a un eventuel controle sur place de la cnil - L'Afcdp

1. Le contrôle sur place : une réalité qui s’impose au CILAu titre de l’article 11 de la loi du 6 août 2004 1 , la CNIL (Commission Nationale Informatique & Libertés) peutcharger ses agents de se rendre partout où est mis en œuvre un traitement de données à caractère personnel, afinde procéder à des vérifications sur place comme l’indique l’article 11.2.f : « Elle peut, par décisionparticulière, charger un ou plusieurs de ses membres ou des agents de ses services, dans les conditions prévuesà l’article 44, de procéder à des vérifications portant sur tous traitements et, le cas échéant, d’obtenir des copiesde tous documents ou supports d’information utiles à ses missions. »Ces missions de contrôle sur place ont pour buts d'examiner la régularité des traitements, de s'assurer que letraitement mis en œuvre correspond au traitement ayant fait l'objet des formalités préalables, de vérifier quel'ensemble des dispositions de la loi sont respectées.Lors de ces contrôles sur place – inopinés le plus souvent –, la délégation peut recueillir tout renseignement ettoute « justification utiles ». Elle peut demander communication de tous documents nécessaires àl’accomplissement de sa mission, quel qu’en soit le support, et en prendre copie. Elle peut accéder auxprogrammes informatiques et aux données, ainsi qu’en demander la transcription par tout traitement appropriédans des documents directement utilisables pour les besoins du contrôle.Lors de l’intervention de M. Guillaume Desgens-Pasanau (à l’époque Chef du service des Affaires juridiques dela CNIL) à l’occasion de la première Université AFCDP des Correspondants Informatique & Libertés qui s’esttenue à Paris le 23 novembre 2006, un membre de l’AFCDP a mentionné le besoin de disposer d’une« procédure à suivre en cas de contrôle sur place de la Commission ».C’était justement l’une des quatre recommandations de Monsieur Desgens-Pasanau à l’issue de sa présentation,intitulée Plaintes, contrôles, sanctions : comment le Correspondant peut-il développer une politique deconformité ?• Sensibiliser le responsable de traitement et les opérationnels à l’obligation de coopération et aux risquesencourus ;• Définir une procédure de gestion des courriers CNIL garantissant une réponse satisfaisante et rapideaux demandes formulées par la Commission ;• Tenir à la disposition des opérationnels une fiche descriptive des droits et obligations du responsable detraitement en cas de mission de contrôle sur place ;• Développer une politique de « contrôle interne ».Un groupe de travail AFCDP a donc été constitué, à l’initiative de M. Bruno Rasle. Ce groupe s’est réuni àplusieurs reprises à partir du printemps 2007 et a travaillé principalement par auditions d’entités contrôlées.Ce groupe a choisi de se focaliser sur le contrôle sur place proprement dit : d’autres travaux pourraient êtreentamés au sein de l’association quant à la phase qui suit le contrôle (jusqu’à l’éventuelle sanction).Le groupe a procédé à de multiples auditions d’organismes qui ont été contrôlés, de tout secteur.L’objet du présent document est d’aider les membres de l’AFCDP à produire leur propre « fiche descriptive » età bâtir une procédure qui vise à informer et préparer les personnels concernés à telle éventualité (comportement àadopter, devoirs et droits).Ces fiches et ces procédures sont par nature spécifique à chaque organisation, chaque entité, chaque cas defigure (voir quelques exemples à la fin de ce document).Ce document est défini perfectible : les membres de l’AFCDP sont invités à faire part de leurs remarques,commentaires et suggestions pour l’améliorer (par simple email : charge-mission@afcdp.net ).1 Loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n°78-17du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.Page 6 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

En respect du Règlement Intérieur de l’AFCDP, il est rappelé aux Membres qu’ils ne peuvent pas diffuser cedocument à l’extérieur de l’Association : ce document leur est strictement réservé.2. 6 août 2004 : la logique changeLa Loi du 6 janvier 1978 permettait déjà à la CNIL d’effectuer des contrôles sur place, mais la logique en cours àcette époque donnait priorité aux contrôles a priori, en privilégiant les formalités préalables. De 1978 à 2004,environ trois cents contrôles sur place ont été effectués au total.La Loi du 6 août 2004 inverse la logique (moins d’autorisations préalables mais un contrôle a posteriori).La CNIL a pris soin de revoir son Règlement Intérieur pour sécuriser sa procédure de contrôle et veiller aurespect des droits de la défense et du contradictoire, ce qui explique que la première sanction rendue publiquesous le régime du nouveau texte ne l’a été qu’en juin 2006 2 (la plainte à l’origine du contrôle avait été déposée le15 novembre 2004).A savoir : La CNIL publie certaines des sanctions qu’elle prononce sur sa page http://www.cnil.fr/en-savoirplus/deliberations/sanctionsOn peut également retrouver les décisions de sanctions sur www.legifrance.gouv.frDepuis la promulgation de la Loi du 6 août 2004 on observe que la Commission effectue plusieurs centaines decontrôles chaque année (contre quelques dizaines auparavant), réalisés, en général, de façon inopinée.Et c’est effectivement en 2005 qu’elle a inauguré son programme de contrôles : il est intéressant de noter que,dans le rapport d’activité 2004, le mot « contrôle »… n’apparaît jamais.Ces dernières années, la CNIL a clairement placé les contrôles parmi ses priorités. L’objectif annoncé par leprésident de la Commission lors de son audition devant la Commission des affaires économiques, del’environnement et du territoire, le 16 janvier 2008, est en passe d’être atteint : « A court terme, l’objectif est deles doubler en les portant à 350 ou 400, sachant que les Espagnols en réalisent 600 à 700 chaque année ». En2009, la moitié des agents embauchés participent, de près ou de loin, au programme de contrôle. Pour autant laCNIL ne se livre pas à une absurde « chasse aux entreprises », ce qui apparaît clairement quand on compare lefaible nombre de sanctions prononcées par rapport à celui des contrôles effectués.2.1. Contrôle sur pièces, sur place, sur convocationCe document se focalise sur le contrôle sur place proprement dit.Il faut savoir qu’il existe également une modalité de « contrôle sur convocation » et une modalité de « contrôlesur pièces ». Alors que le Règlement intérieur de la CNIL encadre le contrôle sur place, ces deux modalités nesont pas évoquées dans ce document 3 .Lors d’un contrôle sur convocation, le responsable de traitement ou le CIL est convoqué officiellement à laCNIL pour une audition formelle en vue de recueillir tout renseignement utile.Cette procédure de convocation, prévue à l’article 44-III de la loi, a été utilisée par la CNIL deux fois en 2005 4 etune fois en 2006 à la suite d’un contrôle sur place auprès d’un service déconcentré en région. Ce contrôle avaitétabli que le manquement constaté relevait de la responsabilité des instances centrales, seules en mesure demettre en conformité le traitement litigieux 5 .C’est par contre la modalité du contrôle sur pièces (par échange de courrier) qui a été utilisée au premiersemestre 2009 par la Commission pour étudier les pratiques en matière de recrutement, sur base d’un2 Délibération n°2006-174 du 28 juin 2006 prononçant une sanction pécuniaire à l'encontre du Crédit Lyonnais (LCL)3 Délibération n°2006-147 du 23 mai 2006 fixant le règlement intérieur de la Commission nationale de l'informatique et des libertés,accessible sur la page http://www.cnil.fr/en-savoir-plus/deliberations/reglement-interieur/4 Rapport d’activité de la CNIL pour l’année 2005, page 365 Rapport d’activité de la CNIL pour l’année 2006, page 36Page 7 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

questionnaire comprenant des questions telles que « Combien de temps conservez-vous les CV des candidats quevous n’avez pas retenu ? » ou « Avez-vous mis en place une politique de gestion de la diversité ? ». Peut-êtrepour préparer la refonte d’une déclaration simplifiée ?Ainsi, en 2006, dans le cadre de la coopération internationale, des contrôles sur pièces ont été conduits, à partird’un questionnaire-type établi au niveau européen, auprès de dix organismes implantés en France proposant descontrats d’assurance complémentaires en matière de santé. Au vu des réponses adressées à la CNIL dans cecadre, l’un d’entre eux a fait l’objet d’une mise en demeure. Il a été décidé, pour deux autres d’entre eux, devérifier sur place, notamment d’un point de vue technique, que les mesures décrites étaient effectivement misesen œuvre.Le groupe de travail AFCDP n’a – pour l’heure – pas trouvé de document décrivant de façonformelle le contrôle sur pièces (merci de vos contributions, par email à charge-mission@afcdp.net).2.2. Des règles du jeu complexesC’est l’expression utilisée par la CNIL dans la page de son site Web « Les contrôles de A à Z 6 ».Les missions de contrôle sont encadrées par les articles 11-2°- f et 44 de la loi du 6 janvier 1978 modifiée le 6août 2004, et par les articles 61 à 69 du décret du 20 octobre 2005 modifié par le décret du 25 mars 2007.L’article 21 de la loi précise que les ministres, autorités publiques, dirigeants d’entreprises publiques ou privées,responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de traitements ou defichiers de données à caractère personnel ne peuvent s’opposer à l’action de la commission ou de ses membres etdoivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche.Le Règlement intérieur de la CNIL vient apporter quelques précisions indispensables.Article 11-2 f de la loi du 6 janvier 1978 modifiée le 6 août 2004« Elle peut, par décision particulière, charger un ou plusieurs de ses membres ou des agents de ses services,dans les conditions prévues à l’article 44, de procéder à des vérifications portant sur tous traitements et, le caséchéant, d’obtenir des copies de tous documents ou supports d’information utiles à ses missions. »Article 44 de la loi du 6 janvier 1978 modifiée le 6 août 2004L’article 44 de la loi rénovée le 6 août 2004 précise les conditions d’exercice de ces vérifications sur place :« Article 44I. - Les membres de la Commission nationale de l’informatique et des libertés ainsi que les agents de sesservices habilités dans les conditions définies au dernier alinéa de l’article 19 ont accès, de 6 heures à 21heures, pour l’exercice de leurs missions, aux lieux, locaux, enceintes, installations ou établissements servant àla mise en œuvre d’un traitement de données à caractère personnel et qui sont à usage professionnel, àl’exclusion des parties de ceux-ci affectées au domicile privé.Le procureur de la République territorialement compétent en est préalablement informé.II. - En cas d’opposition du responsable des lieux, la visite ne peut se dérouler qu’avec l’autorisation duprésident du tribunal de grande instance dans le ressort duquel sont situés les locaux à visiter ou du jugedélégué par lui.6 http://www.cnil.fr/vos-responsabilites/les-controles-de-a-a-zPage 8 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

Ce magistrat est saisi à la requête du président de la commission. Il statue par une ordonnance motivée,conformément aux dispositions prévues aux articles 493 à 498 du nouveau code de procédure civile. Laprocédure est sans représentation obligatoire.La visite s’effectue sous l’autorité et le contrôle du juge qui l’a autorisée. Celui-ci peut se rendre dans les locauxdurant l’intervention. A tout moment, il peut décider l’arrêt ou la suspension de la visite.III. - Les membres de la commission et les agents mentionnés au premier alinéa du I peuvent demandercommunication de tous documents nécessaires à l’accomplissement de leur mission, quel qu’en soit le support,et en prendre copie ; ils peuvent recueillir, sur place ou sur convocation, tout renseignement et toutejustification utiles ; ils peuvent accéder aux programmes informatiques et aux données, ainsi qu’en demander latranscription par tout traitement approprié dans des documents directement utilisables pour les besoins ducontrôle.Ils peuvent, à la demande du président de la commission, être assistés par des experts désignés par l’autoritédont ceux-ci dépendent.Seul un médecin peut requérir la communication de données médicales individuelles incluses dans un traitementnécessaire aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, del’administration de soins ou de traitements, ou à la gestion de service de santé, et qui est mis en œuvre par unmembre d’une profession de santé.Il est dressé contradictoirement procès-verbal des vérifications et visites menées en application du présentarticle.IV. - Pour les traitements intéressant la sûreté de l’État et qui sont dispensés de la publication de l’acteréglementaire qui les autorise en application du III de l’article 26, le décret en Conseil d’État qui prévoit cettedispense peut également prévoir que le traitement n’est pas soumis aux dispositions du présent article.Article 21 de la loi du 6 janvier 1978 modifiée le 6 août 2004«Article 21Dans l’exercice de leurs attributions, les membres de la commission ne reçoivent d’instruction d’aucuneautorité.Les ministres, autorités publiques, dirigeants d’entreprises publiques ou privées, responsables de groupementsdivers et plus généralement les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractèrepersonnel ne peuvent s’opposer à l’action de la commission ou de ses membres et doivent au contraire prendretoutes mesures utiles afin de faciliter sa tâche.Sauf dans les cas où elles sont astreintes au secret professionnel, les personnes interrogées dans le cadre desvérifications faites par la commission en application du f du 2° de l’article 11 sont tenues de fournir lesrenseignements demandés par celle-ci pour l’exercice de ses missions ».Décret du 20 octobre 2005 modifié par le décret du 25 mars 2007Les articles 61 à 69 du décret du 20 octobre 2005 modifié par le décret du 25 mars 2007 précisent les modalitésdes contrôles.« Article 61Lorsque la commission décide un contrôle sur place, elle en informe préalablement par écrit le procureur de laRépublique dans le ressort territorial duquel doit avoir lieu la visite ou la vérification.Le procureur de la République est informé au plus tard vingt-quatre heures avant la date à laquelle doit avoirlieu le contrôle sur place. Cet avis précise la date, l’heure, le lieu et l’objet du contrôle.Page 9 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

Article 62Lorsque la commission effectue un contrôle sur place, elle informe au plus tard au début du contrôle leresponsable des lieux de l’objet des vérifications qu’elle compte entreprendre, ainsi que de l’identité et de laqualité des personnes chargées du contrôle. Lorsque le responsable du traitement n’est pas présent sur les lieuxdu contrôle, ces informations sont portées à sa connaissance dans les huit jours suivant le contrôle.Dans le cadre de leurs vérifications, les personnes chargées du contrôle présentent en réponse à toute demandeleur ordre de mission et, le cas échéant, leur habilitation à procéder aux contrôles.Article 63Lorsqu’en application de l’article 49 de la loi du 6 janvier 1978 susvisée la commission procède à desvérifications, à la demande d’une autorité exerçant des compétences analogues aux siennes dans un autre Etatmembre de la Communauté européenne, elle en informe le responsable du traitement. Elle l’informe égalementque les informations recueillies ou détenues par la commission sont susceptibles d’être communiquées à cetteautorité.Article 64Les missions de contrôle sur place font l’objet d’un procès-verbal.Le procès-verbal énonce la nature, le jour, l’heure et le lieu des vérifications ou des contrôles effectués.Il indique également l’objet de la mission, les membres de celle-ci présents, les personnes rencontrées,le cas échéant, leurs déclarations, les demandes formulées par les membres de la mission ainsi que leséventuelles difficultés rencontrées. L’inventaire des pièces et documents dont les personnes chargées ducontrôle ont pris copie est annexé au procès-verbal.Lorsque la visite n’a pu se dérouler, le procès-verbal mentionne les motifs qui ont empêché ou entravéson déroulement.Le procès-verbal est signé par les personnes chargées du contrôle qui y ont procédé et par leresponsable des lieux ou par toute personne désignée par celui-ci. En cas de refus ou d’absence decelles-ci, mention en est portée au procès-verbal.Le procès-verbal est notifié au responsable des lieux et au responsable des traitements.Article 65Lorsque la visite a lieu avec l’autorisation et sous le contrôle du juge en application du II de l’article 44 de laloi du 6 janvier 1978 susvisée, copie du procès-verbal de la visite lui est adressée par le président de lacommission.Section 3 : L’audition sur convocationArticle 66En application du premier alinéa du III de l’article 44 de la loi du 6 janvier 1978 susvisée, les personneschargées du contrôle peuvent convoquer et entendre toute personne susceptible de leur fournir toutrenseignement ou toute justification utile pour l’accomplissement de leur mission.La convocation, adressée par lettre remise contre signature, ou remise en main propre contre récépissé ou acted’huissier, doit parvenir au moins huit jours avant la date de son audition.La convocation rappelle à la personne convoquée qu’elle est en droit de se faire assister d’un conseil de sonchoix.Un procès-verbal est dressé dans les conditions prévues à l’article 64. Lorsque l’intéressé ne se rend pas àl’audition, il en est fait mention dans un procès-verbal de carence établi par les personnes chargées du contrôle.Section 4 : Le recours à des expertsPage 10 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

