La CNIL, le 22 avril 2002, en sa formation contentieuse a adressé un avertissement public à l’encontre de la société AIS 2, filiale de la société ACADOMIA. Cette société a pour principale activité la sélection d’enseignants et la fourniture de services de soutien scolaire.
La CNIL, conformément à la décision n°2009-205C du 30 octobre 2009, a procédé à un contrôle sur place de la société AIS 2, les 12 et 13 novembre 2009. Le contrôle a notamment porté sur deux bases de données : la base SRANET (pour la gestion des candidats au poste d’intervenant) et la base SEANET (pour la gestion des intervenants et des familles clientes).
La base SRANET est alimentée par les renseignements fournis par les candidats via le formulaire en ligne de candidature du site internet de la société. Mais problème : d’une part des commentaires très peu pertinents tels que « petit détail annexe : sent mauvais de la bouche » ou « jeune femme très jolie et qui a un passé difficile (a eu une leucémie) » accompagnent les fiches et d’autre part les données de la base SRANET sont conservées sans limitation de durée.
La base SEANET comporte les mêmes irrégularités avec des commentaires tout aussi peu pertinents : « père en prison » ou encore « sa maman a cancer de l’utérus »… La délégation a ainsi constaté la présence de nombreux commentaires concernant les parents, les élèves et leur entourage familial.
La société, si elle a bien procédé aux déclarations requises par la loi du 6 janvier 1978 modifiée, n’a cependant pas procédé aux formalités de déclaration concernant la gestion des candidatures aux postes d’intervenants et à la gestion des enseignants inscrits.
La formation contentieuse de la CNIL a dû se prononcer sur six manquements constatés par la délégation et qualifiés avec précision par le rapport de M. Jean-François CARREZ :
- Manquement à l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données : article 6 3ème de la loi n°78-17 du 6 janvier 1978.
- Manquement à l’obligation de traiter les données à caractère personnel de façon compatible avec la finalité pour laquelle elles ont été collectées : article 6 2ème de la loi du 6 janvier 1978.
- Manquement à l’interdiction de collecter ou de traiter des données à caractère personnel qui sont relatives à la santé des personnes : article 8 de la loi du 6 janvier 1978.
- Manquement à l’interdiction de collecter ou de traiter des données à caractère personnel relatives aux infractions, de condamnations et de mesures de sûreté : article 9 de la loi du 6 janvier 1978.
- Manquement à l’obligation de définir une durée de conservation des données : article 6 5ème de la loi du 6 janvier 1978.
- Manquement à l’obligation d’accomplir auprès de la CNIL les formalités préalables à la mise en œuvre des traitements concernés : chapitre IV de la loi du 6 janvier 1978.
Par conséquent, après avoir entendu ACADOMIA et son avocat, la CNIL a décidé d’adresser un avertissement public à la société, conformément au I de l’article 45 de la loi du 6 janvier 1978 qui dispose : « La Commission nationale de l’informatique et des libertés peut prononcer un avertissement à l’égard du responsable d’un traitement qui ne respecte pas les obligations découlant de la présente loi » et à l’alinéa 2 de l’article 46 qui dispose : « La commission peut rendre publics les avertissements qu’elle prononce ».
Cette sanction est rarement utilisée par la CNIL, sur 300 entreprises contrôlées par an seules 5 à 10 font l’objet d’un avertissement public.
De plus, compte tenu de la gravité des faits reprochés, le parquet de Paris a été saisi pour défaut de déclaration préalable et collecte déloyale de données.
La CNIL a pu démontrer l'étendue de son pouvoir de sanction dans une affaire presque caricaturale vu l'importance des manquements.