration n° 1137272).

Il ressort des contrôles diligentés par la Commission que la société AIS 2, pour sa part :

  • a procédé à la déclaration de son site www.franchise-acadomia.fr, destiné à communiquer des informations à ses franchisés (déclaration n° 1169352)
  • a souscrit un engagement de conformité à la norme simplifiée n°48 pour son traitement de gestion des franchisés (déclaration n° 1169298)
  • a également déclaré le site internet www.prof.acadomia.fr réservé aux enseignants.

Elle n’a en revanche procédé à aucune formalité concernant la gestion des candidatures aux postes d’intervenants, à la gestion des enseignants inscrits et la gestion des clients et prospects.

Procédure

À la suite du contrôle diligenté par la Commission les 12 et 13 novembre 2009, une procédure a été engagée sur le fondement du I de l’article 45 de la loi du 6 janvier 1978 modifiée.

Le I de l’article 45 de la loi du 6 janvier 1978 modifiée dispose : « La Commission nationale de l’informatique et des libertés peut prononcer un avertissement à l’égard du responsable d’un traitement qui ne respecte pas les obligations découlant de la présente loi. » Le deuxième alinéa de l’article 46 de la loi du 6 janvier 1978 modifiée dispose par ailleurs : « La commission peut rendre publics les avertissements qu’elle prononce ».

Aux fins de cette procédure, le rapport de M. Jean-François CARREZ, rapporteur, proposant à la formation restreinte de la CNIL de prononcer un avertissement rendu public à l’encontre de la société AIS 2, a été envoyé par lettre recommandée avec accusé de réception à celle-ci, qui l’a reçu le 24 février 2010.

Au soutien de sa demande, le rapporteur a fait valoir que les faits relevés lors des contrôles précités révélaient un certain nombre de manquements, chacun d’entre eux étant qualifié avec précision dans le rapport :

  • En premier lieu, un manquement à l’obligation de veiller à l’adéquation, à la pertinence et au caractère non-excessif des données, tant en ce qui concerne les élèves et leurs familles (commentaires inappropriés) qu’en ce qui concerne les candidats (collecte du NIR, des coordonnées bancaires et d’informations sur l’entourage familial avant même toute sélection définitive) ;
  • En deuxième lieu, un manquement à l’obligation de traiter les données à caractère personnel de façon compatible avec la finalité pour laquelle elles ont été collectées, eu égard au traitement du NIR des candidats afin d’interroger le fichier des enseignants « interdits » ;
  • En troisième lieu, un manquement à l’interdiction de collecter ou de traiter des données à caractère personnel qui sont relatives à la santé des personnes, eu égard à l’enregistrement de commentaires concernant l’état de santé de candidats, d’élèves ou de membres de la famille sans que ceux-ci soient strictement nécessaires à la prise en compte d’une maladie ou à l’organisation des cours ;
  • En quatrième lieu, un manquement à l’interdiction de collecter ou de traiter des données à caractère personnel relatives aux infractions, de condamnations et de mesures de sûreté, dès lors que la société n’a aucunement qualité pour mettre en œuvre un tel traitement et que l’activité de soutien scolaire à domicile ne saurait justifier l’enregistrement et la conservation de telles informations, mettant en cause des personnes sur le fondement de signalements et de dénonciations non vérifiables ;
  • En cinquième lieu, un manquement à l’obligation de définir une durée de conservation des données, dès lors que les informations contenues dans les bases de données SRANET et SEANET ont été conservées sans limitation de durée depuis la création de celles-ci, qu’aucune durée de conservation n’a été fixée par la société et que les traitements ne font l’objet d’aucune politique de purge ;
  • En sixième lieu, un manquement à l’obligation d’accomplir auprès de la Commission les formalités préalables à la mise en œuvre des traitements concernés, dès lors que la société n’a effectué aucune formalité préalable à la mise en œuvre de ses traitements ayant pour finalité la gestion des opérations de recrutement des candidats, la gestion des enseignants et la gestion des clients et prospects, en particulier en ce qui concerne le traitement du NIR des enseignants et la liste d’exclusion des enseignants « interdits ».