Article 67Lorsqu’en application du deuxième alinéa du III de l’article 44 de la loi du 6 janvier 1978 susvisée le présidentde la commission fait appel à un ou plusieurs experts, sa demande définit l’objet de l’expertise et fixe le délai desa réalisation.Préalablement aux opérations d’expertise, le ou les experts désignés attestent auprès du président de lacommission qu’ils répondent aux conditions posées aux articles 57 à 60.Les indemnités dues aux experts font, le cas échéant, l’objet d’une convention.Le ou les experts informent le président de la commission de l’avancement des opérations d’expertise. Celles-cisont menées contradictoirement.Le rapport d’expertise est remis au président de la commission qui en adresse une copie au responsable dutraitement.Article 68Lorsque les opérations de vérification nécessitent l’accès à des données médicales individuelles, telles que viséesau troisième alinéa du III de l’article 44 de la loi du 6 janvier 1978 susvisée, le préfet dans le ressort territorialduquel doit avoir lieu le contrôle désigne, à la demande du président de la commission, un médecin inspecteurde santé publique ou un médecin inspecteur du travail chargé de requérir la communication de ces données ; leprésident de la commission peut également désigner un médecin inscrit sur une liste d’experts judiciaires. Leprésident de la commission définit les conditions d’exercice de la mission confiée au médecin selon les formesprescrites aux premier et deuxième alinéas de l’article 67.Préalablement aux opérations de vérification requises, le médecin désigné atteste auprès du président de lacommission qu’il répond aux conditions posées aux articles 57 à 60.Le médecin présente en réponse à toute demande son ordre de mission.Le médecin consigne dans un rapport les vérifications qu’il a faites sans faire état, en aucune manière, desdonnées médicales individuelles auxquelles il a eu accès.Le rapport est remis au président de la commission qui en adresse une copie au professionnel de santéresponsable du traitement.Section 5 : Secret professionnelArticle 69Lorsqu’une personne interrogée dans le cadre des vérifications faites par la commission oppose le secretprofessionnel, mention de cette opposition est portée au procès-verbal établi par les personnes chargées ducontrôle. Il est alors également fait mention des dispositions législatives ou réglementaires auxquelles se réfère,le cas échéant, la personne interrogée ainsi que la nature des données qu’elle estime couvertes par cesdispositions ».Règlement intérieur de la CNIL« Paragraphe 3 : Dispositions relatives à la formation restreinteArticle 16 Publicité des débats en formation restreinteLes débats sont publics à la demande de l'une des personnes mises en cause. Toutefois, le président peutinterdire au public l'accès de la salle pendant tout ou partie de la séance dans l'intérêt de l'ordre public, de laPage 11 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

protection de la vie privée de l'une des parties concernées ou lorsque la publicité est susceptible de porteratteinte au secret des affaires ou à tout autre secret protégé par la loi.Article 17 Election des membres de la formation restreinteL'élection des membres de la formation restreinte se fait au scrutin plurinominal. Si après trois tours de scrutin,le ou les sièges vacants n'ont pu être pourvus, la suite de l'élection est reportée à la séance suivante.Article 18 DélibéréLe délibéré a lieu à huis clos. Les membres de la formation restreinte qui participent ou assistent au délibérésont soumis à l'obligation d'en respecter le secret, sous les sanctions prévues par l'article 226-13 du code pénal.Le vote est à bulletin secret si l'un des membres de la formation restreinte en fait la demande.Article 37 Direction de l'expertise informatique et des contrôlesLa direction de l'expertise informatique et des contrôles assure la veille et la prospective technologiques. Elleparticipe en tant que de besoin à l'instruction des formalités préalables à la mise en œuvre des traitements dedonnées à caractère personnel, des réclamations, pétitions et plaintes, des demandes d'avis des pouvoirs publicset des demandes de conseil ainsi qu'à la préparation des normes d'exonération, des normes simplifiées, desdécisions uniques d'autorisation et des recommandations. Elle prépare et exécute les contrôles. Elle contribue àla mise en œuvre des procédures relatives au pouvoir de sanction de la commission.Article 40 IncompatibilitésTout agent informé par son chef de service qu'il va être désigné pour effectuer une visite ou une vérificationauprès d'un organisme au sein duquel il détient ou a détenu, au cours des trois années précédant la visite ou lavérification, un intérêt direct ou indirect, exerce ou a exercé, au cours de ces trois années, des fonctions ou uneactivité professionnelle, détient ou a détenu, dans la même période, un mandat, doit faire état par note écrite,adressée sans délai à son chef de service, de cette incompatibilité.Chapitre VI : Exercice des pouvoirs de la commissionSection 1 : Missions de contrôle sur placeArticle 59 Objet des missions de contrôleLes missions de contrôle sur place ont pour objet :• d'examiner la régularité au regard des articles 22 à 27 de la loi du 6 janvier 1978 d'un traitement misen œuvre par une ou plusieurs personnes ;• de s'assurer que le traitement mis en œuvre correspond au traitement ayant fait l'objet des formalitéspréalables et en particulier aux délibérations de la commission ;• de vérifier que l'ensemble des dispositions de la loi sont respectées.Article 60 Information du procureur de la RépubliqueQuand une mission de contrôle sur place doit se dérouler en d'autres lieux que ceux initialement prévus,relevant d'un ressort judiciaire différent, la commission informe le procureur de la République territorialementcompétent et, en cas d'urgence et de risque de disparition de preuves, les vérifications utiles sont engagées sansdélai.Article 61 HabilitationsLes agents de la commission sont habilités à procéder à des missions de contrôle sur place par une délibérationde la commission ou du bureau publiée au Journal officiel de la République française. Une carte professionnelleattestant de cette habilitation leur est délivrée.Article 62 Notification de mission de contrôlePage 12 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

Lorsque la mission de contrôle sur place est notifiée préalablement à son déroulement, il peut être joint à lalettre une demande visant à obtenir des informations sur l'architecture informatique en place, la mise àdisposition des personnels habilités à accéder aux applications et, le cas échéant, un accès direct aux systèmes.Article 63 ExpertsLors des missions de contrôle sur place, l'assistance d'experts désignés par l'autorité dont ils dépendent peutêtre demandée par le président de la commission. Leurs frais et honoraires sont à la charge de la commission.Article 64 Suites des contrôlesDans le cas où il estime que les manquements à la loi relevés sont susceptibles de conduire la commission àprononcer une sanction, le président de la commission soumet à la commission ces manquements dans lesconditions prévues par les articles 45 et 46 de la loi du 6 janvier 1978. Dans les autres cas, la procédure estclose par l'envoi d'une lettre du président ou du vice-président délégué au responsable du traitement ».2.3. « Pourquoi moi ? » ou la genèse d’un contrôleC’est en effet la première question qui vient à l’esprit du Responsable de traitement contrôlé. Quel est la genèsed’un contrôle sur place ?Les modes de saisine de la Commission sont variés :• Auto saisine ;• Suite à instruction de plaintes émanant de ;o particuliers ;o comité d’entreprises, salariés, syndicats ;o autorités publiques.• Suite à une alerte du Correspondant Informatique et Libertés ;• Suite à signalisation d’organismes avec lequel une convention a été établie ;• A la demande d’une autorité de contrôle étrangère;• Sur base du programme de contrôle annuel de la CNIL.Dans une interview que Mme Florence Fourets a accordée en mars 2008 à CIO-Online 7 , ces différentes sourcessont évoquées. Elle répondait aux questions de Bertrand Lemaire : « En quelles circonstances la CNIL opère-telledes contrôles dans les entreprises et administrations ? » et« Comment se déroule un contrôle lui-même ? ».Un contrôle peut être décidé de façon collégiale par les membresde la CNIL réunis en séance plénière (à l’issue d’un vote prenanten compte la règle de la majorité des suffrages) ou à la seuleinitiative du président ou du vice-président délégué de la CNIL. Enrevanche son déclenchement relève par contre toujours d’unedécision du Président de la CNIL.Figure 1 : Interview de Mme Florence Fourets (CNIL) sur les contrôles de la CNIL (CIO-Online)Entendu lors des Assises AFCDP des Correspondants Informatique et Libertés de juin 2009 : Un représentantde la CNIL y a évoqué la possibilité – pour le moment hypothétique – de procéder à des contrôles « paranalogie » : un contrôle sur place ayant mis en évidence des points de non-conformité marqués au sein d’unorganisme serait suivi de contrôles au sein d’entités du même secteur d’activité, pour vérifier si les dérives sontle fait d’un seul acteur ou si elles sont communes à un métier.7 http://www.cio-online.com/entretiens/lire-controles-de-la-cnil-le-mode-d-emploi-264.htmlPage 13 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

Auto saisineLa Commission se saisit de sa propre initiative, par exemple à la lecture d’un article de presse ou suite à unedécision de justice.En voici deux illustrations :(fictif) Le PDG d’une société cotée au CAC 40 se targue lors d’une interview qu’il sous-traite une partieimportante des applications informatiques en Inde… La CNIL n’avait reçu aucune demanded’autorisation concernant des flux transfrontières de la part de cette entreprise.(réel) Suite à deux décisions de justice, la Commission a procédé fin 2009 à plusieurs contrôles surplace auprès d’entités ayant mis en œuvre un dispositif d’alerte professionnelle afin de vérifier le strictrespect du cadre délimité dans l’autorisation unique correspondante.Encore une bonne raison pour le CIL de consulter avec soin la revue de presse de sa propre entreprise et de setenir informé des récentes décisions de jurisprudence (grâce, notamment, à la lettre d’informations de l’AFCDP).Suite à instruction de plaintesLa Commission en reçoit actuellement environ 4 500 par an (une simple lettre suffit). Dans son rapport d’activitépour l’année 2008 la CNIL indique que « 25% des contrôles réalisés en 2008 ont ainsi été décidés dans le cadrede l’instruction des plaintes reçues et permettent d’apprécier la réalité des faits portés à la connaissance de laCNIL par les plaignants ».Le rapport précise que « C’est dans le cadre de l’instruction de plaintes que la CNIL a effectué une vasteopération de contrôle sur place et sur pièces auprès des sociétés proposant des services dits de pigeimmobilière. Ces sociétés copient, de façon automatisée ou artisanale, les annonces des particuliers publiéesdans les revues ou les sites Internet spécialisés pour les transférer aux agences abonnées à leur service. Parfoismême, certaines d’entre elles contactent les particuliers anonymement afin d’obtenir de plus amplesinformations sur le bien immobilier et enrichissent ainsi l’annonce originale. Cette pratique constituemanifestement une collecte déloyale et illicite de données : à aucun moment, les particuliers concernés ne sontinformés de la collecte de leurs données et ne peuvent s’opposer à être contactés par les agences immobilières.Plusieurs dossiers sont actuellement en cours d’instruction devant la formation contentieuse de la CNIL ».Plaintes émanant de particuliersLe site Web de la CNIL comporte une page intitulée « Contribuez aurespect de la loi informatique et libertés ! » qui propose, par un simpleformulaire, de « décrire brièvement le problème sur lequel voussouhaitez alerter la CNIL ».Ces témoignages ne constituent pas des plaintes et ne sont pas traitéespar la CNIL comme telles. Toutefois la Commission précise que « cestémoignages sont dénombrés, puis évalués en regard des missions et duchamp de compétence de la CNIL. Ils permettent à la CNIL de mieuxconnaître la réalité des problèmes auxquels vous êtes confrontés. Enfonction des informations ainsi recueillies, la CNIL agit avec lesmoyens dont elle dispose, et en particulier les pouvoirs de contrôleque la loi lui a confiés ».Figure 2 : Copie d’écran site Web CNIL : « Témoignez »La procédure à suivre pour porter plainte auprès de la CNIL est décritesur une page intitulé « La CNIL à vos côtés », dont voici la teneur :Page 14 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

La loi informatique et libertés, ça concerne tout le monde !Tout citoyen peut saisir la CNIL pour :• Porter plainte concernant des difficultés à exercer ses droits, des abus ou des pratiques irrégulières.• Demander conseil avant d’utiliser des données personnelles.• Accéder, indirectement aux informations contenues dans des fichiers de police oude gendarmerie.• Demander les coordonnées d’un responsable de fichier auprès de qui exercer sesdroits.Lorsqu’elle est saisie par un citoyen, la CNIL peut :• Intervenir comme médiateur en vue d'un règlement amiable d’un problème, enparticulier dans l’exercice du droit d’accès à des données et du droitd’opposition à figurer dans un traitement ou à faire l’objet de prospectioncommerciale.• Contrôler des personnes ou des organismes qui exploitent des donnéespersonnelles.• Prononcer des sanctions• Dénoncer à la Justice des infractions graves.La CNIL précise aux personnes intéressées qu’elle n’intervient que « si vous avez d’abord exercé vosdroits auprès du responsable du fichier » et propose des modèles de courrier. La Commission ajoute que « Si leresponsable du fichier ne vous a pas répondu, ou de façon insatisfaisante, dans le délai légal de deux mois, vouspouvez alors nous saisir ».Pour veiller à la bonne prise en compte de ces courriers, en tant que CIL vous avez donc tout intérêt, afin d’êtretenu informé des demandes et réclamations :• à vous rapprocher du service courrier de votre entreprise• à informer les secrétariats des Directions opérationnelles pouvant recevoir ce genre de courrier (et celui,naturellement, de la Direction générale)En tant que CIL, vous aurez droit à une « seconde chance » : en effet, à la réception du courrier du plaignant,le service des plaintes de la CNIL se met en relation avec vous par lettre simple en vous précisant l’objet de laplainte (Atelier CNIL « Les modalités d’instruction d’une plainte »). Une première relance (courrierrecommandé) vous est envoyée par l’agent chargé du dossier. Une seconde relance (également en recommandé)provient du Secrétaire général…A nouveau, il est indispensable que le CIL veille à l’identification d’un courrier CNIL par ses services courrier etde sa bonne transmission à la personne concernée – y compris en période de congés. Il devra en sus superviser laqualité de la réponse apportée (contenu et respect des délais).La CNIL précise qu’elle n'attribue pas de dommages-intérêts, que la plainte auprès de ses services n’est pas undépôt de plainte pénale et n’en constitue pas un préalable (« En cas de violation de la loi informatique et libertés,vous avez à tout moment la possibilité de déposer une plainte pénale auprès du procureur de la République oudes services de police ou de gendarmerie compétents »).Madame, Monsieur,Depuis que je suis client de la banque……, je reçois fréquemment des offres d’assurance de la part de …Je ne suis pas intéressé par ces offres et j’ai donc demandé à cette assurance de ne plus me solliciter. J’ai aussi demandéà ma banque de leur transmettre mon souhait de ne pas être démarché.Pourtant je continue à être sollicité. C’est pourquoi je m’adresse à vous.Pouvez-vous intervenir auprès de ces entreprises pour mettre fins à ces pratiques ?Je vous en remercie par avance.Veuillez croire, Madame, Monsieur, à l’assurance de mes sincères salutations.Monsieur Pierre DurandFigure 3 : Exemple de courrier de plainte reçu par la CNIL, émanant d’un particulierPage 15 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

Plaintes émanant de salariés, Comité d’entreprises ou SyndicatsRappelons la décision de la Cour de Cassation, Ch. criminelle, du 30 octobre 2001 8 . Le président et le directeurd’un syndicat interprofessionnel des médecins du travail ont été condamnés le premier à 7.623 € (à l’époque50 000 francs) d’amende et le second à 4.574 € d’amende, pour absence de déclaration et pour défaut de sécurité(des informations médicales étaient accessibles aux membres du personnel administratif, tiers non autorisés).C’est le Syndicat national professionnel des médecins du travail qui avait porté plainte.Cette procédure était judiciaire et ne faisait pas suite à un contrôle de la CNIL. Avez-vousconnaissance d’un contrôle à l’initiative des IRP ?(merci de vos contributions, par email à charge-mission@afcdp.net).Suite à demandes d’autorités publiquesLa CNIL a été en 2007 pour la première fois amenée à exercer son pouvoir de contrôle sur la base de demandesd’autorités publiques.Dans un premier cas, le Procureur de Nice a sollicité la Commission afin qu’elle exerce son pouvoir de contrôleauprès de plusieurs sociétés de sécurité officiant sur l’aéroport de cette ville à l’encontre desquelles il existait desdoutes quant à la légalité de bases de données qu’elles avaient mises en œuvre concernant leurs salariés. Cescontrôles ont permis, d’une part, à la formation restreinte d’examiner les manquements relevés et, d’autre part, adonné lieu à une transmission au Parquet des faits constatés, sur la base de l’article 40 du code de procédurepénale.Dans un deuxième cas, le Préfet de la Seine-et-Marne a saisi la Commission afin qu’elle puisse contrôlerl’utilisation d’un dispositif de vidéosurveillance mis en œuvre par une police municipale 9 .Suite à alerte du CorrespondantLe règlement intérieur de la CNIL comprend le passage suivant :« Section 2 : Difficultés ou manquements dans l'exercice des missions du correspondantArticle 56 Saisine de la commission des difficultés rencontrées à l'occasion de l'exercice des missions ducorrespondantLa commission est saisie, en application des dispositions de l'article 22 de la loi du 6 janvier 1978 et de l'article51 du décret du 20 octobre 2005, des difficultés rencontrées à l'occasion de l'exercice des missions ducorrespondant par lettre recommandée avec demande d'avis de réception ou par voie électronique avec accuséde réception qui peut être adressé par la même voie. La saisine doit comporter tout élément justifiant que, selonle cas, le correspondant ou le responsable de traitement, a été informé de la saisine ».A notre connaissance, aucun contrôle n’a eu pour source l’alerte d’un CIL. Il est vrai que la CNIL n'a jamaisencouragé une telle pratique, qui ne serait d'ailleurs pas conforme à l'esprit des textesUn CIL Membre AFCDP a-t-il formalisé sa « procédure d’alerte », en y faisant explicitement figurerla possibilité de que lui offre les textes d’informer la CNIL d’un manquement ? Merci de voscontributions, par email à charge-mission@afcdp.netPar contre des contrôles ont déjà été effectués à « l’initiative » d’un Responsable de traitement, soit que lecontrôle ait été expressément demandé par l'entreprise (à des fins d'audit), soit que l'évolution d'un dossierjustifie la réalisation d'un contrôle. Sur ce dernier point, il faut néanmoins rappeler que les agents en charge duconseil et ceux en charge du contrôle n'appartiennent pas à la même direction et qu'il est d'usage, sauf cas8 http://www.juripole.fr/Jurisprudence/J20011030-acces-aux-donnees-par-des-tiers-non-autorises.php9 Source : « La CNIL a défini son programme annuel des contrôles pour l’année 2008 » - site Web de la CommissionPage 16 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

particulier, de ne pas engager une procédure de contrôle à l'égard d'une entreprise qui de bonne foi vientdemander conseil auprès de la CNIL au sujet d'une difficulté qu'elle rencontre.Sur signalisation d’un organisme tiersDans le cadre de conventionsLa CNIL a établi, en mai 2006, une convention de partenariat avec la HALDE (Haute autorité de lutte contre lesdiscriminations et pour l’égalité) qui prévoit des échanges d’informations et des contrôles communs aux deuxautorités.Lors de ses propres contrôles, si les agents de la Halde constatent des points importants de non-conformité« Informatique et Libertés » (comme des collectes de données interdites telles que les données dites « raciales »),il y a communication des éléments d’une autorité vers l’autre. Messieurs Alex Türk et Louis Schweitzer ontsigné le 3 mai 2006 une convention qui prévoit – entre autres – « des échanges d'informations entre les deuxautorités, la réalisation commune de missions d'information, de réflexion ou encore de contrôle ».Dans le cadre de son partenariat avec l’association SIGNAL SPAM, la CNIL a lancé en septembre 2008 unesérie de contrôles 10 auprès d’entreprises dont les courriers électroniques de prospection ont été signalés par lesinternautes comme « spams ».Ces contrôles ont porté sur :• les méthodes de collecte des adresses électroniques utilisées (vérification de l’origine des données etdes éventuels fichiers utilisés pour procéder aux envois de messages),• la validité du consentement des personnes ainsi démarchées (respect du principe du recueil duconsentement préalable des personnes, dit « opt-in »),• le respect du droit de s’opposer à recevoir de nouveaux messages.A la suite de ces contrôles certaines entreprises identifiées ont fait l’objet d’un rappel à la loi et ont été placées« sous surveillance » par la CNIL qui a annoncé « contrôler de très près leurs futures opérations deprospection ».A la demande d’autorités étrangèresA la demande des Autorités de Contrôles Communes (ACC) siégeant à Bruxelles, des contrôles ont été menés auplan national afin de vérifier certains aspects de traitements européens relevant de la compétence de l’autoriténationale de protection des données du pays en cause. Il en est ainsi des conditions d’enregistrement des donnéesà caractère personnel dans le système d’information Schengen (SIS) sur le fondement des article 96 (nonadmission dans l’espace Schengen) et 99 (surveillance discrète) de la convention d’application de l’accordSchengen dans le système d’information des douanes (SID) géré par la direction générale des douanes et droitsindirects ou dans les fichiers d’Euro Pol.Lorsque le contrôle est effectué à la demande d’un homologue d'un Etat membre de l'Union européenne, laCNIL en informe le responsable du traitement. Elle l’informe que les informations recueillies ou détenues par laCNIL sont susceptibles d’être communiquées à cette autorité. Il nous a été confirmé que des autorités decontrôles européennes ont menés des contrôles sur place dans des établissements situés sur leur territoire suite àdemande de la CNIL.Pour le moment les agents de la CNIL n'ont compétence que sur le territoire français. Juridiquement, toutdéplacement à l'étranger sera considéré comme une visite, soumise au bon vouloir du responsable de traitementet des autorités locales et la CNIL ne disposera d'aucun pouvoir contraignant. Mais l'hypothèse du déplacementd'équipes de la CNIL à l'étranger pourrait à terme devenir une réalité, dans le cadre de l'exécution desclauses d'audit qui figurent dans les contrats types de transfert de données hors UE.10 Source Rubrique « En bref » de la CNIL, 29 septembre 2008.Page 17 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

