Est-ce qu’il est possible de mettre en place un fichier recensant les personnes ayant commis une infraction dans un magasin … par le magasin lui-même ?

LE FICHAGE EST POSSIBLE ? OUI !

En effet, Conformément à une délibération de la CNIL Délibération n°2011-208 du 7 juillet 2011  , il est possible de conserver une “trace” des personnes ayant commis une infraction dans un magasin, par le service sécurité du magasin par exemple.

Ce fichier d’informations doit  avoir comme finalité :

― Gestion du précontentieux : conservation des données relatives à la commission d’infractions dans l’enceinte d’un magasin, lorsque ces infractions concernent des atteintes aux personnes ou aux biens, en vue de préserver le droit de recours juridictionnel du commerçant ;

― Gestion du contentieux : dépôt et traitement des plaintes et suivi de la procédure judiciaire dans le cadre d’un recours juridictionnel à l’encontre de personnes prises sur le fait pour infraction sur les lieux de vente.

MISE EN PLACE SIMPLIFIE DE CE FICHIER

Dès lors que le responsable du magasin qui met en œuvre un traitement de données à caractère personnel ayant pour finalité la gestion du contentieux ou du précontentieux tenu, dans le respect des dispositions de la Délibération n° 2011-208, adresse à la CNIL un engagement de conformité de celui-ci aux caractéristiques fixés par la décision unique (Délibération n°2011-208 du 7 juillet 2011 ), sont autorisés à mettre en œuvre ces traitements. (décision d’autorisation unique n° AU-017)

Procédure simple en télédéclaration via internet :

https://www.correspondants.cnil.fr/CilExtranetWebApp/declaration/declarant.action

•  Déclaration simplifiée
•  Finalité : Choisir le fichier de déclaration simplifié AU-17

Article 1er : Finalités et caractéristiques techniques du traitement

Seuls peuvent faire l’objet d’un engagement de conformité en référence à la présente décision unique les traitements mis en œuvre par des commerçants et correspondant aux finalités suivantes :

– gestion du pré-contentieux : conservation des données relatives à la commission d’infractions dans l’enceinte d’un magasin, lorsque ces infractions concernent des atteintes aux personnes ou aux biens, en vue de préserver le droit de recours juridictionnel du commerçant;

– gestion du contentieux : dépôt et traitement des plaintes et suivi de la procédure judiciaire dans le cadre d’un recours juridictionnel à l’encontre de personnes prises sur le fait pour infraction sur les lieux de vente.

Article 2 : Données à caractère personnel traitées

a) concernant les personnes impliquées :

1. les données d’identification : nom, nom d’usage et prénom(s), date et lieu de naissance ;

2. les coordonnées postales ;

3. le cas échéant, les données relatives à la pièce d’identité : le numéro et la nature de la pièce d’identité ; la date et l’organisme de délivrance de la pièce d’identité. L’obtention de ces données par le responsable de traitement ne peut résulter que d’une communication volontaire de la pièce d’identité de la personne concernée.

4. pour les mineurs et les majeurs protégés : les données d’identification, les coordonnées postales et le titre des représentants légaux.

5. l’existence d’une plainte précédente.

b) concernant les circonstances de l’infraction :

1. les faits constatés ;

2. la présence de témoins, leur identification et leurs témoignages ;

c) concernant l’agent de sécurité

1. les données d’identification : le nom, le nom d’usage, le(s) prénom(s), 
2. le matricule fourni par l’employeur,
3. la signature de l’agent.

d) Suite données à la constatation de l’infraction
1. saisine ou absence de saisine
2. classement sans suite
3. engagement de poursuite
4. condamnation

Les agents de sécurité ne sauraient se substituer aux enquêteurs. Ainsi, ils ne peuvent procéder à aucun contrôle d’identité des personnes, ni procéder à de véritables auditions ou interrogatoires, ni évidemment exercer aucune mesure de contrainte sur les individus.

Les mentions inscrites dans les zones de commentaire libres ne doivent porter que sur des actes et des faits objectifs et ne peuvent, en aucun cas, faire apparaître, directement ou indirectement, des données relatives aux origines raciales, aux opinions politiques, philosophiques ou religieuses, aux appartenances syndicales ou aux mœurs de la personne concernée par ces actes ou ces faits.

Article 3 : Destinataires des informations

Dans la limite de leurs attributions respectives et pour l’exercice des finalités précitées, à savoir la gestion du pré-contentieux et du contentieux peuvent avoir accès aux données, les agents habilités de :

– la direction de l’établissement (au niveau central et décentralisé) ;

– du service sécurité de l’établissement concerné par l’infraction;

– en cas de dépôt de plainte, le service chargé de la gestion du contentieux au sein du groupe (sécurité, prévention des risques, juridique…) ;

Par ailleurs, peuvent être destinataires des données :

– les auxiliaires de justice ;

– les autorités judiciaires.

Article 4 : Durée de conservation

a) S’agissant des informations relatives aux prises sur le fait qui n’ont pas débouché sur une saisine du Parquet ou d’un commissariat

La durée de conservation correspond à la durée de prescription de l’infraction, à savoir trois ans en matière délictuelle.

S’agissant des informations relatives à des mineurs âgés de 13 à 16 ans, la durée de conservation est d’un an au maximum.

b) S’agissant des informations qui ont été transmises aux autorités judiciaires

– Dans le cas d’un classement sans suite : conservation pendant le délai de l’action publique, à savoir 3 ans en matière délictuelle.

– Dans le cas de l’engagement de poursuites ou de mise en œuvre d’une procédure d’alternative aux poursuites : conservation jusqu’à la fin de la procédure judiciaire.

Article 5 : Mesures de sécurité

Le responsable du traitement prend toutes précautions utiles pour préserver la sécurité et la confidentialité des données traitées et notamment pour empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés puissent en prendre connaissance.

En particulier, les accès aux traitements automatisés de données s’effectuent par un identifiant et un mot de passe individuels, régulièrement renouvelés, ou par tout autre moyen d’authentification à l’exclusion des moyens biométriques. Ces accès font l’objet d’une journalisation.

Article 6 : Information des personnes

Le responsable du traitement procède, conformément aux dispositions de l’article 32 de la loi du 6 janvier 1978 modifiée en août 2004, à l’information des personnes par envoi ou remise d’un document, mais aussi par affichage ou par tout autre moyen, indiquant l’identité du responsable de traitement, la finalité poursuivie par le traitement, les destinataires des données et des droits des personnes.

Article 7 : Exercice des droits d’accès et de rectification

Les droits d’accès et de rectification définis au chapitre V de la loi du 6 janvier 1978 modifiée s’exercent auprès du ou des services que le responsable de traitement aura désignés.

EXEMPLE D’UNE FICHE CONFORME

Fiche à remettre à la resonne mise en cause