Par un courrier en date du 15 mars 2010, reçu par la société le 17 mars 2010, la Commission a informé cette dernière que son dossier était inscrit à l’ordre du jour de la formation restreinte du 22 avril 2010, à 14h30.

Par un courrier en date du 22 mars 2010, reçu par la Commission le 26 mars, la société a fait part de ses observations sur chacun des manquements reprochés par le rapporteur, l’informant également qu’un certain nombre de mesures avaient été prises dès réception du rapport pour remédier aux manquements constatés. Ces mesures sont les suivantes :

  • La suppression des commentaires insatisfaisants des bases de données SRANET et SEANET, ces commentaires ayant été recherchés, supprimés puis remplacés dans les bases par la mention « non-conforme à la loi informatique et libertés », et une formation spécifiquement dédiée à la sensibilisation de l’ensemble des salariés aux dispositions de la loi du 6 janvier 1978 modifiée ayant été mise en place ;
  • Afin de prévenir toute nouvelle dérive, la mise en place d’un système de filtrage pour empêcher l’apparition de nouveaux commentaires, rendant certains mots ou expressions inacceptables impossibles à enregistrer, et une veille régulière permettant de supprimer les éléments non-conformes ;
  • Le rappel aux collaborateurs des sanctions disciplinaires prévues en cas de non-respect des consignes données en matière de protection des données ;
  • Concernant la demande et l’enregistrement de certaines informations jugées non pertinentes au stade du recrutement, la suppression de ces données dans les formulaires de demande d’informations et dans les bases.A ce courrier était annexée une note adressée par la direction de la société AIS 2 aux responsables d’agence, ayant pour objet de sensibiliser leurs équipes aux dispositions de la loi « informatique et libertés » n°78-17 du 6 janvier 1978 modifiée.

En outre, lors de la séance de la formation restreinte de la CNIL du 22 avril 2010, la société AIS 2 a présenté plusieurs observations orales en défense.

Lors de cette audience, la société AIS 2, sans remettre en cause la matérialité des faits constatés lors du contrôle précité, a sollicité de la Commission qu’elle demande au commissaire rapporteur de poursuivre ses diligences, sur le fondement de l’article 77 du décret n°2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 modifiée.

À l’appui de sa demande, la société AIS 2 a avancé les éléments suivants.

  • En premier lieu, il serait contestable de la qualifier de responsable de traitement au sens de la loi du 6 janvier 1978 modifiée, alors que cette qualification ne s’attacherait qu’à la société holding ACADOMIA GROUPE SAS. Selon elle, de nombreuses entités travaillant sous la marque ACADOMIA ne seraient pas pour autant en lien direct avec le groupe, comme en témoignerait son organigramme. Pour beaucoup d’entre elles, le seul lien existant serait celui d’un contrat de franchise et de licence de marque, par lequel la société holding formalise sa prestation de service centralisé avec chacune des entités partenaires. La société AIS 2 ne serait ainsi qu’une des multiples sociétés utilisant les bases SEANET et SRANET dans le cadre de ce contrat de prestation de service, sans avoir la capacité de déterminer ni les finalités ni les moyens du traitement. Elle indique également que les bases SEANET et SRANET sont accessibles via une URL acadomia.fr, propriété de la société ACADOMIA GROUPE SA, ce qui, selon elle, tendrait à lui affecter, à elle et à elle seule, la qualification de responsable des traitements opérés dans ces bases au sens de la loi. Elle relève enfin que les commentaires figurant dans la base ont pour une large part été émis par des employés d’autres sociétés du groupe ACADOMIA.
  • En deuxième lieu, la Commission aurait une appréciation erronée de son activité en lui accordant un pouvoir de recrutement dont elle ne dispose pas, dans la mesure où elle travaille en réalité sur le seul mode du mandat ; ainsi, seuls les parents ayant recours à des enseignants deviennent formellement employeurs, et, à ce titre, payent les charges sociales afférentes à l’emploi de ces personnes.
  • En troisième lieu, depuis la révélation des faits reprochés, la société aurait fait de nombreux efforts de mise en conformité ; en témoignerait ainsi la récente désignation d’un correspondant à la protection des données pour la société ACADOMIA GROUPE SAS, la mise en œuvre de diverses modifications des traitements concernés pour les mettre en conformité avec la loi « informatique et libertés », notamment la modification des formulaires de sélection des enseignants (le NIR n’étant plus collecté avant l’embauche par les familles), la diffusion d’une note de service aux salariés du groupe pour les sensibiliser à la loi « informatique et libertés », le repérage et la suppression des commentaires répréhensibles dans les bases, et la mise en place d’un système de filtrage avec mots clés.