Sur base du programme annuel de contrôleChaque année, vers le mois d’avril, la CNIL en séance plénière sélectionne des secteurs d’activité ou desthématiques sur lesquels elle effectue une série de contrôles. Cependant ces « cibles » ne sont dévoilées qu’enmilieu d’année, lors de la parution du rapport annuel… Ainsi, on découvrait à l’été 2009, en page 70 du rapportd’activité de l’année 2008 le passage suivant : « Enfin, le programme des contrôles sera le reflet despréoccupations actuelles majeures de la CNIL. D’ores et déjà, il est vraisemblable que les contrôles sur lesopérations de vote électronique se poursuivront ; il devrait en être de même pour les collectivités locales. Enpoursuivant ces contrôles dans les domaines de la biométrie et de la vidéosurveillance, la Commissiondémontrera son attachement à encadrer les usages ces techniques qui peuvent porter gravement atteinte auxdroits et libertés si leur développement ne se fait pas dans le respect de la loi ».Parallèlement, la Commission publiait le 11 juin 2009 ce texte sur son site Web : S’agissant des thèmes quiferont l’objet de contrôles au cours de l’année 2009, les secteurs suivants seront concernés :• les constats effectués l’année dernière à l’occasion des contrôles opérés lors des opérations de voteélectronique conduiront la CNIL à poursuivre ses vérifications afin qu’elle puisse avoir une visionprécise et globale des pratiques en la matière ;• de la même manière, la Commission a estimé utile de continuer à effectuer des missions de contrôledans le secteur des collectivités locales (communes, communautés d’agglomération, conseils générauxou régionaux) afin de veiller à la bonne application de la loi par celles-ci ;• le contrôle d’un fichier national de police, le fichier des personnes recherchées (FPR) est égalementinscrit au programme de l’année 2009. Ce fichier va en effet connaître d’importants changements quantaux données pouvant y être traitées et aux personnes pouvant y enregistrer des informations (ouvertureaux agents administratifs des préfectures) ;• la Commission a souhaité poursuivre les travaux entamés en 2006 relatifs aux conditions d’applicationde la loi "informatique et libertés" par les agents de recherches privés ;• le secteur de la prospection commerciale connaissant actuellement de nombreuses évolutions, laCommission a décidé de s’intéresser, via ses opérations de contrôle, aux nouvelles techniques utilisées(« Bluetooth », par exemple) ainsi qu’aux méthodes de sélection de nouveaux publics ou«communautés » visés (sélection ethnique) ;• enfin, la Commission a souhaité pouvoir s’assurer de la correcte application de la loi pour l’ensembledes traitements mis en œuvre par des organismes aussi variés que les établissements de soins (laquestion centrale portant sur les mesures de sécurité entourant les données médicales) ou des clubs defootball (problématiques des interdits de stade et de la vidéosurveillance avec reconnaissancebiométrique).CIL des secteursconcernés, vous étiezprévenus !Figure 4 : « Demandez le programme » - source : site Web de la CNILPage 18 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

Quels étaient les cibles du programme de contrôles des années précédentes ?Annoncé en avril 2008, le programme était plus étoffé et plus précis que les années précédentes :• Ensemble des fichiers mis en œuvre par les collectivités locales d’importance diverse, moins de 5.000habitants, de 5.000 à 30.000 habitants et plus de 30.000 habitants. Les secteurs visés sont les mairies etles communautés d’agglomération ;• Mesures de sécurité mises en œuvre par les grands établissements de soins. Les objectifs affichésconcernent les droits des patients dans le secteur de la santé ;• Dispositifs de bracelets électroniques. Les secteurs visés sont les maisons de retraites et les maternités,les objectifs affichés concernent les droits des patients.• Conditions de traitement des données relatives à la santé des demandeurs de crédit. Les secteursvisés sont les compagnies d’assurance, les objectifs affichés concernent les droits des assurés ;• Traitements de lutte contre la fraude mis en œuvre par les caisses d’assurance maladie. Les secteursvisés sont les organismes publics, les objectifs affichés concernent les droits des assurés ;• Conditions de collecte des données des internautes dans le cadre de la lutte contre le piratage. Lessecteurs visés sont les organismes publics et les sites Web spécialisés, les objectifs affichés concernentles droits des internautes ;• Conditions de confidentialité à l’occasion d’élections par voie électronique. Les secteurs visés sont lesprestataires techniques, les objectifs affichés concernent les droits des citoyens 11 ;• Traitement de gestion des vélos mis à disposition des usagers. Les secteurs visés sont les collectivitéslocales. Les objectifs affichés concernent le transport.• Dispositif de vidéosurveillance (lieux privés et publics). Les secteurs visés sont les hôpitaux, lesétablissements scolaires, les mairies, etc.Et effectivement, la CNIL a contrôlé une dizaine de collectivités en 2008 : « A fin novembre 2008, la CNIL aprocédé à dix contrôles sur place en 2008, auprès de collectivités concernées (communes, conseils généraux etrégionaux), en application de son programme de contrôle. Les fichiers concernés sont nombreux (gestion del’état civil, listes électorales, action sociale, police municipale, gestion foncière, inscriptions scolaires, etc.) etles données qui y sont contenues doivent faire l’objet d’une attention toute particulière. Ces contrôles, quipeuvent se dérouler sur plusieurs jours, permettent en outre aux informaticiens contrôleurs de la CNILd’apprécier l’effectivité des mesures de sécurité apportées à ces traitements afin d’éviter que les données qui ysont contenues puissent être accessibles ou divulguées à des tiers non autorisés. Les missions de vérificationopérées par la CNIL au sein de ces différentes collectivités démontrent que le respect des dispositions de la loi"informatique et libertés" n’est pas toujours parfaitement assuré : absence d’accomplissement de formalitéspréalables pour certains de traitements mis en œuvre, absence de durée de conservation des données collectées,information insuffisante des administrés sur leurs droits voire mise en œuvre de fichiers contraires à la loi (parexemple, constitution d’un fichier de population à l’insu des personnes). Les suites apportées à ces contrôlespeuvent, le cas échéant, donner lieu à un avertissement, rendu public ou non, une mise en demeure voire unesanction pécuniaire. Au total, l’ensemble des constatations effectuées par la CNIL dans le cadre de ces contrôlesmilite pour un meilleur engagement des collectivités locales dans la désignation d’un correspondant"informatique et libertés" (CIL), relais efficace afin de garantir une correcte application de la loi ». Source : siteWeb de la CNILEn 2007, les missions de vérification sur place ont porté sur des sujets tels que :• Les dispositifs biométriques des établissements scolaires, des entreprises ou des structures médicales ;• La prise en compte du droit d’opposition des personnes à être démarchées commercialement partéléphone par des organismes appartenant à des secteurs d’activité très hétérogènes, que ce soit desbanques ou des installateurs de fenêtres ;11 Dans le rapport de l’année 2008 publié en juin 2009 on apprend que « la politique des contrôles effectués au cours de l’année 2008 auraincontestablement été marquée par la thématique du vote électronique. Ainsi, pas moins de 20 contrôles ont été réalisés dans le cadre desopérations de vote par voie électronique organisées par le ministère du Travail (élections prud’homales), par le ministère de la Santé(élections professionnelles des infirmiers) et par la commune d’Issy les Moulineaux (élections des représentants de quartiers). Ces missionsavaient pour objet d’apprécier le secret du scrutin, le caractère personnel, libre et anonyme du vote, la sincérité des opérations électoraleset la surveillance effective du vote ».Page 19 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

• Les conditions de conservation des données dites « de connexion » (données relatives au trafic descommunications électroniques), en particulier au regard des exigences des différentes réglementationsprises dans le cadre de la lutte antiterroriste ;• L’expérimentation du dossier pharmaceutique ;• Les systèmes de vidéosurveillance, que ce soit par des polices municipales ou par des entreprises ;• Les fichiers concernant les salariés : gestion des recrutements et des carrières bien sûr, mais aussigéolocalisation, transfert de données à l’étranger, développement de « lignes éthiques », etc. ;• L’information des personnes par les opérateurs de communications électroniques (annuairesuniversels ou services universels de renseignement) ;• Les fichiers dits « de police », d’importance nationaleEn 2006 le programme portait sur :• Le marketing commercial : contrôles auprès de sociétés spécialisées dans la mise à disposition de tiersde fichiers d’adresses postales ou électroniques (modalités de collecte et de mise à jour des données) ;contrôles opérés auprès de sociétés de vente par correspondance, d’opérateurs de téléphonie fixe etmobile, de fournisseurs d’accès à Internet (gestion de leurs fichiers clients, des opérations deprospection, notamment par Internet, etc.) ; contrôles de sociétés commerciales auprès desquelles lespersonnes ont des difficultés à faire valoir leur droit d’opposition à être démarchées ;• Principaux constructeurs automobiles implantés en France, afin de vérifier les modalitésd’information et d’opposition des personnes quant à l’utilisation à des fins commerciales des donnéespermettant de procéder à l’immatriculation des véhicules (fichier de l’Association auxiliaire del’automobile).• Agents de recherches privés (gestion des fichiers, principalement de débiteurs, et modalités de collectedes données) ;• Recrutement (vérification des données gérées afin de s’assurer notamment de l’absence de toutepolitique de discrimination) ;• Une série de contrôles a été effectuée auprès de chacun des six hébergeurs participant àl’expérimentation du dossier médical personnel (DMP). Les constats opérés lors des missions devérifications, auxquelles, pour la première fois depuis l’entrée en vigueur des nouvelles dispositions dela loi du 6 janvier 1978 modifiée le 6 août 2004 et de son décret d’application du 20 octobre 2005, desmédecins inspecteurs de santé publique étaient associés, ont permis à la CNIL d’être mieux informée dudispositif mis en œuvre avant de se prononcer en 2007 sur sa généralisation.En 2005 le programme portait sur la grande distribution (modalités du contrôle des paiements par chèque,tenue de fichiers de personnes surprises en flagrant délit de vol à l’étalage) et le courtage d’assurance surinternet.La CNIL prévoit-elle de dévoiler son programme de contrôle plus tôt dans l’année ?Dernière minute (17 mars 2010) : La CNIL a publié sur son site Web l’article « Au programme 2010 : 300contrôles proches des préoccupations quotidiennes 12 » qui indique que, réunie le 18 février, la Commission aexaminé le bilan des contrôles réalisés en 2009 et adopté son programme pour 2010. Celui-ci confirmel'augmentation du nombre de contrôles.Ce programme annuel 2010 se décline autour de deux grands thèmes : d'une part, des contrôles destinés àapprécier l'effectivité des décisions prises par la CNIL. Ils porteront tout particulièrement sur la vérificationdu respect des normes édictées par la Commission dans le cadre des mesures de simplification des formalitéspréalables, la vérification du respect des préconisations techniques définies dans le cadre de l'instruction dedossiers, d'autre part, quatre domaines particuliers qui concernent la vie quotidienne et où il apparaîtessentiel de procéder à des contrôles afin de s'assurer notamment du respect des droits des personnes.La CNIL prévoit de contrôler les dispositifs de vidéosurveillance afin de s'assurer que les organismes quimettent en place ces dispositifs respectent le droit des personnes prévu par la loi informatique et libertés.12 http://www.cnil.fr/nc/la-cnil/actu-cnil/article/article/85/au-programme-2010-300-controles-proches-des-preoccupations-quotidiennes/Page 20 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

Le service des contrôles est rattaché à Direction des relations avec les usagers et du contrôle (DUC).Cette direction comprend cinq services et une cellule:• Service des contrôles (créé en 2002)• Service des plaintes• Service de la gestion des sanctions• Service des Correspondants• Service Orientation & renseignement du public• Cellule Droit d'accès indirectFin 2009, le service des contrôles était composé de onze agents (six juristes et cinqinformaticiens) qui proposent, préparent, coordonnent et analysent les missions de contrôle.En revanche les contrôles sur place peuvent être réalisés par certains des quarante quatreagents de la CNIL qui y sont habilités, éventuellement épaulés par les dix-septcommissaires.Figure 6 : Composition du Service des contrôles (Rapport d’activité de la CNIL pour l’année 2008)2.6. Que se passe-t-il après le contrôle ?A l’issue du contrôle, la CNIL examine les documents dont une copie aura été effectuée pour apprécier lesconditions de mise en œuvre des dispositions de la loi informatique et libertés.• Lorsque qu’aucun point de non conformité n’a été relevé le contrôle est clôturé par un courrier duprésident de la CNIL : Lettre de clôture 13 .• Lorsque les constatations effectuées n’appellent pas d’observations particulières, cette lettre de clôturepeut contenir des recommandations (comme une modification des durées de conservation, unrenforcement des mesures de sécurité, une amélioration de l’information des personnes, etc.).• Lorsque les manquements relevés sont sérieux, le dossier est transmis à la formation contentieuse dela CNIL, qui peut prononcer les sanctions prévues à l’article 45 de la loi. Cette transmission à laformation contentieuse n’est pas exclusive d’une dénonciation au Parquet (article 40 du code deprocédure pénale).2.7. Le rôle clé de la Formation restreinteLa formation restreinte 14 (dite aussi « formation contentieuse) de la CNIL est devenue opérationnelle mi-2006.Elle est composée de six membres et se réunit mensuellement.Depuis avril 2009, cette formation restreinte est composée de : M. Alex TÜRK, président, M. Emmanuel deGIVRY, vice-président délégué, Mme Isabelle FALQUE-PIERROTIN, vice-président, Mme Claire DAVAL, M.Sébastien HUYGHE et M. Jean-Marie COTTERET.Cette formation se réunit au moins une fois par mois pour décider des mesures à prendre à l'égard desresponsables de traitement qui ne respectent manifestement pas la loi informatique et libertés. Les dossiersexaminés font suite généralement à une mission de contrôle effectuée par la CNIL, à la réception de plaintes ou àtoute situation dans laquelle la concertation n'a pas permis de rétablir une situation conforme sur le planjuridique.13 On notera que, sur la page « Les contrôles de A à Z » cette hypothèse n’est pas évoquée… et Mme Fourets, dans l’interview qu’elle aaccordé à CIO Online, sous-entend qu’il est quasiment impossible d’être en conformité parfaite.14 Dans son communiqué du 6 mars 2008 (relatif aux contrôles effectués auprès de Note2be), l’expression « Formation contentieuse » estutilisée par la Commission.Page 22 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

