La Commission nationale de l’informatique et des libertés (Cnil) a infligé à une société de location de véhicules de luxe, une sanction pécuniaire de 5.000 , pour avoir manqué à l’obligation d’accomplir les formalités préalables nécessaires à la mise en oeuvre d’un traitement informatisé de données à caractère personnel relatif à la géolocalisation de véhicules de location et à la gestion des clients, de veiller à l’adéquation, à la pertinence et au caractère non excessif des données traitées, d’informer les personnes de la géolocalisation des véhicules, d’assurer la sécurité des données et de coopérer avec la Cnil.
La société demande l’annulation de cette décision.
Le 18 décembre 2015, le Conseil dEtat rejette le pourvoi et valide la sanction de la Cnil.
Il rappelle qu’aux termes du I de l’article 3 de la loi du 6 janvier 1978 : « Le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens ».
En lespèce, il relève que « le contrat de location à l’origine de la plainte reçue par la Cnil a été signé par la [requérante], que l’ensemble des données de géolocalisation des trente-six véhicules concernés, centralisées chez l’hébergeur Web et Solutions, est accessible depuis un seul poste de travail, dont l’épouse du gérant détient le mot de passe, situé à l’accueil commun à l’ensemble des sociétés propriétaires ».
En conséquence, le Conseil dEtat estime que même si la requérante nest pas propriétaire de lensemble des véhicules munis dun dispositif de géolocalisation et objets du contrôle, elle est responsable du traitement de données à caractère personnel.
Ainsi, la société pouvait faire l’objet d’une sanction en tant que responsable du traitement.