Motifs

Sur la qualification préalable de la société AIS 2 en tant que responsable de traitement

Le I de l’article 3 de la loi du 6 janvier 1978 modifiée définit la notion de responsable de traitement comme « la personne, l’autorité publique, le service ou l’organisme qui détermine les finalités et les moyens du traitement ».

La Commission estime que les faits de l’affaire, tels qu’ils ressortent des éléments du dossier, et notamment des contrôles opérés les 12 et 13 novembre 2009, l’autorisent à accorder la qualité de responsable de traitement à la société AIS 2, en dépit de ce que soutient cette dernière.

Elle relève en premier lieu que les constats opérés par les contrôleurs les 12 et 13 novembre 2009 ont bien été opérés dans les locaux de la société AIS 2, à AIX-EN-PROVENCE, et non dans les locaux de la société ACADOMIA GROUPE SAS.

De même, il ressort des procès-verbaux rédigés lors de ces contrôles que M. A…., président de la société AIS 2, n’a jamais contesté que cette société était responsable des traitements mis en cause.

La Commission relève au demeurant qu’il ressort des pièces du dossier que les lettres adressées aux parents au nom d’ACADOMIA sont au timbre d’AIS 2, de même que les « fiches enseignants » que renseignent ces derniers, et qui correspondent aux champs de saisie des données dans la base.

Elle constate également que c’est par un courrier signé de M. A…, président, au timbre d’AIS 2, qu’il lui a été fait part des diverses mesures tendant à remédier aux manquements constatés, notamment la modification des formulaires de candidature ou de mandat, la réflexion relative à la suppression du code NIR dans les formulaires et dans les bases, ou encore la recherche et la suppression automatique des commentaires déplacés dans ces mêmes bases.

Il apparaît ainsi que la société AIS 2, qui dispose d’un véritable contrôle sur les bases de données précitées et sur leur contenu, détermine de manière autonome la manière dont sont traitées les informations qu’elle reçoit dans le cadre de son activité. En particulier, la Commission relève que la société AIS 2 exerce un contrôle sur les données concernant les candidats qu’elle sélectionne, les enseignants auxquels elle attribue des cours ainsi que les clients et prospects sollicitant ses services.

Il ressort de ce qui précède que la société AIS 2 détient la faculté, à tout le moins partielle, de déterminer les finalités et les moyens des traitements mis en cause. La Commission se trouve donc fondée à lui attribuer la qualité de responsable de traitement dans cette affaire.

Sur la violation des droits et libertés mentionnés à l’article 1er de la loi du 6 janvier 1978 modifiée

Sur l’obligation de veiller à l’adéquation, à la pertinence et au caractère non-excessif des données

1°) La Commission estime qu’il est parfaitement légitime de procéder à la collecte d’informations concernant les élèves et leurs parents, en vue d’adapter les prestations fournies par la société aux situations individuelles et de faciliter la relation commerciale avec la clientèle. Elle estime qu’il est également parfaitement légitime de collecter des informations concernant les enseignants qui seront amenés à travailler au contact d’enfants, dès lors que cette collecte a pour objet de permettre à la société d’évaluer leurs compétences professionnelles et leur aptitude à dispenser des cours.