Les sessions de la formation restreinte sont-elles ouvertes au public ? Elles peuvent l’être si une des personnesmises en cause le demande et si le président de la CNIL n’y voit pas de risque pour l’ordre public, la protectionde la vie privée des personnes concernées ou le secret des affaires 15 . Par contre le délibéré a lieu à huis clos.La formation restreinte prononce les avertissements, mises en demeure, sanctions pécuniaires et examine lessuites à donner aux missions de contrôles compte tenu des manquements à la loi constatés lors des vérificationssur place. Dans les autres cas, un courrier est adressé au responsable de l’organisme contrôlé lui demandant, leplus souvent, de procéder à des modifications des applications mises en œuvre.Dans l’interview qu’elle a accordée en mars 2008 à CIO-Online 16 Mme Florence Fourets répondait à laquestion : « Une fois le contrôle effectué, quelles sont les suites, notamment en cas de constatationd'infraction ?». Elle y indique qu’un non-respect de la durée de conservation est jugé « mineur » alors qu’undéfaut de sécurité est considéré avec plus de sévérité.La procédure de sanction se déroule de la façon suivante :• Rapport proposant une sanction (sanction pécuniaire ou injonction) ou rapport proposant unavertissement• Délai d’un mois laissé au Responsable du traitement pour adresser des observations écrites• Possibilité pour le Responsable du traitement d’accéder au dossier• Possibilité pour le Responsable du traitement de se faire assister• Possibilité pour le Responsable du traitement de présenter des observations orales lors de la séance de laformation restreinte• Possibilité de recours (devant le Conseil d’état) 172.8. Les pouvoirs coercitifs de la CNILLa formation restreinte peut infliger les sanctions suivantes ;• Avertissement 18 à l’égard du responsable de traitement fautif, dont certains peuvent être renduspublics 19• Mise en demeure de cesser un manquement sous un délai pouvant aller de dix jours à trois mois(procédure non contradictoire). Si le responsable de traitement se conforme à la mise en demeure, laprocédure s'arrête et le dossier est clôturé.Si le responsable de traitement ne se conforme pas à la mise en demeure de la CNIL, la formation contentieusepeut prononcer, après une procédure contradictoire, durant laquelle le responsable de traitement incriminé peutprésenter des observations orales :• Une sanction pécuniaire (sauf pour les traitements de l’Etat), d’un montant maximal de 150.000€, et encas de récidive, pouvant aller jusqu’à 300.000 € 20 . En cas de mauvaise foi, la CNIL peut ordonnerl'insertion de la décision de sanction dans la presse, aux frais de l’entité sanctionnée 21 .• Une injonction de cesser le traitement 22• Un retrait de l’autorisation accordée en application de l’article 25 de la loi15 La proposition de Loi des Sénateurs Détraigne et Escoffier suggère, dans son article 10 de rendre publiques les audiences de laformation restreinte de la CNIL « afin de tirer les conséquences d'une ordonnance du Conseil d'État du 19 février 2008 qui reconnaît soncaractère juridictionnel ».16 http://www.cio-online.com/videos/lire-controles-de-la-cnil-le-mode-d-emploi-entretiens-232.html17 En février 2008, le Conseil d’Etat a déboutée de son recours une entreprise de recouvrement de créances qui avait été condamnée – à lasuite d’un contrôle de la CNIL – à une sanction pécuniaire représentant, d’après son dirigeant « plus d’un an de bénéfices », et à l’arrêt dutraitement incriminé.18 A proprement parler, en faisant référence aux textes, l’avertissement et les mises en demeure ne sont pas des sanctions et ne peuvent êtrecontestées.19 Exemple en juin 2009 : la CNIL a dévoilé qu’elle avait prononcé le 20 janvier 2009 un avertissement à l’encontre de la société destransports urbains rennais, « considérant que le passe Korrigo ne respectait pas la vie privée et les libertés individuelles des usagers ».20 Dans leur proposition de loi, les Sénateurs Détraigne et Escoffier proposent de porter ces montants respectivement à 300 000 et 600 000euros, précisant que « ce dernier montant correspondant au niveau maximum de sanction susceptible d'être prononcé par l'agenceespagnole de protection des données ».21 Au moins d’un l’un des cas, la commission restreinte a demandé la publication de la sanction sur le site Web de la société.22 Une société de recouvrement de créances s’est vue condamnée – entre autres – cesser totalement de mettre en œuvre le traitement dedonnées incriminé, qui constitue – selon son dirigeant – son outil de travail quotidien.Page 23 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

• En cas d’urgence, l’interruption de la mise en œuvre du traitement ou le verrouillage des données :o Interruption pour 3 mois, sauf traitements de l’État (art. 26 : sûreté, défense, sécurité publique,infractions, et art. 27)o Information du 1er Ministre pour les traitements de l’État listés à l’art 26• En cas d’atteinte grave et immédiate aux droits et libertés, le président de la CNIL peut demander, parréféré, à la juridiction compétente (président du TGI ou juge administratif), d’ordonner toute mesure desécurité nécessaire (en référé).A l'issue d'une procédure de sanction, l'organismesanctionné dispose d'un délai d’un mois pour adresserdes observations écrites, en ayant la possibilité d’accéderau dossier, de se faire assister d'un avocat et de formerun recours contre la décision de la CNIL.Figure 7 : Répartition des sanctions (Rapport de laCNIL pour l’année 2008)Voici les montants cumulés des sanctions pécuniaires infligées par la CNIL ces dernières années : 168.000 € en2006, 175.000 € en 2007 et 137.100€ en 2008 (on notera que ce chiffre n’apparaît plus dans le rapport annuel). Anotre connaissance, le montant total des sanctions pour 2009 approche les 170.000 €.Figure 8 : Aux risquespécuniaires s’ajoutentles risques en termes« d’image » del’entreprise, auprès deson marché et ses clients.3. En France, des contrôles en très forte progressionTrente et un contrôles sur place ont été effectués en 2003 et quarante cinq l’année suivante, le service descontrôles ayant été suspendu pendant cinq mois en raison de la réforme de la loi le 6 août 2004.On s’attendait à ce que la CNIL dévoile un nombre proche de trois cents dans son rapport d’activité pour l’année2009, soit autant que de 1978 à 2004 cumulé. Finalement, c’est dès le 17 mars 2010 que la CNIL a confirméavoir effectué 270 contrôles sur place en 2009 et vouloir en réaliser plus de 300 en 2010.Si la progression reste identique, on devrait dépasser en 2012 la barre des 600 contrôles sur place annuels.Page 24 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

Figure 9 : Nombre decontrôles sur place effectuéespar la CNIL (estimation pour2009)On voit donc que le nouvel équilibre issu de la loi du 6 août 2004 conduit à un fort accroissement du nombre decontrôles, qui s’explique de par le renforcement des effectifs de la CNIL.Rappelons que, de sa création au 1er janvier 2005, la CNIL avait prononcé soixante et un avertissements etdénoncées trente-six organismes au parquet (Rapport CNIL activité 2004).Pour l’année 2005Le rapport d’activité de la CNIL pour 2005 donne les indications suivantes :• 34 000 dossiers ont été traités par les 85 agents de la CNIL (soit 580 dossiers par agent).• 7056 saisines de la Commission :o 1760 demandes de droits d’accès indirect ;o 1462 demandes de conseil ;o 3834 plaintes avec pour motif le plus fréquent l’opposition à figurer dans un traitement.• 104 missions de contrôle (+235% par rapport à 2004) :o Dont 96 contrôles sur place.o Aucun contrôle dans le secteur de la santé n’a pu être réalisé en raison de la présenceobligatoire d’un médecin pour accéder aux données médicales individuelles (loi du 6 août2004 et décret d’application du 20 octobre 2005).• Aucune entrave aux missions de contrôle sur place de la CNIL n’a été relevée.• Deux personnes ont été convoquées pour recueillir tout renseignement utile (article 44-III de la loi du 6août 2004).• 36 mises en demeure (nouvelle compétence), dont 18 à la suite des contrôles.• 10 avertissements (secteurs de la banque et du crédit), dont trois à la suite des contrôles.Lors de huit réunions tenues en 2005, la formation restreinte a examiné cinquante dossiers, dont voici lesprincipaux griefs ;• Non-respect des conditions d’inscription dans un fichier légal d’incident de paiement.• Difficultés pour exercer un droit d’accès ou d’opposition à recevoir de la prospection commerciale.• Existence de zones « bloc-notes » illicites.• Mise en œuvre de fichiers d’infractions.• Accès à des données par des tiers non autorisés• Absence de demandes d’autorisation préalable à la mise en œuvre de fichiers.• Absence de réponse dans le cadre de demandes écrites lors d’une procédure de contrôle.Pour l’année 2006Les dix nouveaux agents qui ont rejoint cette année la CNIL ont permis d’augmenter les contrôles etl’information du public.Page 25 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

En 2006, la CNIL a reçu 3572 plaintes et effectué 150 missions de contrôle (soit + 50% par rapport à 2005), dont127 sur place (+34,73% par rapport à 2005).Il en a résulté :• 94 mises en demeure• 4 avertissements 23• 7 injonctions• 11 sanctions pécuniaires pour un total de 168 000 € 24Il est précisé que ;• 25% des 127 contrôles sur place réalisés font suite à des plaintes de particuliers ou des signalementsdéposés sur le site internet de la CNIL• 31 mises en demeure, 5 sanctions financières et 1 avertissement résultent directement de ces 127contrôlesDes cas d’entrave aux missions de contrôle sur place de la CNIL ont été observés.Figure 10 : Typologie des manquementsde fond constatés par la formationrestreinte de janvier à novembre 2006(Source : Rapport d’activité de la CNILpour 2005)En 2006, la formation restreinte s’est réunie à neuf reprises, et a engagé plus d’une centaine de procédures demise en demeure ou de sanction.Les premières sanctions financières ont été prononcées en 2006. Elles vont de 300 à 45000 euros et concernent :• quatre établissements bancaires pour non respect des règles d’inscriptions dans les fichiers de la Banquede France dont deux avertissements rendus publics ;• des entreprises opérant du démarchage publicitaire « sauvage » ;• une étude d’huissiers de justice ;• des organismes n’ayant pas répondu aux mises en demeure.Pour l’année 2007En 2007 la CNIL a effectué164 missions de contrôle, auprès de 140 organismes (certains d’entre eux ayant étévisités plusieurs fois) et 40% de ces missions ont été effectués à partir de plaintes.Dans un communiqué daté du 1er juin 2007, la CNIL indique que, depuis le début de l’année 2007, lacommission a :• Consacré plus de 30 % de ses contrôles sur place à des inspections de systèmes biométriques 25 ;• Prononcé une dizaine de mise en demeure en application de ses pouvoirs de sanction ;• Procédé à l’examen de plus de 200 dossiers de demandes d’autorisation de systèmes biométriques.23 Deux concernent des banques et ont été rendus publics. Les deux autres concernaient un opérateur télécoms et un parti politique.24 A comparer au 21 M € d’amendes et sanctions infligés par l’Agencia Espanola de Proteccion de Datos (Espagne) pour la seule année2004. https://www.agpd.es/index.php?idSeccion=10425 Dans l’article « La biométrie s’invite à la cantine » (Le Monde de l’Education, janvier 2008) le journaliste Benoît Lefloc’h est indiqueque la CNIL a « inspecté » en 2007 huit établissements scolaires. Entendu lors d’un Atelier pour les CIL, en juin 2007 : « Une vingtaine decontrôles sont en cours sur des dispositifs biométriques… pas mal de mauvaises surprises »Page 26 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

C’est en 2007 que, pour la première fois, la Commission a procédé à des contrôles à la demande d’autoritéspubliques. Ainsi, plusieurs sociétés de sécurité officiant sur l’aéroport de Nice ont été contrôlées à la demandedu procureur car il existait des doutes quant à la légalité de bases de données qu’elles avaient mis en œuvreconcernant leurs salariés. Le préfet de Seine et Marne a saisi la CNIL afin de faire contrôler le dispositif devidéosurveillance mis en place par la police municipale d’Emerainville.La Commission a prononcé 115 sanctions :• 101 mises en demeure• 5 avertissements• 9 sanctions financières pour un montant global de 175 000 euros 26 .Le 28 juin 2007, la CNIL a condamné un cabinet d’enquêtes privées à une amende de 50 000 euros en raison,notamment, d’opérations illicites de collecte de données sur des débiteurs.Pour l’année 2008Dès 15 janvier 2008, la Commission annonce la couleur en publiant sur son site Web (rubrique Echos desséances) le texte suivant : « L’année 2007 a, une fois encore, confirmé la priorité donnée par la CNIL aucontrôle a posteriori…/…L’année 2008, avec une augmentation significative des moyens consacrés par la CNILà sa politique de contrôle (4 recrutements sont prévus), confirmera sans nul doute ce nouveau moded’intervention ».Le 5 novembre 2008, lors de son audition devant le Sénat 27 , le Président de la CNIL souligne la très forteaugmentation des contrôles sur place réalisés ces dernières années : 96 en 2005, 127 en 2006, 164 en 2007et…218 en 2008. M. Alex Türk a rappelé que les moyens du service de contrôle de la CNIL seront doublésen 2008 (quinze postes seraient créés au total en 2008 pour l’ensemble de la Commission) et souligné queseulement trois ou quatre homologues de la CNIL dans le monde faisaient du contrôle. Il a indiqué que ledéveloppement de la CNIL permettrait à terme la création de huit à douze antennes interrégionaleschargées d'effectuer les contrôles.Figure 11 : Typologie des principaux secteursd’activité présentés en formation restreinte en2008.Parallèlement, le site Web de la Commission s’estenrichi en 2008 d’un espace « contrôles » danslequel sont présentés le cadre général desmissions de contrôle exécutées par laCommission, les pouvoirs de la CNIL en matièrede contrôle et les suites qui y sont apportées. Cetespace a vocation à s’enrichir des constats opéréslors de missions qui seront effectuées « afin d’informer l’ensemble des responsables de fichiers des éventuelsmanquements constatés et des améliorations qu’il convient d’y apporter ».Figure 12 : Typologie des principauxdossiers présentés en formation restreinte en2008.26 Lettre InfoCNIL du 28 avril 200827 http://www.senat.fr/bulletin/20081103/lois.htmlPage 27 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

Pour l’année 2009Dans l’article « Au programme 2010 : 300 contrôles proches des préoccupations quotidiennes » qu’elle a mis enligne le 17 mars 2010 la CNIL indique avoir réalisé 270 contrôles sur l’année en cours.On retiendra comme point saillant la vague de contrôles sur pièces sur le périmètre Ressources Humaines et latrentaine de contrôles sur place réalisées auprès des entités ayant mis en place un dispositif d’alerteprofessionnelle (cette information avait été signalée aux Membres AFCDP dans sa lettre d’actualités).Pour l’année 2010Dans l’article « Au programme 2010 : 300 contrôles proches des préoccupations quotidiennes » posté par laCommission sur son site Web, il est indiqué« Concernant le programme 2010, la Commission s'est fixée comme objectif d'effectuer plus de 300 contrôles aucours de l'année 2010. Ceux-ci devront être effectués sur l'ensemble du territoire national afin de garantir lesdroits de nos concitoyens, quel que soit le lieu où ils résident.Ces 300 contrôles se répartissent de la façon suivante :• 50% consacrés à la réalisation du programme annuel ;• 25 % effectués dans le cadre de l'instruction de plaintes ;• 15 % effectués dans le cadre de suites de décisions adoptées par la formation contentieuse (vérificationdu respect des mises en demeure ou des décisions de sanction) ;• 10% des contrôles réservés à des initiatives en lien avec l'actualité ».4. Et chez nos voisins ?Actuellement seuls dix pays européens (sur 27), dont la France, effectuent un contrôle sur le terrain. Nous noussommes penchés sur quatre d’entre eux : l’Espagne, La Grande-Bretagne, la Pologne et l’Allemagne.Quelles sont les pratiques en matière de contrôle en Italie, en Belgique, aux Pays-Bas ?Merci de vos contributions, par email à charge-mission@afcdp.netL’Espagne met l’accent sur la répressionL’AGPD (Agencia Espanola de Proteccion de Datos 28 ) a visiblement choisi de mettre l’accent sur la répression :Bien que comptant quinze millions d’habitants de moins que la France, l’autorité de contrôle effectue trois foisplus de contrôle.L’AGDP est passé ces dernières années d’un total de sanctions financières de l’ordre de onze millions d’euros àplus de vingt millions d’euros, au point que les sociétés espagnoles prévoient une ligne spécifique dans leurbudget prévisionnel, au cas où....Précisons que ces amendes abondent le budget de l’AGPD, ce qui peut expliquer une partie de ce zèle. Lessecteurs les plus sanctionnés sont l’internet, la téléphonie, la solvabilité patrimoniale, le crédit et la santé.A la différence de la CNIL, l’AGPD publie l’intégralité de ses décisions de sanction 29 .Les membres AFCDP qui ont assisté l’an dernier à la 31 ème Conférence internationale des Commissaires à laprotection de la vie privée qui s’est déroulée à Madrid ont eu la surprise de découvrir dans la presse que28 www.agpd.es29 Pour l’année 2009 : https://www.agpd.es/portalweb/resoluciones/procedimientos_sancionadores/ps_2009/index-ides-idphp.phpPage 28 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

l’opérateur Telefonica venait de se voir infliger 600.000 € d’amende. On découvre ainsi en ligne une longue listede sanctions, dont une ayant frappé France Telecom España pour un total supérieur à 300.000 € 30 .La loi espagnole prévoit le montant des amendes en fonction de la gravité des infractions :• Infractions légères : 601 à 60.101 €.• Infractions graves : 60.101 à 300.506 €.• Infractions très graves : 300.506 à 601.012 €.Voici quelques chiffres concernant l’activité répressive de l’AGPD ces dernières années :En 2005 31 : 21 M € d’amendes• 1158 « actions préalables de recherche » entamées (l’équivalent des contrôles effectués par la CNIL) ;• 387 procédures de sanction pour le secteur privé ;• 52 procédures de déclaration d’infractions dans le secteur public.En 2006 : 24,4 M € d'amende• 1282 actions préalables de recherche ;• 307 procédures de sanction terminées de l’AGPD ;• 56 % des réclamations et 46 % des procédures de sanction concernent les secteurs destélécommunications et financier.En 2007, 19,6 M € d'amende pour 399 sanctions.Grande-Bretagne : des sanctions financières d’un montant multiplié…par1000 !L’ICO (Information Commissioner’s Office 32 ), l’Autorité de contrôle Britannique fait respecter le DataProtection Act (DPA), le Freedom of Information Act (FIA), les Environmental Information Regulations (EIR) etles Privacy and Electronic Communications Regulations (PECR). Ses principales fonctions consistent à éduqueret à influencer, à résoudre les problèmes et à faire appliquer la loi : « Nous avons recours à des sanctions légalescontre ceux qui ignorent ou refusent d’accepter leurs obligations ».L’ICO mène des états des lieux (« assessment ») que l’on ne peut assimiler à des contrôles au sens français, toutélément de surprise étant soigneusement éliminé : « We work with organisations in a spirit of co-operationincluding agreeing the time, place and scope of any assessment ». Ces assessements sont réalisés le plus souventpar trois auditeurs de l’ICO qui restent sur place trois ou quatre jours et interviewent de douze à trentecollaborateurs. Cette faculté, l’ICO ne la détient que sur le secteur public.L’autorité britannique n’a pas (encore) le pouvoir de contrôle sur place dont est doté la CNIL, mais le demandeavec vigueur 33 dans les cas où une non-conformité présente un risque pour les personnes où concerne un grandnombre de données personnelles : « The Commissioner is seeking a new inspection power based…/… TheCommissioner may inspect any personal data recorded in any information system which he has reason to believeis used or intended to be used for the processing of personal data…/… The power includes power to inspect,operate and test equipment which is used for the processing of personal data and power to examine policies,procedures and records relating to the processing of personal data ».Elle demande naturellement que son éventuel pouvoir de contrôle lui permette d’auditer les acteurs du secteurprivé et l’on relève dans l’adresse de Christopher Graham, Information Commissioner, à la Chambre des Lords 34une phrase au charme typiquement britannique : « The level of risk that arises in the private sector should not beunderestimated ».30 Faire une recherche avec le mot « sanciones » sur le site Web de l’autorité.31 https://www.agpd.es/index.php?idSeccion=10432 www.ico.gov.uk33 http://www.ico.gov.uk/upload/documents/library/corporate/detailed_specialist_guides/data_protection_powers_penalties_v1_dec07.pdf34http://www.ico.gov.uk/upload/documents/library/data_protection/detailed_specialist_guides/ico_commentary_on_lords_govt_amendment_130709.pdfPage 29 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