En revanche, elle ne saurait admettre que soient enregistrés des commentaires excessifs et inappropriés sur ces personnes, qui seraient susceptibles de porter gravement atteinte à leur vie privée.

Or, nombre des commentaires concernant les enseignants et les clients de la société qui ont été relevés lors des contrôles s’avèrent, pour un grand nombre d’entre eux, être à tout le moins inappropriés et subjectifs, voire insultants ; ainsi :

  • concernant les candidats : « GROS CON!! BEAUCOUP TROP SUR DE LUI NE SURTOUT PAS CONVOQUE », « négligé, pas sain, sent le tabac et la cave, a l’air à l’ouest… », « petit détail annexe : sent mauvais de la bouche », « sent la transpiration ( ne connait pas le déo ) » ;
  • concernant les enseignants inscrits : « cette conne n’a contacte aucun élève », « prquoi ns plante t’il des cours ce crétin fini?!? », « ce gros con, laisse tomber ses élèves », « cette conne de […] ne nous prévient pas , elle n’a plus de voiture !!! », « vraiment trop conne […] lorsqu’elle s’y met », ; « Seul bémol : il pue. Sa transpiration est insupportable » ;
  • concernant les parents d’élèves : « le père est un gros con il ne veut pas payer les cours de sa fille », « Gros con ! imbuvable !! mr borné ! impossible de parler, d’avoir des infos pour apc, et de déterminer une fréquence de cours et avoir une approche pédagogique avec ce genre de parisien frustré !!!! psyco rigide ! », GROSSE CONNE », « la maman est une grosse conne », « Mere salope », « père pas malin du tout ( voir crétin) », « Mme est rasciste, homophobe c’est certain », « JE CROIS QUE MME EST RACISTE et qu’elle n’m pas les hommes………… », « Mr est RACISTE !! » ;
  • concernant les élèves : « trop de profs ont déjà défilé chez sa saloperie de gamin », « s’est teinte en blonde toute seule et n’importe comment. Elle s’est fait un piercing dans le dos de sa mère… ».

A l’évidence, de telles données sont excessives au regard du 3° de l’article 6 de la loi n° 78-17 du 6 janvier 1978 modifiée, qui dispose que « les données à caractère personnel collectées doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ».

2°) Par ailleurs, la Commission relève que l’article L.1221-6 du code du travail dispose que « les informations demandées, sous quelque forme que ce soit, au candidat à un emploi ne peuvent avoir comme finalité que d’apprécier sa capacité à occuper l’emploi proposé ou ses aptitudes professionnelles ». Ces informations « doivent présenter un lien direct et nécessaire avec l’emploi proposé ou avec l’évaluation des aptitudes professionnelles ».

Ainsi, les coordonnées bancaires et les informations relatives à l’entourage familial du candidat qui sont collectées par la société AIS 2 avant tout recrutement du candidat par les familles ne présentent pas de lien « direct et nécessaire avec l’emploi proposé ou avec l’évaluation des aptitudes professionnelles ». Elles ne sauraient dès lors être considérées comme répondant à l’obligation de pertinence des informations pouvant être collectées dans cette phase de sélection des candidats.

De même le numéro de sécurité sociale (NIR) des candidats enseignants, qui ne permet pas d’apprécier les capacités et aptitudes professionnelles de ceux-ci, ne saurait être collecté avant leur recrutement. Comme l’indiquait la Commission dans sa recommandation n° 02-017 du 21 mars 2002, le NIR, la domiciliation bancaire et l’entourage familial du candidat ne sauraient être collectés dans le cadre d’opérations de recrutement « sauf cas particuliers justifiés par la nature très spécifique du poste à pourvoir ou, le cas échéant des règles en vigueur dans le pays étranger concerné par le poste » Ainsi, la collecte du NIR, en vue d’accomplir pour le compte des clients les formalités requises auprès des organismes de sécurité sociale, ne devrait être effectuée qu’auprès des enseignants définitivement recrutés.