Dans ce projet on note que l’ICO devrait faire part de son intention par courrier avant de procéder au contrôle etenvisage tout au plus une centaine de contrôles par an.L’ICO serait-elle entendue ? Une part de ses demandes vient d’être satisfaite : elle peut désormais infliger dessanctions financières de 500.000 Livres (au lieu de …500). Ces nouveaux pouvoirs 35 seront effectifs à compterdu 6 avril 2010.l’Autorité de contrôle Britannique est réputée pour le choix affiché de l’utilisation du levier « communication » :nous avons à plusieurs fois signalé dans la lettre d’informations AFCDP de savoureuse vidéo dont il est possiblede se faire adresser un CD Rom. Elle ne l’est pas pour sa sévérité. A titre d’exemple, d’avril 2005 à mars 2006l’ICO n’a prononcé que quinze amendes, allant chacune de 300 à 5000 £.Par contre, comme son homologue espagnole, l'ICO publie systématiquement ses décisions de sanction.En voici quelques exemples :« A formal undertaking has been signed by Brent Teaching Primary Care Trust. This follows the theft of twounencrypted laptop computers containing the personal data of 389 of the Trust's patients.An Enforcement Notice was issued to Mr Ian Kerr trading as The Consulting Association. This follows an ICOinvestigation that uncovered a database held by The Consulting Association containing personal details on3,213 construction workers. The details were used covertly by over 40 construction companies to vet individualsfor employment.An enforcement notice was issued against Camden Primary Care Trust following a breach of the DataProtection Act. Computers containing 2,500 individuals' names, addresses and medical diagnoses were leftbeside a skip inside the grounds of St. Pancras Hospital in August 2008.Since February the ICO has successfully prosecuted three London law firms for offences of failing to notifyunder the Data Protection Act : Mr Michael Robinson, a sole practitioner of a London law firm, was fined £250and ordered to pay costs of £200 plus a victims' surcharge of £15, a total of £465. Additionally, Robert Logan,Managing Director of Clear Debt Solutions Ltd, pleaded guilty to 13 specimen charges at Manchester CityMagistrates' Court. He was fined a total of £5,200 and ordered to pay £1074.53 costs for sending unsoliciteddirect marketing faxes in breach of an enforcement notice ».En choisissant « Data Protection Act 1998 » dans le champ Jurisdictional area, ces décisions notices sontlibrement accessibles sur la page http://www.informationtribunal.gov.uk/Public/searchresults.aspxDes entreprises françaises épinglées en PologneSur le site Web du Biuro Geneeralnego Inspektora (www.giodo.gov.pl) apparaissent quelques noms de filiales desociétés françaises apparaissent parmi les sociétés contrôlées :• En 2002 : Euro RSCG Marketing House, Accord Polska, Société Générale, Canal + Cyfrowy, EuroRSCG Dialog, Eurodirect, UPC Telewizja Kablowa, Cetelem Polska Expansion ;• En 2003 : Renault Ofion, Peugeot France Automobiles, Cetelem Polska Expansion, Canal + Cyfrowy,Dorotech PL ;• En 2004 : Géant Kredyt Polska, AXA Assistance Polska ;• En 2005 : Carrefour Polska, Auchan Polska, Accord Finance, Sygma Banque SA.Le groupe de travail AFCDP, par défaut de maitrise des langues de l’Est de l’Europe, n’a pas réussi pour l’heureà évaluer la politique de contrôle des « nouveaux entrants » dans l’Union européenne. Peut-on leur confier sansrisque des travaux de sous-traitance ? Les autorités locales ont-elles une stricte politique de contrôle ? Toutecontribution sur ce sujet est la bienvenue.35 http://www.ico.gov.uk/upload/documents/library/data_protection/detailed_specialist_guides/ico_guidance_monetary_penalties.pdfPage 30 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

Ebranlée par les scandales, l’Allemagne est en train de bougerJusqu’alors, les multiples autorités de contrôles allemandes étaient réputées pour le faible nombre de sanctionsqu’elles infligent. Cependant l’une d’entre elles a facturé en 2007 sa mission à une entreprise contrôlée (etsanctionnée à l’issue de ce contrôle), au tarif de cent euros de l’heure. La société, qui avait porté l’affaire enjustice, a été déboutée, le juge expliquant que si l’entreprise avait été en conformité, elle n’aurait pas eu àsupporter cette charge additionnelle 36 .D’après l’étude publiée fin 2009 par le cabinet Xamit Consulting 37 , l’écart théorique qui séparerait deuxcontrôles effectués au sein d’une entreprise allemande par l’une des autorités de contrôle serait de 39.400 ans.Visiblement nos voisins – s’ils disposent d’un délégué à la protection des données à caractère personnel quasiobligatoire depuis plus de trente ans – ne disposent que de la moitié de la « pince », une politique volontariste decontrôle leur faisant défaut. Le directeur général du cabinet commente ainsi les résultats : « Le manque decontrôle en Allemagne favorisent les entreprises qui violent systématiquement la loi sur la protection desdonnées personnelles, ce qui crée une distorsion de concurrence vis-à-vis des sociétés qui font des efforts pourêtre en conformité ».Mais un changement s’annonce peut-être : le 29 janvier 2010 l’autorité fédérale a publié un communiqué depresse 38 dans lequel elle annonce avoir sanctionné six infractions portant sur du démarchage téléphonique, ce quiporte le total de ses procédures à neuf, uniquement pour la période couvrant décembre 2009 et janvier 1010 ! Letotal cumulé des sanctions pécuniaires prononcées pour ces seuls deux mois est de 500 000 €.On notera que, dans la nouvelle loi promulguée en Allemagne le 1er septembre 2009, les sanctions ne sont pasplafonnées si un avantage concurrentiel a été retire de la non-conformité. Le 23 octobre 2009 la Deutsche Bahn aannoncé qu’elle avait décidé de payer l’amende de 1 100 000 € qui lui a été infligé le 16 octobre 2009 parl’autorité de contrôle berlinoise 39 . Cette amende constitue le record actuel.5. Les préliminaires : avant le contrôle sur placeLe groupe de travail a retenu comme sa convention la définition suivante dans le présent document : le contrôlesur place commence quand les agents de la CNIL se présentent à l’accueil (du site contrôlé). L’ « avantamont» correspond donc aux phases préalables.D’une façon générale – et partant de la constatation que le contrôle sur place est l’aboutissement d’un cycle –nous considérons qu’il est peu normal qu’une telle procédure (à l’exception des missions décidées dans le cadredu programme de contrôle annuel) intervienne dans une entité dotée d’un CIL, cette procédure de contrôle étantprécédée, la plupart du temps, par des demandes émanant de la cellule « Plaintes » de la CNIL. Outre le faitqu’un organisme qui s’est doté d’un Correspondant se doit de mettre tout en œuvre pour respecter sesobligations, la présence du CIL doit permettre de répondre à la quasi-totalité des cas litigieux dès le stade de lademande de renseignements et d’explications par la CNIL. Le CIL doit veiller à ce stade au respect du délai deréponse, et à la pertinence, la qualité, et l’exhaustivité de cette réponse.Au sein de la CNIL, il y a systématiquement une phase de préparation en interne. La présence d'un Commissairelors d'un contrôle est peu fréquente mais ceux-ci sont systématiquement informés des procédures en cours et ontla possibilité d'y participer s'ils le souhaitent.Sommes-nous avertis par la CNIL ?Jusqu’à la décision du Conseil d’Etat qui a décidé d’annuler le 6 novembre 2009 deux décisions de sanctionsprononcées par la CNIL à l’encontre de sociétés effectuant de la prospection commerciale par téléphone, il étaitestimé que la CNIL n’avait pas l’obligation d’informer de sa venue. Le Conseil d’Etat a considéré que, « enraison de l’ampleur des pouvoirs » de contrôle de la CNIL, « cette ingérence » n’est proportionnée que si elle a36 Source : CIL en Allemagne ou en France, même combat ? Témoignage d’un Externer Datenschutzbeauftragter - Richard BERTRAND -CIL et Datenschutzbeauftragter, Université AFCDP du 7 février 2008)37 Privacy Barometer 2009, http://www.xamit-leistungen.de/downloads/XamitPrivacyBarometer2009Abstract.pdf38 http://www.bundesnetzagentur.de/media/archive/18111.pdf39 De 2002 à 2005 l’opérateur ferroviaire avait surveillé un grand nombre de ses salaries dans le cadre de sa lutte contre les fraudes, maissans en les avertir. Un dossier similaire est en cours d’instruction concernant Airbus.Page 31 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

été « préalablement autorisée par un juge » ou si la personne responsable des lieux « a été préalablementinformée de son droit de s’opposer » au contrôle. Cette information préalable n’ayant pas été réalisée, le Conseild’état a annulé ces deux décisions de sanction prises par la CNIL. Celle-ci a pris acte de cette décision et procèdedorénavant systématiquement à l’information des personnes faisant l’objet d’un contrôle sur place de l’ensembledes éléments prévus à l’article 44 de la loi et notamment de leur droit à s’opposer à ce contrôle.La CNIL peut informer l’entité qu’elle va visiter ;• dans les dix jours qui précèdent le contrôle, par courrier, télécopie ou téléphone ;• la veille du contrôle par télécopie adressée jusqu’à 19h00 sur le lieu du contrôle (ou tout lieu qu’ellepense être adéquat) ;• le matin même du contrôle.Elle peut également prendre l’initiative de prévenir le CIL, si elle le souhaite. En 2008 et 2009, deux CILMembres AFCDP ont été prévenus par la CNIL deux jours avant de subir un contrôle sur place (secteur Santé etsecteur Industrie). Est-ce en passe de devenir systématique ? C’est ce qui est indiqué lors des Ateliers « Lesmodalités d’instruction d’une plainte ». Toutefois il est raisonnable de penser que la Commission ne préviendrapas le CIL si elle estime qu’il existe un risque de destruction d’éléments de preuve. C’est ce qu’indiquait ladirectrice des relations avec les usagers dans un article paru en janvier 2010 dans le journal Le Monde : « Quandon sent qu'il y a risque de destruction de preuves, on envoie le service des contrôles ».Dans le cas où elle prévient, la CNIL peut demander que des documents soient préparés (cf. Chapitre « 10 »).Dans le cas particulier de la notification préalable (article 62 du Règlement Intérieur de la CNIL), la Commissionpeut demander par courrier• à disposer avant sa visite d’informations sur l’architecture informatique ;• la mise à disposition des personnels habilités à accéder aux applications ;• l’accès aux systèmes le jour de la visite ;• la présence d’experts (médecin, par exemple).Que peut faire le CIL en amont ?Dans le cas où l’entité contrôlée n’est pas avertie de la visite sur site, les points à considérer et à traiter sont lessuivants ;• Comment préparer l’entité à de tels contrôles ? Qui doit-on préparer ? De quelle façon ? Qui doit s’encharger ? Comment préparer les opérationnels à un tel contrôle ?• L’entité doit-elle constituer une cellule de crise ? Qui en ferait partie ? Quel en serait le rôle ? Quelserait son fonctionnement ? Doit-on prévoir une astreinte ?• L’entité peut-elle réduire les risques d’avoir à subir de tels contrôles ?o Si oui, quelles mesures prendre pour diminuer les risques 40 ?o Aurions nous pu prévoir ce contrôle ? (cf. l’étude du cas Tyco Healthcare France : cette sociétén’a apporté aucune suite satisfaisante aux demandes de la Commission réitérées par courrier enseptembre 2005 et mars 2006, avant de subir un contrôle sur place en juillet 2006). Oninsistera à nouveau sur l‘impérieuse nécessité de définir une procédure de gestion des courriersCNIL afin de garantir une réponse satisfaisante et rapide aux demandes formulées par laCommission.o Aurions-nous dû détecter des signes avant-coureurs ? Un article de presse révélant uneinfraction, et à partir duquel la Commission peut s’autosaisir ? Des plaintes ? De la partd’associations de consommateurs ? De la part d’autorités de contrôle européennes ? Dessignalisations de conflits de la part de nos filiales ? Des dossiers transmis par l’associationSignal Spam ?• Quelle est l’origine de ce contrôle ? Sa genèse ? (« Pourquoi sommes-nous contrôlés ? »)40 Le présent document ne considère pas ici toutes les mesures prises au quotidien par l’entité, conseillée par son CorrespondantInformatique & Libertés, pour veiller au respect de la loi ; déclaration des traitements, respect de la finalité et des durées de conservation,respect des droits des personnes concernées, etc. L’on considère ici les mesures complémentaires et spécifiques à l’évènement « contrôle »..Page 32 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

On voit donc que le Responsable de traitement, avec les conseils du CIL doit produire plusieurs procédures, dontune dite de « mobilisation » de l’équipe pluridisciplinaire qui interviendra lors du contrôle.Il appartient au Correspondant de valider ces points, à commencer par la procédure de gestion des courriersémanant de la CNIL, afin de garantir une réponse satisfaisante et rapide aux demandes formulées par laCommission.Le CIL peut également• se rapprocher de la Direction marketing pour avoir connaissance des opérations de type emailing,• prendre contact avec l’entité qui gère les relations clientèle, le service contentieux, le service qualité, lemédiateur, etc. 41• se rapprocher des responsables Ressources humaines en charge des relations avec les IRP.Le CIL peut également développer une politique de « contrôle interne » : on peut imaginer des simulations 42 oudes opérations analogues aux « exercices incendie », menées avec l’accord du Responsable du traitement, lorsdesquels le CIL joue le rôle d’un agent de la CNIL procédant à un contrôle sur place 43 . Ces opérations (résultats,problèmes rencontrés, améliorations proposées, améliorations apportées, etc.) peuvent figurer dans le bilanannuel du CIL. Il peut également faire appel à des organismes tiers pour réaliser ces audits.Le CIL conseillera également au Responsable du traitement de réfléchir au préalable sur les éventuellespossibilités d’opposer une forme quelconque de secret à la mission de contrôle, pour éviter d’en abuser (cf.module « Le secret professionnel »).Le CIL doit également prévoir son absence (congés, déplacements, maladie, etc.) : un collaborateur serapréalablement désigné pour y pallier et les procédures et documents (registre des traitements, architecture desapplications, charte et consignes de sécurité, etc.) doivent donc être facilement accessibles.Les agents de la CNIL peuvent procéder par entretien et demander à interroger des employés. Enconséquence, le CIL aidera à identifier à l’avance les personnes susceptibles d’être interrogées lors d’un contrôle(tout collaborateur ayant accès sous quelque forme que ce soit au traitement cible du contrôle, ou ayant participéà la collecte des données, ayant accès aux données, ayant accès aux archives, participant à l’exploitation dutraitement, participant à sa maintenance, participant à la sécurité du réseau, etc.).Le CIL sensibilisera/formera ces personnels en conséquence ;• à demander à ce que cet entretien se fasse en présence du CIL, de son représentant local ou d’unmembre du personnel local d’encadrement ;• à recourir à la reformulation en cas de doute sur le sens de la question. ;• écouter l’intégralité de la question et ne répondre (strictement) qu’à la question posée ;• à répondre « je ne sais pas » plutôt que de fournir une réponse imprécise ou erronée,• à prendre note de l’intégralité de l’entretien (questions et réponses) dès la fin de celui-ci (pour apport aucompte-rendu)• à ne pas faire de propositions de recherche ou de tests supplémentaires : s’en tenir strictement àl’exécution des demandes des contrôleurs.Ne pas oublier que les agents de la CNIL ont également préparé leur intervention. Ils peuvent avoir ;• consulté les sites Internet et déjà collecté de nombreuses informations ;• questionné un sous-traitant sur ses processus de travail et les engagements qui le lient à l’entitécontrôlée.41 Un délégué à la protection des données audité par le groupe de travail a relaté un contrôle effectué dans son entreprise suite à plainted’un client qui était régulièrement prospecté par téléphone, malgré ses demandes réitérées de ne plus être démarché, demandes appuyées decourriers. Suite au contrôle, le délégué découvrira ces courriers en attente de traitement au sein du service contentieux...42 C’est l’un des exercices auquel sont soumis les étudiants du Mastère Spécialisé « Informatique et Libertés » de l’ISEP : ils jouentalternativement le rôle des contrôlés et des agents contrôleurs.43 A manipuler cependant avec grande précaution et attendre sans doute que la culture Informatique et Libertés ait commencé à imprégnerl’entité. Peut-être suffit-il tout simplement au CIL, dans un premier temps, d’aller s’entretenir tête à tête avec les personnes directementconcernées pour vérifier qu’elles ont au moins intégré les consignes ?Page 33 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