En conséquence, la Commission considère que les données précitées, collectées par la société au stade du recrutement, sont inadéquates, non pertinentes et excessives au regard du 3° de l’article 6 de la loi n° 78-17 du 6 janvier 1978 modifiée.

Sur le manquement à l’obligation de traiter les données à caractère personnel de façon compatible avec la finalité pour laquelle elles sont collectées

La Commission considère qu’il est légitime que la société collecte le NIR des enseignants afin d’accomplir les formalités imposées par la loi auprès des organismes de sécurité sociale pour le compte de ses clients. Il n’importe d’ailleurs pas, à cet égard, que la qualité d’employeur ne s’attache formellement qu’aux familles recrutant les enseignants, et non à la société AIS 2.

Elle considère en revanche que l’utilisation de ce numéro comme identifiant des enseignants « interdits » apparaît incompatible avec la finalité initiale de sa collecte. De surcroît, ce traitement du NIR n’apparaît pas indispensable à l’identification des personnes concernées, lesquelles peuvent l’être par leurs nom, prénom et date de naissance. Il intervient en tout état de cause en dehors de la sphère sociale, et par conséquent en dehors des règles légales qui encadrent l’utilisation du NIR.

En conséquence, le traitement du NIR des candidats afin d’interroger le fichier des enseignants « interdits » constitue un détournement de la finalité ayant présidé à la collecte de cet identifiant, faits contraires aux dispositions du 2° de l’article 6 de la loi du 6 janvier 1978 modifiée.

Sur le manquement à l’interdiction de collecter ou de traiter des données à caractère personnel qui sont relatives à la santé des personnes

Aux termes de l’article 8 de la loi du 6 janvier 1978 modifiée, il est interdit de collecter ou de traiter des données à caractère personnel qui sont relatives à la santé des personnes, sauf dans les cas prévus au II de cet article, notamment en cas de consentement exprès, c’est-à-dire écrit, des personnes concernées.

La Commission relève en premier lieu qu’il ne ressort pas des éléments du dossier que le consentement des personnes concernées ait été requis aux fins de lever l’interdiction posée par les textes.

En outre, s’il est légitime d’enregistrer des informations sur l’indisponibilité ou les contraintes d’ordre médical d’une personne, l’enregistrement par la société de la pathologie affectant précisément cette dernière ne saurait être admis alors qu’il aurait été parfaitement envisageable, par exemple, d’indiquer que telle personne est indisponible de telle date à telle date, ou encore que les cours ne pourront durer plus d’une heure, « pour raisons médicales ».

S’agissant plus particulièrement des données de santé concernant les élèves, la Commission considère que l’enregistrement d’informations relatives à des impératifs liés à la santé d’un élève peut être considéré comme légitime, dès lors qu’elles ont pour objet de permettre l’organisation de sa scolarité. Pour autant, la société ne saurait enregistrer des informations détaillées sur la nature des pathologies des personnes, en particulier en l’absence de consentement exprès de leur part, et ne saurait enregistrer des données de santé détaillées qui ne seraient aucunement liées à la prise en compte des conséquences d’une maladie sur l’organisation des cours.

Or les faits relevés lors des contrôles opérés les 12 et 13 novembre 2009 ont permis de constater que de nombreuses informations relatives à la pathologie des personnes avaient été collectées en dehors de ces prescriptions. Ainsi, ont été enregistrés de nombreux commentaires relatifs à la santé des candidats et des enseignants, tels que « hospitalisé en urgence pour une tumeur cancéreuse au cerveau de grade 3 », « fausse couche d’un de ses jumeaux », « a eu une leucémie », « cancer du sein » ; d’autres ont été enregistrés sur l’entourage familial des enseignants, telles que « son père vient d’apprendre son cancer du poumon tant mérité (a fumé pdt 45 ans!) », « sa maman a cancer utérus », « son beau-père a cancer de la gorge » ; d’autres enfin ont été enregistrés sur les enfants concernés, tels que : « va aller passer en février test neurologique a marseille (car enfant adopte ! sa mere lui ayant fait boire de l’alcool etant bebe !) », « narcoleptique ; hypersomniaque, tentatives de suicide, varie de la boulimie & anorexie + a perdu son gd-père ».