Il est donc important de fournir des informations précises et fiables.6. Les agents habilités se présentent à votre accueil…Un organisme qui voit se présenter des agents de la CNIL dans le cadre d’une mission de contrôle sur place doitfaciliter la tâche des représentants de la Commission : la priorité est de leur permettre l’accès aux locaux tout ens’assurant qu’il s’agit bien de représentants de la CNIL et en respectant les procédures de contrôle internes.Il convient de concevoir une procédure de vérification de l’identité et des habilitations des membres d’unemission de la CNIL.Doivent être disjoints :• le contrôle de l’identité qui va permettre un accès aux locaux et• le contrôle de la lettre de mission.Le personnel d’accueil s’assure que les visiteurs qui souhaitent pénétrer dans les locaux sont bien ceux qu’ilsprétendent être et qu’ils figurent sur la lettre de mission. La présentation de leur carte professionnelle, d’unepièce d’identité et de la lettre de mission devrait permettre de remplir cette tâche et de s’assurer qu’il ne s’agitpas de personnes se faisant passer pour des représentants de la CNIL.En janvier 2008, le site Web de la CNIL a été enrichi d’une rubrique « Contrôle », qui comporte également laliste des agents habilités 44 .Les personnels d’accueil ne devraient pas être chargés de s’assurer de la validité de la lettre de mission.Le responsable désigné dans la procédure mise à disposition du personnel d’accueil sera chargé de ce contrôle (leresponsable des lieux ou, le plus souvent, le directeur juridique).Avec une procédure simple et quelques interlocuteurs correctement identifiés, le personnel d’accueil peut parer àtoutes les situations même celles qui pourraient être source de difficultés, en passant notamment la main au CILen cas de problème.Les difficultés qui pourraient se présenter à ce stade peuvent être liées :• à l’absence des personnes désignées ;• au refus des agents de la CNIL de se soumettre en tout ou partie aux contrôles propres à chaqueétablissement, ce qui pourrait aboutir à leur refuser l’accès aux locaux.Il existe en fait trois types d’habilitation (aucune indication sur la carte présentée par l’agent) :• Classique : Pour les agents de la CNIL habilités à procéder à des visites ou des vérifications (contrôles)« normales ». Elles sont délivrées par le Président de la CNIL, en séance plénière.• Police-Justice : Pour certains agents de la CNIL, habilités à effectuer les visites ou les vérificationsportant sur les traitements relevant de l'article 26 de la loi n° 78-17 du 6 janvier 1978. Délivrées pardécision du Premier ministre, sur proposition du Président de la CNIL.• Secret Défense : Pour certains agents, habilités à contrôler des fichiers « secret défense ».6.1. Le Conseil d’Etat annule deux sanctions de la CNILLe 6 novembre 2009, le Conseil d’Etat a annulé deux sanctions prononcées par la CNIL à l’encontre desociétés effectuant de la prospection commerciale par téléphone. Ces sanctions étaient fondées sur des constatsopérés lors de contrôles sur place que le Conseil d’Etat a jugé irréguliers.Extrait de l’une des décisions : « Considérant qu’il n’est pas contesté que les responsables des locaux ayant faitl’objet des contrôles sur place qui ont permis aux membres de la Commission nationale de l’informatique et deslibertés de constater les manquements sanctionnés par la délibération attaquée n’ont pas été informés de leurdroit de s’opposer à ces visites ; qu’à cet égard la seule mention que le contrôle était effectué en application del’article 44 de la loi du 6 janvier 1978 modifiée ne saurait tenir lieu de l’information requise ; que, par suite, lasociété est fondée à soutenir que la sanction qui lui a été infligée, dès lors qu’elle reposait sur les faits constatés44 http://www.cnil.fr/vos-responsabilites/les-controles-de-a-a-z/Page 34 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

lors des contrôles effectués, a été prise au terme d’une procédure irrégulière et qu’elle doit pour ce motif êtreannulée ».Dans un communiqué publié le 2 décembre 2009, la Commission précise que ces décisions ne modifient ni lespouvoirs qu’elle possède dans le cadre de ses contrôles ni la politique qu’elle mène : « les contrôles sur placedemeurent une priorité au service des citoyens et du respect de la vie privée ».Les faits : La CNIL avait prononcé, le 14 décembre 2006, deux sanctions financières à l’encontre de deuxsociétés qui commercialisent des fenêtres en ayant recours à de la prospection téléphonique (30.000 € chacune).Lors de ses contrôles, la CNIL avait constaté que le droit des personnes à s’opposer à être démarchéestéléphoniquement, donc leur droit à la tranquillité, n’était pas pris en compte de manière satisfaisante.Dans sa décision du 6 novembre 2009, le Conseil d’Etat, assimilant les locaux d’entreprise au domicile privé, aconsidéré que, « en raison de l’ampleur des pouvoirs » de contrôle de la CNIL, « cette ingérence » n’estproportionnée que si elle a été « préalablement autorisée par un juge » ou si la personne responsable des lieux« a été préalablement informée de son droit de s’opposer » au contrôle. Cette information préalable n’ayant pasété réalisée, le Conseil d’état a annulé ces deux sanctions de la CNIL.La CNIL a pris acte de ces décisions et a depuis modifié ses pratiques de contrôle afin de se conformer auxexigences du Juge. Elle procède dorénavant systématiquement à l’information des personnes faisant l’objet d’uncontrôle sur place de l’ensemble des éléments prévus à l’article 44 de la loi et notamment :• de leur droit à s’opposer à ce contrôle ;• dans cette hypothèse, de la possibilité pour le président de la CNIL de saisir le président du tribunal degrande instance compétent afin que celui-ci autorise, par ordonnance, la mission de contrôle, y comprisen faisant appel à la force publique 45 . Le refus du responsable oblige alors la CNIL à faire son contrôlesous la responsabilité de l'autorité judiciaire.En pratique, la CNIL doit se ménager une preuve de la délivrance de cette information, sous peine de voir saprocédure entachée d'irrégularités.Enfin la CNIL a saisi le Premier Ministre et la Chancellerie afin d’envisager une modification de la loi. Celle-cipourrait consister à lui donner la possibilité de se faire délivrer une autorisation du juge judiciaire préalablementà tout contrôle. La Commission précise dans son communiqué que « L’effet de surprise pourrait ainsi êtreconservé, ce qui est très important en matière de fichiers informatiques où les preuves sont fragiles carfacilement effaçables ».6.2. La proposition de loi Détraigne-EscoffierLe 6 novembre 2009, les Sénateurs Yves Détraigne (UC, Marne) et Anne-Marie Escoffier (RDSE, Aveyron) ontdéposé une proposition de loi 46 « visant à mieux garantir le droit à la vie privée à l’heure du numérique ». Cetteproposition modifierait la loi dite « Informatique et Libertés ».Ce texte introduit plusieurs mesures très importantes, dont le CIL obligatoire (article 3), la notification des faillesde sécurité (article 7), le renforcement des obligations du Responsable de traitement, (articles 6 et 8) et lerenforcement du pouvoir de sanction de la CNIL (articles 11 à 13).Concernant plus particulièrement le sujet qui nous intéresse dans le cadre de cedocument, signalons la reformulation de l’article 9bis (nouveau) adopté enCommission des lois le 24 février 2010, avant son passage en première lecture auSénat le 23 mars 2010.Figure 13 : Le Sénateur Yves Détraigne nous avait fait l’honneur, enseptembre 2009, d’intervenir lors de l’un de nos débats, surl’Anonymisation.45 La CNIL a réaffirmé à cette occasion « son intention de saisir systématiquement l’autorité judiciaire en cas d’opposition afin depermettre la vérification de la conformité des fichiers à la loi ».46 www.senat.fr/rap/l09-330/l09-330.htmlPage 35 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

Si ce texte était promulgué, les dispositions des I et II de l’article 44 de la loi n° 78-17 du 6 janvier 1978 précitéeseraient remplacées par quatre alinéas ainsi rédigés :« I. — Les membres de la Commission nationale de l'informatique et des libertés ainsi que les agents de sesservices habilités dans les conditions définies au dernier alinéa de l'article 19 ont accès, de 6 heures à 21heures, pour l'exercice de leurs missions, aux lieux, locaux, enceintes, installations ou établissements servant àla mise en œuvre d'un traitement de données à caractère personnel et qui sont à usage professionnel, àl’exclusion des parties de ceux-ci affectés au domicile privé.II. — Lorsque l'urgence, la gravité des faits justifiant le contrôle ou le risque de destruction ou de dissimulationde documents l'exigent, la visite est préalablement autorisée par le juge des libertés et de la détention dutribunal de grande instance dans le ressort duquel sont situés les locaux à visiter. Dans les autres cas, leresponsable des lieux peut s'opposer à la visite, qui ne peut alors se dérouler qu'avec l'autorisation du juge deslibertés et de la détention. Celui-ci statue dans des conditions fixées par décret en Conseil d’État.La visite s'effectue sous l'autorité et le contrôle du juge qui l'a autorisée, en présence de l'occupant des lieux oude son représentant, qui peut se faire assister d'un conseil de son choix ou, à défaut, en présence de deuxtémoins qui ne sont pas placés sous l’autorité des personnes chargées de procéder au contrôle. Le juge peut, s'ill'estime utile, se rendre dans les locaux pendant l'intervention. A tout moment, il peut décider la suspension oul'arrêt de la visite.L'ordonnance ayant autorisé la visite est exécutoire au seul vu de la minute. Elle mentionne que le juge ayantautorisé la visite peut être saisi à tout moment d'une demande de suspension ou d'arrêt de cette visite et précisequ'une telle demande n'est pas suspensive. Elle indique le délai et la voie de recours. Elle peut faire l'objet,suivant les règles prévues par le code de procédure civile, d'un appel devant le premier président de la courd'appel. »Voici les commentaires qui accompagnent cette proposition :« Article 9 bis (nouveau) (art. 44 de la loi « informatique et libertés ») - Contrôles inopinés de la CNILA l'initiative du Gouvernement (Notre collègue M. Alex Türk a présenté un amendement similaire qui a été retiréau profit de celui du Gouvernement qui prévoyait un régime juridique plus complet.), votre commission a adoptéun article 9 bis afin de donner à la CNIL la possibilité de demander au juge des libertés et de la détentionl'autorisation préalable d'effectuer une visite inopinée « lorsque l'urgence, la gravité des faits justifiant lecontrôle ou le risque de destruction ou de dissimulation de documents l'exigent ».En effet, tel qu'il est actuellement rédigé, l'article 44 de la loi « informatique et libertés » dispose que leresponsable des lieux peut s'opposer à une visite de la Commission. Dans ce cas, la visite ne peut se déroulerqu'avec l'autorisation d'un président du tribunal de grande instance territorialement compétent ou du jugedélégué par lui. Ce magistrat est saisi à la requête du Président de la Commission.Le Conseil d'Etat a d'ailleurs récemment conforté ce principe en estimant, sur le fondement de l'article 8 de laConvention européenne des droits de l'homme relatif à l'inviolabilité du domicile, que les responsables deslocaux dans lesquels se déroule un contrôle de la CNIL doivent même être « informés de leur droit à s'opposer àces visites » (arrêt du 6 novembre 2009 du Conseil d'Etat, Société Inter Confort, req. N° 304300).Or, ce droit d'opposition est de nature à restreindre considérablement la portée et l'efficacité des contrôles de laCNIL puisque l'organisme contrôlé pourra bénéficier du temps nécessaire à l'obtention d'une ordonnancejudiciaire pour effacer - ou dissimuler - des données informatiques qui seraient contraires à la loi.En permettant au juge des libertés et de la détention, gardien des libertés individuelles, d'autoriser la CNIL àeffectuer un contrôle inopiné, l'amendement renforce l'efficacité de la CNIL dans sa mission de contrôle sansporter atteinte aux droits du responsable des lieux visités. En effet, conformément à l'article 44 précité, la visites'effectue sous l'autorité et le contrôle du juge qui l'a autorisée et celui-ci peut décider l'arrêt ou la suspensionde la visite à tout moment ».Page 36 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

Le 23 mars 2010 la « petite loi » a été votée sans vote contraire au Sénat. Les sénateurs ont modifié le deuxièmechapitre : « Le responsable des lieux est informé de son droit d’opposition à la visite. Lorsqu’il exerce ce droit,la visite ne peut se dérouler qu’après l’autorisation du juge des libertés et de la détention. Celui-ci statue dansdes conditions fixées par décret en Conseil d’État. Toutefois, par dérogation au I, lorsque l’urgence, la gravitédes faits justifiant le contrôle ou le risque de destruction ou de dissimulation de documents l’exigent, la visite estpréalablement autorisée par le juge des libertés et de la détention du tribunal de grande instance dans le ressortduquel sont situés les locaux à visiter ».6.3. A quoi ressemble un agent contrôleur ?Les contrôles sur place sont assurés a minima par deux agents habilités de la Commission.Mais qui sont-ils ? Voici à quoi ressemble une fiche de poste d’un agent contrôleur de la CNIL de profil« technique » (source : Offre publiée sur le site Web de la Cnil en mai 2007) :Description du poste : Au sein de la Direction de l’expertise informatique et des contrôles, le service descontrôles prépare et procède aux contrôles ordonnés par la CNIL. Il participe également aux autres missions dela Direction. Sous la responsabilité du chef de service, le contrôleur analyse et évalue des systèmesd’information et en détecte les éventuels dysfonctionnements au regard de l’application des principes et règlesde la loi informatique et libertés.Principales missions :• Proposer, organiser et participer à des missions de contrôle de systèmes d’information• Analyser les systèmes d’information et les fichiers mis en œuvre, en détecter les anomalies,• Etablir les éléments de preuve d’une éventuelle infraction aux dispositions de la loi « informatique etlibertés»• Rédiger un compte-rendu des missions de contrôle qui, le cas échéant, sera transmis à la formationrestreinte de la CNIL ayant compétence pour prononcer des sanctions administratives• Participer à des réunions ou à des contrôles en France ou à l’étranger organisés par d’autresorganismes.• Assurer une veille technologique des outils permettant d’accroître l’efficacité des missions de contrôleFormation et expérience requises :• Formation supérieure en informatique et expérience confirmée dans le secteur.• Pratique de la collecte des preuves et des investigations• Bonne connaissance technique des bases de données, des systèmes d’exploitation, des réseaux etd’internet.Qualités professionnelles et personnelles :• Aptitude à l’analyse comportementale, résistance au stress et maîtrise de soi.• Esprit d’investigation et aptitude à la recherche des preuves.• Curiosité et intérêt pour les développements technologiques.• Esprit de synthèse et capacités rédactionnelles.• Organisation et méthode.• Disponibilité et souplesse horaire sont requises pour répondre aux exigences liées à l’exécution desmissions de contrôle et des nombreux déplacements à Paris et en Province qu’elles peuvent entraîner.Statut et candidature :• Agent contractuel de l’état. CDD de 1 an pouvant déboucher sur un CDI.• Poste pourvu par un candidat externe ou par voie de détachement sur un poste non statutaire.• Sélection sur dossier, entretiens et jury.• Rémunération selon profil (40 à 50 K€ brut)Page 37 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

6.4. L’importance de l’accueilIl n’est qu’une occasion de faire une bonne « première impression »… les auditions ont montré que certainesvisites étaient parties sur de fort mauvaises bases, suite à un accueil que les agents habilités avaient peu goûté.Il peut être utile que les personnels d’accueil aient été sensibilisés aux procédures des missions de contrôle de laCNIL.Il est nécessaire que la liste des interlocuteurs concernés en cas de visite de la CNIL ait été pré établie et que lepersonnel d’accueil soit en possession de la fonction et des coordonnées de ces interlocuteurs et de la méthodequi est privilégiée pour les joindre.A l’arrivée des agents de la CNIL, le personnel d’accueil se trouve face à des personnes étrangères à l’entreprisequi se présentent en tant qu’agents de la CNIL et demandent à pénétrer sur le site, le plus souvent sans y êtreattendus, afin d’effectuer des vérifications sur place.Il sera demandé, quelles que soient les circonstances, d’accueillir courtoisement les représentants de la CNIL.Le personnel d’accueil doit informer sans attendre le responsable désigné du site, ou l’un de ses représentants. Siles représentants de la CNIL demandent à ce stade à rencontrer une personne dénommée, cette information devralui être précisée.Si les bureaux ne sont pas ouverts, les consignes devront préciser que :• le chef de mission de la CNIL doit en être informé et invité à patienter en attendant l’arrivée rapide duresponsable du site ou de son représentant ;• la procédure de vérification de l’identité des agents présents pourrait néanmoins être poursuivie.Les contrôles à ce stade devant simplement permettre de vérifier l’identité des agents et de s’assurer qu’iesfigurent sur la lettre de mission, ce qui les autorise à pouvoir entrer dans les locaux ; le personnel d’accueildevrait donc demander la présentation d’une pièce d’identité, de la carte professionnelle et de la lettre demission.L'entreprise est fondée à mettre en place un traitement d'accueil des visiteurs, qui lui-même doit être conforme àla loi Informatique et Libertés (Figure-t-il sur votre inventaire des traitements ?). De ce point de vue si lesprocessus prévoient habituellement qu'une pièce d'identité soit montrée; l'usage de conserver la pièce d'identitéest probablement excessif… et est considéré comme tel par les agents de la CNIL, qui le soulignent dans leprocès-verbal.En cas de difficultés dans ces contrôles, les consignes seront :• d’en informer le responsable désigné pour le site ;• et d’attendre ses instructions.Une fois ces vérifications réalisées et les agents de la CNIL éventuellement munis des documents (badge ouautres) leur permettant de circuler dans les locaux, ils seront confiés aux soins du responsable du site ou de sonreprésentant pour les accompagner. Ils ne seront jamais laissés seuls dans leur déplacement à l’intérieur deslocaux. Les conditions particulières de restitution des badges leur seront précisées.Leurs heures d’arrivée et de départ seront soigneusement consignées.6.5. Consignes pour le responsable des lieuxIl est indispensable que le responsable des lieux ait été sensibilisé aux procédures des missions de contrôle de laCNIL.Ce responsable doit disposer d’une liste d’interlocuteurs privilégiés (CIL, Direction juridique, etc.) qui pourrontle guider.Le responsable des lieux ou son représentant, sera chargé d’accueillir et d’accompagner les agents de la CNIL àleur arrivée et tout au long de la mission de contrôle.Dès qu’il est informé par le personnel d’accueil, il doit prévenir la liste des personnes désignées dans et selon laprocédure interne.Page 38 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

Depuis la décision du Conseil d’Etat en date du 6 novembre 2009, la CNIL procède dorénavantsystématiquement à l’information des personnes faisant l’objet d’un contrôle sur place de l’ensemble deséléments prévus à l’article 44 de la loi et notamment :• de leur droit à s’opposer à ce contrôle ;• dans cette hypothèse, de la possibilité pour le président de la CNIL de saisir le président du tribunal degrande instance compétent afin que celui-ci autorise, par ordonnance, la mission de contrôle, y comprisen faisant appel à la force publique 47 . Le refus du responsable oblige alors la CNIL a faire son contrôlesous la responsabilité de l'autorité judiciaire.En pratique, la CNIL doit se ménager une preuve de la délivrance de cette information, sous peine de voir saprocédure entachée d'irrégularités.C’est le responsable des lieux qui devrait prendre connaissance de la lettre de mission (cf. chapitre 7) qui précisele champ des investigations. Il devrait porter ces informations à la connaissance de la liste des interlocuteursdésignés dans et selon la procédure interne.Il doit prendre copie de la lettre de mission.Le représentant du responsable du traitementsur le site a un rôle central dans le déroulementde la mission pour son entreprise. Les principesà mettre en œuvre doivent être clairementdéfinis dans la procédure interne qu’il doitscrupuleusement respecter (cf. chapitre « 6.5»)Tout problème qui apparaîtrait au cours dudéroulement du contrôle devrait êtreimmédiatement transmis à la liste desinterlocuteurs désignés dans et selon laprocédure interne dite de « mobilisation ».Figure 14 : Procédure mise en œuvre par unMembre AFCDP (extrait)En fin de vérification, il devra s’assurer que lesagents de la CNIL lui présentent un procèsverbal(cf. Chapitre 13). Celui-ci doitreprendre l’intégralité des vérifications. Il luisera demandé de le signer. Il devraitsystématiquement prendre conseil avec [la listedes interlocuteurs désignés] dans et selon la procédure interne pour éventuellement ajouter des commentaires.Le procès verbal est établi par les agents de la CNIL en deux exemplaires, dont l’un revient à l’entreprise. Leresponsable du site fait parvenir à [la liste des personnes désignées] dans et selon la procédure interne une copiede cet exemplaire.Après le départ des agents de la CNIL, les consignes du chapitre 14 seront appliquées par l’ensemble des acteursinternes.47 La CNIL a réaffirmé à cette occasion « son intention de saisir systématiquement l’autorité judiciaire en cas d’opposition afin depermettre la vérification de la conformité des fichiers à la loi ».Page 39 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

6.6. Le rôle du Correspondant Informatique & LibertésIl est probable que pendant que les contrôleurs de la CNIL attendent, ils vont observer tout ce qui est à leurportée (contrôle d’accès avec collecte de données, présence éventuelle d’un moyen de vidéosurveillance,existence d’une affiche annonçant ce dispositif, etc.) et qu’ils vérifieront par la suite que ces traitements sontdéclarés et/ou portés au registre tenu par le Correspondant Informatique & Libertés. Le CIL aura pris soin devérifier/faire vérifier ces points dans chaque zone d’accueil.La procédure interne relative au rôle du CIL devrait prévoir les différentes situations susceptibles de se présenterdans l’entreprise et comporter une annexe avec les coordonnées de la personne en charge :• [la liste des sites] que le CIL pourrait rejoindre dès que possible pour assister à la vérification et aider leresponsable de l’établissement,• [la liste de sites], trop éloignés, pour lesquels il pourrait rester en contact « permanent » avec leresponsable pour lui porter assistance.Dès que le CIL a connaissance de la présence sur l’un des sites d’agents de la CNIL, il doit se fairecommuniquer la teneur de l’ordre de mission, notamment sur l’origine de la vérification (initiative de la CNIL ?Plainte ?) et son périmètre (si tant est que cela soit précisé dans la lettre de mission).Quelle que soit la situation (présence physique ou contact), il apporte toute son aide au responsable de lieux,notamment : rappel de ses devoirs et droits, rappel des consignes, informations en relation directe avec l’objet ducontrôle, etc.Le CIL prend langue avec l’agent de la CNIL qui dirige la mission le plus rapidement possible après êtreinformé du contrôle. Il s’identifie et liste les actions qu’il peut prendre pour faciliter sa mission.Le CIL devrait participer, même à distance, à la réunion de débriefing et établir son propre rapport du contrôle(analyse, recommandations, actions) à partir de ses propres éléments s’il s’est déplacé ou de ceux que lui fournitle responsable du site dans le cas contraire.Il doit faire état de ce contrôle dans le bilan annuel (genèse, déroulement, analyse, critique a posteriori de laprocédure, actions correctives menées, suivi, etc.).6.7. Les textes de référenceLa procédure mise en place peut également s’appuyer sur des textes (règlement intérieur, règlement de sécurité,notes internes, …) publiés en interne à destination des différents acteurs de la sécurité.Nous reprenons ici les extraits directement liés à la première phase du contrôle sur place.Loi 78-17 du 6 janvier 1978 modifiée le 6 août 2004« Article 44 – II. - Les membres de la Commission nationale de l'informatique et des libertés 48 ainsi que les agents de sesservices habilités dans les conditions définies au dernier alinéa de l'article 19 ont accès, de 6 heures à 21heures, pour l'exercice de leurs missions, aux lieux, locaux, enceintes, installations ou établissements servant àla mise en œuvre d'un traitement de données à caractère personnel et qui sont à usage professionnel, àl'exclusion des parties de ceux-ci affectées au domicile privé.Le procureur de la République territorialement compétent en est préalablement informé.Article 19La commission dispose de services dirigés par le président et placés sous son autorité.Les agents de la commission sont nommés par le président.En cas de besoin, le vice-président délégué exerce les attributions du président.Le secrétaire général est chargé du fonctionnement et de la coordination des services sous l'autorité duprésident.48 cf. sur le site de la CNIL, la liste des membres de la formation plénière : http://www.cnil.fr/index.php?id=68Page 40 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

Ceux des agents qui peuvent être appelés à participer à la mise en œuvre des missions de vérificationmentionnées à l'article 44 doivent y être habilités par la commission ; cette habilitation ne dispense pas del'application des dispositions définissant les procédures autorisant l'accès aux secrets protégés par la loi.Article 44 IIIIls peuvent, à la demande du président de la commission, être assistés par des experts désignés par l’autoritédont ceux-ci dépendent ».Décret n° 2005-1309 du 20 octobre 2005 (modifié)« Article 57L'habilitation prévue par le dernier alinéa de l'article 19 de la loi du 6 janvier 1978 susvisée est délivrée auxagents des services de la commission, de catégorie A ou assimilés, pour une durée de cinq ans renouvelable.Article 58Nul agent des services de la commission ne peut être habilité à effectuer une visite ou une vérification s'il a faitl'objet d'une condamnation à une peine correctionnelle ou criminelle inscrite au bulletin n° 2 du casierjudiciaire, ou dans un document équivalent lorsqu'il s'agit d'un ressortissant de l'Union européenne.Article 59Nul agent des services de la commission ne peut être désigné pour effectuer une visite ou une vérification auprèsd'un organisme au sein duquel :1° Il détient un intérêt direct ou indirect, exerce des fonctions ou une activité professionnelleou détient un mandat ;2° Il a, au cours des trois années précédant la visite ou la vérification, détenu un intérêt directou indirect, exercé des fonctions ou une activité professionnelle ou détenu un mandat.Article 60Lorsque les conditions prévues aux articles 57, 58 et 59 cessent d'être remplies, il est mis fin à l'habilitationaprès que l'intéressé a été mis en mesure de présenter ses observations. En cas d'urgence, la commission peutsuspendre l'habilitation pour une durée maximale de six mois.Il est également mis fin à l'habilitation lorsque l'intéressé n'exerce plus les fonctions à raison desquelles il a étéhabilité.Article 67Lorsqu'en application du deuxième alinéa du III de l'article 44 de la loi du 6 janvier 1978 susvisée le présidentde la commission fait appel à un ou plusieurs experts, sa demande définit l'objet de l'expertise et fixe le délai desa réalisation.Préalablement aux opérations d'expertise, le ou les experts désignés attestent auprès du président de lacommission qu'ils répondent aux conditions posées aux articles 57 à 60.Les indemnités dues aux experts font, le cas échéant, l'objet d'une convention ».Règlement intérieur de la CNIL« Article 61 HabilitationsLes agents de la commission sont habilités à procéder à des missions de contrôle sur place par une délibérationde la commission ou du bureau publiée au Journal officiel de la République française. Une carte professionnelleattestant de cette habilitation leur est délivrée.Article 63 ExpertsLors des missions de contrôle sur place, l’assistance d’experts désignés par l’autorité dont ils dépendent peutêtre demandée par le président de la commission. Leurs frais et honoraires sont à la charge de la commission ».Page 41 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

7. Les agents vous présentent leur lettre de missionLa décision du Président de la CNIL est notifiée au début du contrôle au responsable des lieux où se situent lestraitements qui font l’objet des vérifications.Pour ce faire, les agents de la CNIL doivent présenter leur lettre de mission, signée 49 du Président de laCommission.Figure 15 : Copie d’un ordre de missionCette lettre de mission comprend les informations suivantes ;• date du contrôle ;• lieu du contrôle ;• objet du contrôle ;• liste des personnes habilitées chargées de ce contrôle etleur fonction au sein de la CNILLa lettre de mission est rarement précise. Lors du contrôle, lesagents peuvent avoir pour consigne de ne pas répondre à toutequestion quant à la genèse de leur mission et son périmètre, ceciafin de ne pas se retrouver « limités » dans leur démarche (avec unordre de mission trop précis, une infraction découverte « parhasard » à l’occasion du contrôle, mais située hors du champindiqué, risquerait d’échapper à toute sanction).D’après les entreprises ayant subi un contrôle que le groupe detravail a pu auditionner, cette lettre de mission indique égalementrarement la raison (genèse).Pour cette raison, il est indispensable de commencer par discuter avec les agents (« Nous serons mieux à mêmede vous aider si vous nous indiquez ce que vous cherchez »), afin• d’obtenir le plus d’informations possibles sur les raisons de ce contrôle 50• de sélectionner les bons interlocuteurs en face des agents chargés du contrôle• de restreindre au seul périmètre détecté les informations qui vont être présentéesExemple : Si, durant cette échange initial, vous détectez que la mission est focalisée sur le périmètre« Ressources Humaines », vous êtes à même de faire intervenir les personnes concernées et de faire préparer unPC doté des droits d’accès à ce seul périmètre.Naturellement, les agents peuvent prendre toute initiative lors de leur mission et élargir le champ de leursinvestigations. Ainsi, durant un contrôle focalisé sur les fichiers Ressources Humaines, les agents ont égalementcherché à détecter la présence d’outils de traçabilité (Contrôle de l’activité du salarié ; accès Web, contrôle de lamessagerie, etc.).Durant cet entretien initial, on n’hésitera pas à vérifier que les agents ont une bonne connaissance de l’entreprise,de son organisation et de ses métiers. Une entreprise contrôlée a eu la mauvaise surprise de s’apercevoir qu’elleétait identifiée à tort comme soumise à Sarbanes-Oxley.Une entreprise condamnée à une sanction pécuniaire suite à un contrôle et ayant présenté un recours devant leConseil d’Etat, soutenait que « seule la Commission nationale de l'informatique et des libertés (CNIL) estcompétente pour diligenter une mission de contrôle et non son président ». Elle a été déboutée. Dans la note dedécision, on relève que « le président de la CNIL est compétent pour diligenter une mission de contrôle ».49 Comment, dans la réalité, valider ce point ? 1) cela voudrait dire fournir un exemplaire de la signature au personnel d’accueil et surtoutne pas oublier de les prévenir quand il y aura un changement de président…50 Il semble que le contrôle soit la seule réelle opportunité de recueillir auprès de la CNIL quelques informations concernant ce contrôle(dont la genèse et le périmètre) : après, c’est trop tard.Page 42 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

7.1. Les textes de référenceNous reprenons ici les extraits directement liés à l’ordre (ou lettre) de mission.Loi du 6 janvier 1978 modifiée le 6 août 2004« Article 44 – II. – […] ont accès, de 6 heures à 21 heures, pour l'exercice de leurs missions, aux lieux, locaux, enceintes,installations ou établissements servant à la mise en œuvre d'un traitement de données à caractère personnel etqui sont à usage professionnel, à l'exclusion des parties de ceux-ci affectées au domicile privé.Le procureur de la République territorialement compétent en est préalablement informé ».Décret n° 2005-1309 du 20 octobre 2005 (modifié)« Article 61 :Lorsque la commission décide un contrôle sur place, elle en informe préalablement par écrit le procureur de laRépublique dans le ressort territorial duquel doit avoir lieu la visite ou la vérification.Le procureur de la République est informé au plus tard vingt-quatre heures avant la date à laquelle doit avoirlieu le contrôle sur place. Cet avis précise la date, l'heure, le lieu et l'objet du contrôle.Article 62Lorsque la commission effectue un contrôle sur place, elle informe au plus tard au début du contrôle leresponsable des lieux de l'objet des vérifications qu'elle compte entreprendre, ainsi que de l'identité et de laqualité des personnes chargées du contrôle. Lorsque le responsable du traitement n'est pas présent sur les lieuxdu contrôle, ces informations sont portées à sa connaissance dans les huit jours suivant le contrôle.Dans le cadre de leurs vérifications, les personnes chargées du contrôle présentent en réponse à toute demandeleur ordre de mission et, le cas échéant, leur habilitation à procéder aux contrôles ».Règlement intérieur (Délibération CNIL n°2006-147 du 23 mai 2006)Concernant l’Article 62 : « Notification de mission de contrôleLorsque la mission de contrôle sur place est notifiée préalablement à son déroulement, il peut être joint à lalettre une demande visant à obtenir des informations sur l'architecture informatique en place, la mise àdisposition des personnels habilités à accéder aux applications et, le cas échéant, un accès direct auxsystèmes ».Concernant l’Article 59 : « Objet des missions de contrôleLes missions de contrôle sur place ont pour objet :• d'examiner la régularité au regard des articles 22 à 27 de la loi du 6 janvier 1978 d'un traitement misen œuvre par une ou plusieurs personnes ;• de s'assurer que le traitement mis en œuvre correspond au traitement ayant fait l'objet des formalitéspréalables et en particulier aux délibérations de la commission ;• de vérifier que l'ensemble des dispositions de la loi sont respectées ».8. Comment se déroule un contrôle ?Un Correspondant Informatique & Libertés auditionné par le groupe AFCDP a communiqué un extrait de laprocédure mise en œuvre au sein de son entité (il ne s’agit que d’un exemple, dont on peut s’inspirer pour rédigersa propre procédure, en tenant compte de ses spécificités) :« L’entité contrôlée met à la disposition des agents de la CNIL ;• une pièce, indépendante, pour effectuer le contrôle, le cas échéant de l’eau et du café à disposition ;• l’accès à une photocopieuse ;• l’accès à un téléphone permettant les appels vers la province et les téléphones portables (il est possiblequ’ils aient besoin de joindre le responsable des traitements ou le CIL) ;• Un poste de travail (ou terminal) sur lequel pourront être présentées les applications (en ligne) etl’accès au système ;Page 43 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

• La possibilité de consulter les divers fichiers constitués ;• Le concours de personne(s) apte(s) à l’accès aux systèmes et à la mise en œuvre technique desapplicatifs ;• Le concours d’opérateur(s) manipulant sur un poste de travail (ou terminal) pour les applicationsinformatiques correspondantes à l’objet de la vérification.Il est possible de permettre aux contrôleurs d’accéder au restaurant d’entreprise, à leurs frais (ne pas inviter lesagents de la CNIL au restaurant).Si possible, il est souhaitable que les agents de la Commission soient accueillis par un nombre au plus égal decollaborateurs. Ils sont généralement deux ou trois ce qui revient à dire que, peuvent être présents : leresponsable du site, le responsable informatique et le relais local du Correspondant Informatique & Libertés.Dès le début du contrôle, il convient de leur présenter [à adapter suivant chaque cas] ;• l’établissement/le site (succinctement) ;• l’organisation/organigramme de l’entité (relatif au contrôle) ;• la cartographie des traitements ;• la procédure qualité ;• tous documents (papier ou électroniques) montrant l’importance accordée à la loi Informatique &Libertés par l’entité (Charte de l’usage de l’informatique, consigne de sécurisation des donnéestraitées, Intranet « Informatique & Libertés », etc.).Les contrôleurs peuvent demander (liste non exhaustive) ;• d’accéder à des documents et d’en prendre copie ;• d’avoir des entretiens avec toute personne ayant rapport avec les traitements ;• d’accéder au réseau informatique ;• d’accéder à une application ;• communication de la politique de sécurité (gestion des mots depasse, ségrégation des accès, moyens de sécurisation des donnéesles plus sensibles, etc.) ;• des précisions sur le processus de collecte des données ;• des précisions sur le processus de saisie (en particulier s’il y a unezone bloc-notes – ou zone de libre commentaire – dansl’application) ;• la description d’éventuelles routines qui sont activées pour mettreautomatiquement à blanc des zones de l’application qui ne seraientd’aucune utilité pour l’entité contrôlée ;• la durée d’archivage ;• etc.Figure 16 : Procédure mise en œuvre par un Membre AFCDP (extrait)Les agents peuvent accéder à l’intégralité des locaux du site (à l’exception des lieux privés) : Il est recommandéde les faire accompagner d’un collaborateur (CIL, « scribe », représentant local du Responsable destraitements, etc.) qui les présentera à toute personne qu’ils souhaitent interroger. Il est déconseillé de les laissercirculer seuls afin qu’ils ne captent pas à l insu de l’entité contrôlée des informations ».9. Les autres acteurs de la pièce : personnes et fonctionsconcernéesIl est important au préalable de déterminer le rôle de chacun, pour éviter les oublis et les actions en double.Cette liste ne comporte que les fonctions concernées par la visite proprement dite. D’autres fonctions (dont laDirection de la communication ou la personne en charge des relations sociales – si le contrôle fait suite à uneplainte d’un collaborateur ou d’un syndicat) seront naturellement intégrées au processus par la suite.Page 44 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

Personnels d’accueil : Chargé des procédures de contrôle d’accès au siteReprésentant du responsable du traitement (responsable du site, membre de la Direction juridique) :Durant toute la durée du contrôle sur place, il est responsable du bon déroulement de la mission. Il veilleégalement au respect des intérêts de son entreprise.Personnels techniques informaticiens : Ils mettent leurs compétences au service du représentant du responsabledu traitement, et l’aident à répondre aux demandes des agents habilités (notamment pour fournir des copies dedonnées liées aux traitements objet du contrôle, pour accéder aux systèmes, pour manipuler un poste de travail,pour commenter un applicatif, etc.).Personnel métiers : Ils mettent leurs compétences au service du représentant du responsable du traitement, etl’aident à répondre aux demandes des agents habilités (exemple ; responsable marketing, responsable relationsclientèle, DRH, etc.).Direction Juridique : Elle apporte son support au représentant du responsable du traitement durant toute ladurée du contrôle.Correspondant Informatique & Libertés : Il apporte son support au représentant du responsable du traitementdurant toute la durée du contrôle.L’une de ces personnes tiendra un journal (en mode « chrono ») du déroulement intégral du contrôle (le« scribe ») :• heures d’arrivées et de départs journaliers des contrôleurs,• toutes leurs demandes,• les réponses ou les moyens mis a disposition,• les documents communiqués,• les copies faites,• la transcription des entretiens 51 ,• la liste des locaux visités,• les applications accédées, etc.Cette prise de note est factuelle (elle ne comporte pas d’appréciation ni de jugement de valeur).Le choix des personnes à mobiliser se fait principalement en fonction de la teneur de l’ordre de mission. Lafonction des agents y est indiquée. Cette information permet de « sélectionner » les compétences à mettre en face(informaticiens, juristes, etc.).Dans le cas fort fréquent où les agents se dispersent sur le site, on veillera à ce que chacun d’entre eux soitaccompagné et que cet « accompagnateur » prenne à son compte ce rôle de scribe.Cela signifie que l’organisme contrôlé doit mobiliser un nombre de collaborateurs au moins égal au nombred’agents de la CNIL.10. Inventaire des pièces demandées par les agentsLa CNIL indique clairement sur son site Web qu’une mission de contrôle « vise prioritairement à obtenir copiedu maximum d’informations, techniques et juridiques, pour apprécier les conditions dans lesquelles sont mis enœuvre des traitements informatiques ».Lors du contrôle, la délégation peut recueillir, sur place tout renseignement et toute « justification utile ».51 Les discussions avec les agents de la CNIL ne sont pas retranscrites dans le Procès-verbal (au contraire des contrôles effectués par laDGCCRF).Page 45 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