La Commission ne peut dès lors que constater que l’enregistrement de telles données sur les élèves, les candidats, les enseignants et leur entourage familial, tel que relevé par les contrôleurs dans les bases SEANET et SRANET, est contraire à l’article 8 de la loi n° 78-17 du 6 janvier 1978 modifiée.

Sur le manquement à l’interdiction de collecter ou de traiter des données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté

La Commission comprend que la mise en relations d’enseignants et de jeunes enfants comporte des risques spécifiques, notamment celui de la commission d’infractions sexuelles, liées notamment à la pédophilie, et que la société souhaite dès lors prémunir les élèves contre de tels risques en collectant des données relatives, entre autres, aux infractions que les candidats auraient pu commettre dans le passé.

Toutefois, aux termes de l’article 9 de la loi du 6 janvier 1978 modifiée, « les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté ne peuvent être mis en œuvre que par les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales ; les auxiliaires de justice, pour les stricts besoins de l’exercice des missions qui leur sont confiées par la loi ; et les personnes morales mentionnées aux articles L. 321-1 et L. 331-1 du code de la propriété intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d’atteintes aux droits prévus aux livres Ier, II et III du même code aux fins d’assurer la défense de ces droits ».

Ainsi, le traitement de telles données est exclusivement réservé à certaines catégories de personnes, telles que les auxiliaires de justice, les juridictions ainsi que les autorités publiques ou les personnes morales gérant un service public, dans le cadre de leurs attributions légales. La finalité de cette disposition consiste à éviter la constitution de « casiers judiciaires bis », qui ne respecteraient pas les strictes garanties prévues par la loi à la collecte de telles données.

Or, la délégation de la CNIL a constaté dans les fichiers de la société la présence d’informations telles que :

  • concernant les élèves : « eleve retourné en prison !! », « ne pas parlé de cela mais a savoir qu il s est fait virer de St Genès pr traffic de drogue et comme n a pas 18 ans a echappé a la prison », « […] a fait de la prison », « […] est mis en examen (je ne sais pas pourquoi », « […] commet des actes de violence », « a fait des vols, drogue », « a priori […] a eu de gros pb, ils sont suivi par un juge car a fait des vols et autre… », « pbs de comportement au ly Vauban, Aire (vols de sacs et argent avec un camarade, destruction de toilettes…) », « gros soucis psycho, victime d’un enseignant avec d’autres élèves (pédophilie?) » ;
  • concernant les parents : « placement des enfants chez le père (celui là même qui avait frappé son fils dès ses 1ères années !) », « le père avait fait de la prison » ;
  • concernant les enseignants : « M. […] avait eu des pbs avec la justice suite à des échanges de photos pédophiles », « en liberté surveillée (commissariat d’Eaubonne) pour affaire de pédophilie », « a été mise en garde à vue suite à la demande du directeur sportif pour avoir fait geste déplacé sur un adolescent (12 -17 ans) puis incarcéré », « la gendarmerie l’a contacté car il est mis en examen suite à la consultation de sites à caractère pédophile » ;
  • concernant l’entourage des élèves : « attouchements sexuels fait par un ami de la famille sur les 3 enfants », « s’est faite violée à paques par son cousin! », « sa cousine avait été assassinée et violée ».

Cet enregistrement de données relatives aux infractions et de condamnations, en dépit de son ambition protectrice, apparaît doublement contraire à la loi « informatique et libertés ».

En premier lieu, la société n’a aucunement qualité pour mettre en œuvre un traitement de données d’infractions et de condamnations, au regard des dispositions de l’article 9 de la loi du 6 janvier 1978.

En second lieu, l’activité de soutien scolaire à domicile ne saurait justifier l’enregistrement et la conservation de telles informations, mettant en cause des personnes sur le fondement de signalements et de dénonciations non vérifiables.

La Commission relève au demeurant que l’interdiction posée par la loi n’exclut en rien la faculté pour la société d’informer les autorités compétentes, en particulier le parquet, sur des faits qu’elle considèrerait comme répréhensibles.

Ce rôle d’alerte et de transmission d’informations susceptibles de protéger des mineurs et de mettre fin à des agissements répréhensibles aux autorités compétentes, ne saurait pour autant justifier l’enregistrement et la conservation par la société d’informations relatives à des faits d’une extrême gravité au risque de constituer un fichier privé d’infractions voire de condamnations.

La Commission considère dès lors que le traitement des données d’infractions sur les élèves, les candidats, les enseignants et leur entourage familial, tel qu’il a été constaté dans les bases SEANET et SRANET, est contraire aux dispositions de l’article 9 de la loi n° 78-17 du 6 janvier 1978 modifiée.

Sur le manquement à l’obligation de définir une durée de conservation des données

En application du 5° de l’article 6 de la loi du 6 janvier 1978 modifiée, les données à caractère personnel « sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ».

Or la Commission relève qu’il ressort des conclusions du contrôle précité que les informations contenues dans les bases de données SRANET et SEANET, concernant les candidats, les enseignants et les clients, ont été conservées sans limitation de durée, et ce depuis la création de ces bases, qu’aucune durée de conservation n’a été fixée par la société, et que les traitements ne font l’objet d’aucune politique de purge.

Dès lors, la Commission estime que la société a violé les dispositions du 5° de l’article 6 de la loi n° 78-17 du 6 janvier 1978 modifiée.

Sur le manquement à l’obligation d’accomplir auprès de la Commission les formalités préalables à la mise en œuvre des traitements concernés

Tout responsable de traitement a l’obligation d’accomplir des formalités préalables auprès de la CNIL avant la mise en œuvre d’un traitement automatisé de données personnelles, conformément aux dispositions du chapitre IV de la loi du 6 janvier 1978.

Or la Commission constate que la société AIS 2 n’a effectué aucune formalité préalable à la mise en œuvre de ses traitements ayant pour finalité la gestion des opérations de candidatures aux postes d’intervenants, la gestion des enseignants inscrits et la gestion des clients et prospects, par le biais des bases de données SRANET et SEANET.

Elle relève par ailleurs que la société AIS 2 ne saurait se prévaloir des déclarations de traitements préalablement effectuées par la société AIS, dont la société AIS 2 a repris les actifs en 2006, dès lors d’une part que ceux-ci ne concernent pas l’intégralité des traitements mis en cause, et d’autre part qu’elles n’ont fait l’objet d’aucune mise à jour, alors pourtant qu’il s’agissait de notifier à la Commission une modification de nature substantielle, selon les termes de l’article 11 du décret du 20 octobre 2005 pris pour l’application de la loi du 6 janvier 1978 modifiée.

Au regard de ce qui précède, la Commission estime que la société a manqué à son obligation d’accomplir des formalités préalables à la mise en œuvre d’un traitement automatisé, en particulier en ce qui concerne le traitement du NIR des enseignants et la liste d’exclusion des enseignants « interdits », qui relèvent du pouvoir d’autorisation de la Commission.

PAR CES MOTIFS

Conformément au I de l’article 45 et à l’alinéa 1 de l’article 46 de la loi du 6 janvier 1978 modifiée, et eu égard à la nature des données à caractère personnel traitées, au nombre de manquements constatés et à leur particulière gravité, la formation restreinte de la CNIL, après en avoir délibéré, décide, sans qu’il soit nécessaire de demander au commissaire rapporteur de poursuivre ses diligences : d’adresser un avertissement à l’encontre de la société AIS 2, qui sera rendu public.

La société AIS 2 dispose d’un délai de deux mois pour exercer un recours devant le Conseil d’État à l’encontre de la présente délibération.


Retrouvez l'article original ici...

Vous pouvez aussi voir...