Sur présentation d’une carte professionnelle d’un médecin, les agents de la CNIL ont accès aux fichiersmédicaux.« Les voilà… ce sont les contrôleurs de la CNIL. Ils viennent vérifier le système bluetooth installé par la mairie.Richard S. a décroché le marché, mais sa petite entreprise peine à décoller …/… Il a déjà eu un contrôle de ladirection centrale du renseignement intérieur (DCRI, l'ex-DST), et l'a trouvé « moins pénible que celui de laCNIL ». C'est que la commission a minutieusement exploré les interfaces du site, multiplié les copies d'écran,vérifié la durée de conservation des données ».« Sentinelles de l’informatique » (extraits), Franck Johannès, Le Monde 5 janvier 2010Voici quelques exemples de traitements, informations et données auxquels les agents peuvent demander à avoiraccès lors du contrôle :• Registre des traitements et bilans annuels (tenus par le CIL)• Descriptif de l’architecture des applications, désignation et descriptif sommaire des matériels etlogiciels informatiques et des réseaux, catalogue des données des applicatifs (notamment noms deschamps et leur signification), liste des codes et leur signification (pour les données mémorisées dans lesfichiers sous forme codifiée) ;• Dossiers d’analyse fonctionnelle et organique, de programmation et d’exploitation, listings des codessources des programmes, manuels d’exploitation, etc.• « schéma » des bases de données 52 ;• Une extraction de zones de libre commentaire ou ZLC (textes libres, blocs notes…), extrait de fichierservant à la paye, fichiers de ressources humaines, informations de gestion de la relation clients,données marketing, éventuelles listes noires, etc. ;• PSSI (Politique de Sécurité du Système d’Information), Charte d’usage des moyens NTIC, noted’application relative au soin à apporter aux droits d’accès et aux mots de passe ;• Note d’informations des publics concernés (interne et externe) ;• Fichiers liés aux autocommutateurs téléphoniques, à des systèmes de contrôle d’accès (par exemple parbadges ou cartes à mémoire), dispositif de géolocalisation, reconnaissance biométrique, etc. ;• Copies d’écran et données collectées sur des sites Web, respect des consignes dans le cas des Intranetau sein de groupes internationaux ;• Annuaires, organigrammes, « trombinoscopes », etc. ;• Contrats de sous-traitance (pour vérifier la présence des clauses ad hoc) ;• Procédures de contrôle interne ;• Procédure d’exercice du droit des personnes (dont le droit d’accès) ;• Procédure de suppression des fichiers commerciaux, etc.Naturellement, les agents peuvent également vérifier l’absence d’interconnexion entre fichiers de finalitésprincipale différente, l’effectivité des mécanismes de purge et le respect des règles en matière de fluxtransfrontières.La CNIL peut demander communication de tous documents (descriptif de l’architecture des applications,descriptif sommaire des matériels et logiciels informatiques mis en œuvre par le traitement, dossier d’analysefonctionnel – de programmation – d’exploitation, programmes informatiques, données, procédures de sécurité,description technique d’un dispositif biométrique, journal d’accès aux informations, etc.) nécessaires àl’accomplissement de sa mission, quel qu’en soit le support, et en prendre copie (à chaque fois que c’estpossible, les agents de la CNIL anonymisent les données dont ils prennent copie (c.a.d qu’ils relèvent desinformations dans un format tel que ces données ne peuvent être rattachées à une personne).Exemples (cf. étude du cas Tyco HealthCare France) ;• copies d’écrans,• Guides et mémorandum internes (« International Database Project Update, Data Auditing and NextSteps, June 2006 » et « Guide de l’administrateur, Administration et traitement des données pour labase de données internationales »),52 Certaines entreprises n’ont aucune maîtrise en ce domaine (l’applicatif « masquant » la base de données, dont elles ignorent lastructure).Page 46 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

Il convient de fournir la signification des champs ainsi que la liste des codes et leur signification (pour lesdonnées mémorisées sous forme codifiée).Dans le cas où la recherche des documents/données demandés prend du temps, indiquer le délai nécessaire et sajustification. Il vous appartient d’en assurer la transcription par tout traitement approprié dans des documentsdirectement utilisables pour les besoins du contrôle. Il n’est pas possible d’arguer de difficulté technique.Par précaution ;• affectez un numéro d’ordre à chaque document ;• numérotez chaque page de ces documents ;• portez une mention « Confidentiel – réservé à la CNIL » sur les documents qui vous semblent les plussensibles ;• ne présentez pas les originaux des contrats, mais fournissez une copie de laquelle vous aurez retiré lesinformations hors périmètre du contrôle (par exemple des conditions tarifaires exceptionnelles) – enprenant soin de l’expliquer aux agents de la CNIL ;• chaque personne chargée d’accompagner en permanence chaque agent de la CNIL doit a) conserverune impression papier de chaque écran visualisé lors du contrôle b) conserver une image de chaqueécran sur une clé USB ;• listez et conservez une copie de tous les documents et données qu’emportent les agents de la CNIL ;• vérifiez que ces documents/données sont bien dans leurs versions courantes/finales (information àrelever) ;• vérifiez que la liste exhaustive des données prélevées figure bien au procès-verbal qui sera présentépour signature à l’issue du contrôle sur place.Les contrôleurs peuvent demander la communication de documents postérieurement à leur visite. Il convient deleur adresser rapidement, mais de façon sécurisée.Les agents peuvent également demander communication de tout élément leur permettant d’apprécier le respectde l’art. 34 sur la sécurisation des données à caractère personnel traitées : politique de sécurité, journal des accèsdes administrateurs techniques, description des moyens de sécurité mis en œuvre, etc. A titre d’exemple, lors ducontrôle, courant 2008, d’un Centre hospitalier, les agents ont soulevé les questions suivantes : « Qui pourraitavoir accès au Système d’information ? Les administratifs ? Le contrôle de gestion ? Ce collègue là, à quellesdonnées peut-il accéder ? Qui attribue les droits d’accès et selon quelle procédure ? Comment sont réinitialisésles mots de passe : Montrez nous ! Que deviennent les vieux PC en fin de vie ? Que deviennent les disques dursdes serveurs en panne ? ».L’une des entreprises contrôlées a eu la surprise de constater qu’un agent habilité utilisait un périphériqueamovible (clé USB). Une copie de son contenu a été réalisée à la fin de la mission et mention en a été portée surle procès-verbal.11. Attention au délit d’entrave !La loi du 6 Août 2004 a inséré un nouveau chapitre VIII « Dispositions pénales » dans la loi informatique etlibertés (articles non codifiés dans le code pénal), l’article 51.Les attitudes considérées comme des cas d’entrave par cet article sont les suivantes :• Le refus direct ou indirect de communication d’informations. Sont visés, les faits ;o de refuser de communiquer aux membres/agents habilités de la CNIL les renseignements etdocuments utiles à leur mission ;o de dissimuler ces documents ou renseignements ;o de les faire disparaître.• La transmission d’une information non conforme ou non compréhensible. Est visée, la communicationd’informations ;Page 47 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

o qui ne sont pas conformes au contenu des enregistrements tel qu’il était au moment où lademande a été formulée ;o qui ne présentent pas ce contenu sous une forme directement accessible.• Le fait de s’opposer à l’exercice des missions confiées aux membres ou aux agents habilités de laCNIL. On notera le caractère extrêmement général de cette disposition, susceptible de couvrir tout actenon visé explicitement aux deux premiers points.Les sanctions pénales applicables sont les suivantes : un an d’emprisonnement et 15.000 € d’amende.En 2006, pour la première fois depuis la refonte de la loi Informatique & Libertés, un contrôle sur place a étéopéré en présence du Commissaire de police local, sur autorisation du Tribunal de grande instanceterritorialement compétent (Créteil), en raison du refus opposé dans un premier temps par le responsable deslieux.Des opérationnels non (suffisamment) préparés et épaulés sont susceptibles de commettre de tels actes d’entrave.C’est pourquoi, il est important de ne pas subir la situation mais au contraire de pouvoir la contrôler, ceci par unebonne compréhension, d’une part, des droits et obligations des membres/agents habilités de la CNIL et, d’autrepart, de ceux des différents acteurs au sein de l’entreprise contrôlée.Le 29 janvier 2009 le tribunal correctionnel de Paris a condamné à une amende délictuelle de 5 000 € pour délitd’entrave le directeur général d’une société s’étant opposé au contrôle de la CNIL.Les faits : En février 2008, les agents de la CNIL se présente pour un contrôle inopiné des caméras desurveillance dans une société située Bd de Sébastopol, à Paris. D’abord réticent, le Directeur général del’entreprise les autorise à procéder au contrôle, puis s’absente en laissant les agents avec son comptable. Uneheure après, le frère du PDG (et lui-même DG de l’entreprise) leur demande de quitter les lieux, ce qu’ils ontfait devant son agressivité. Le contrôle a été repris quelques temps plus tard, le PDG s’étant excusé de l’attitudede son frère.Nota : Sur ce sujet, compte-tenu de l’annulation par le Conseil d’Etat en novembre 2009 de deux sanctions de laCNIL, le devoir d’information désormais imposé par cette décision et la disposition de la loi réprimant le délitd’entrave présentent donc certaines difficultés d’articulation que seule une modification de la loi peut résoudre.Si, selon la Commission, la majorité des contrôles se déroulent sereinement, il n’en est pas toujours ainsi,comme on le découvre dans l’article « Sentinelles de l’informatique », signé de Franck Johannès et publié dansle journal Le Monde en janvier 2010 : « un auditeur se souvient avoir dû, un jour, appeler la police parce que leresponsable d'une société de spams menaçait de se jeter par la fenêtre. L'informaticien de l'équipe, lui, s'est vuclaquer la porte au nez un matin. L'après-midi, il n'y avait plus de lumières. Il a fallu travailler dans le noir,pour ne pas que les salariés voient le contrôle, avec un huissier pour nous surveiller... ».12. Peut-on se retrancher derrière un secret ?Lors d’un contrôle sur place, quels obstacles sont susceptibles d’être opposés à la CNIL ?Le responsable du traitement peut-il refuser l’accès à certaines données au motif d’une forme quelconque de« secret », par exemple une clause qui le lie contractuellement à un partenaire, à un fournisseur, à un client ?On rappellera que le Responsable de Traitement encoure des sanctions pénales et des sanctions administrativesen cas d’entrave à l’action de la CNIL. L’opposition abusive d’une forme de secret est interprétée par laCommission comme une entrave.Lors de la dernière discussion de la Loi Informatique et Libertés au Sénat en 2004, un amendement présenté parle député Charles Gautier et les membres du groupe Socialiste, visait à supprimer de l’article 21 la possibilitépour les personnes interrogées dans le cadre des vérifications faites par la commission la possibilité d’invoquerun secret professionnel. L’amendement a été repoussé, après les propos suivants du Sénateur Alex Türk(extraits) : «Il faut bien comprendre qu'en réalité la CNIL ne sera pas moins armée après le vote de cette loiqu'elle ne l'est aujourd'hui même. Si la CNIL était confrontée à ce genre de difficultés, elle pourrait recourir àdes moyens coercitifs tels que le délit d'entrave… Et croyez-le, tout commissaire de la CNIL, quelle que soit saPage 48 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

sensibilité, non seulement continuera, mais développera sa politique de contrôle. Pour ce faire, la CNILutilisera tous les moyens nécessaires. Et l'exercice de son pouvoir de contrôle ne sera pas compromis parl'invocation du secret professionnel ».Le CIL conseillera donc au Responsable du traitement de bien réfléchir au préalable sur les éventuellespossibilités d’opposer une forme quelconque de secret à la mission de contrôle.La personne qui invoque le secret professionnel est dans l’obligation de préciser les textes sur lesquels elles’appuie et la nature des données couvertes par ces dispositions (article 69 du décret). Il se peut que lesagents de la Commission ne soient en rien intéressés par ces données, et puissent poursuivre sans problème leurmission de contrôle sur place.Ainsi, l’invocation injustifiée du secret professionnel peut constituer une entrave à l’action de la CNIL (décisionConseil Constitutionnel 29 juillet 2004) : Dès lors que le contrôle a pour origine une plainte d’une personneconcernée par le traitement, l’invocation du secret professionnel est considérée comme abusive.Nota : L'article 226-13 du code pénal (secret professionnel) : La loi pénale ne précise ni la liste des professionsni la nature de l'information à caractère secret, elle se contente d'établir l'interdiction de leur révélation. Lajurisprudence s'est chargée de définir sur les bases de l'ancien article 378 du Code pénal ces différentes notions.12.1. Invoquer le secret bancaire ?Dans sa délibération n° 2006-174 du 28 juin 2006 prononçant une sanction pécuniaire à l’encontre d’une banque,la CNIL rappelait que « Si les données à caractère personnel concernant un client bancaire sont effectivementprotégées par le secret professionnel en application des dispositions de l'article L 511-33 du code monétaire etfinancier, force est de constater que ce secret a pour vocation de protéger le titulaire du compte lui-même ».Ainsi, dès lors que le titulaire d’un compte bancaire adresse à la CNIL un courrier écrit par lequel il dépose uneréclamation auprès de la CNIL et lui demande de procéder à des vérifications auprès d’un responsable detraitement, opposer à la CNIL l’existence du secret bancaire, c’est l’opposer au titulaire des comptes « qu’elle aen charge de protéger, ce qui viderait cette disposition de sa raison d’être ».En l’espèce l’invocation du secret bancaire est donc susceptible de constituer une entrave à l’action de la CNIL.Réflexions soulevées lors d’une audition effectuée par le groupe AFCDP :Les agents de la CNIL effectuent un contrôle sur place suite à la plainte d’un client, sollicité commercialementpar téléphone alors qu’il a demandé à ne pas l’être.a) Lors de ce contrôle, les agents prennent connaissance de « l’assise financière » de ce client. Mais en obtenantune copie d’écran de l’application, ils prennent également connaissance de données financières concernantd’autres clients.b) La plainte initiale ne concerne en rien les données financières – le plaignant a-t-il expressément autorisé lesagents de la Commission à accéder à ces informations spécifiques ?Pour apprécier la marge de manœuvre, étroite, du Responsable de traitement, il convient d’indiquer que l’ordrede mission dans ce cas ne donnait aucune indication quant à la plainte et au contexte, rendant ainsi délicatel’appréciation des limites des investigations des agents de la CNIL. A posteriori, le Responsable de traitement aestimé que les données financières concernant d’autres clients que celui s’étant plaint à la CNIL auraient du êtreanonymisées.12.2. Invoquer le secret professionnel des huissiers ?Dans sa délibération n°2006-173 du 28 juin 2006 prononçant une sanction pécuniaire à l’encontre de la SCP X 53 ,la CNIL notait que« La SCP X indique enfin qu’elle est bien soumise au secret professionnel et qu’elle était donc fondée à refuser53 http://www.cnil.fr/index.php?id=2141Page 49 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

la demande formulée par la CNIL de la copie d'une cassette informatique de sauvegarde des données sur lesdébiteurs au motif de la présence, sur cette cassette, de la comptabilité de l’étude.Interrogée sur le fondement juridique du secret professionnel opposé aux agents de la CNIL, la SCP X a invoquéauprès des membres de la formation restreinte, lors de la réunion du 28 juin 2006, l’existence de l’article 226-13 du code pénal.La Commission observe d’une part que la seule référence aux dispositions du code pénal n’est pas suffisante àdémontrer de l’existence, au profit de la SCP X, d’une disposition législative ou réglementaire lui permettant des’opposer aux demandes formulées par la CNIL dans l’exercice de ses missions visées à l’article 44 de la loi du6 janvier 1978 modifiée le 6 août 2004.La Commission observe d’autre part que l’existence éventuelle du secret professionnel ne saurait en aucunemanière protéger les données relatives à la comptabilité de l’étude. Par conséquent, la nature des données quela SCP X estimait couvertes par le secret professionnel, tel que cela ressort notamment du procès verbal decontrôle n° 2005-083C, n’était manifestement pas à même de fonder valablement le refus de communiqueraux agents de la CNIL les informations qu’ils demandaient dans l’exercice de leurs missions. Il convient derappeler que ce refus a eu pour conséquence d’empêcher la délégation de la CNIL de procéder à un contrôleexhaustif du contenu des fichiers utilisés par la SCP X.La Commission relève par conséquent que la SCP X ne s’est pas conformée à la mise en demeure du 24 janvier2006 puisqu’elle n’a en aucune manière apporté des garanties permettant de considérer qu’il n’y avait pas eu,lors du contrôle, de dissimulation de preuve ou de communication à la délégation de la CNIL d’informations oude documents non conformes au contenu des enregistrements tel qu’il était au moment où les demandes decopies de documents ont été formulées par la délégation de la CNIL ».12.3. Invoquer le secret professionnel des avocats ?Il résulte des dispositions de l'article 226-13 du Code pénal 54 ainsi que de celles du règlement intérieur nationalde la profession que l'avocat est tenu par un secret professionnel absolu et d'ordre public. Ce secret est illimitédans le temps. Ce secret couvre toutes les matières dont l'avocat est amené à connaître dans le cadre de larelation avec son client.Sont, à titre d'exemple, concernés par le secret : les consultations adressés par un avocat à son client ou destinéesà celui-ci ; les correspondances échangées entre le client et son avocat, entre l'avocat et ses confrères ; les notesd'entretien et plus généralement toutes les pièces du dossier, toutes les informations et confidences reçues parl'avocat dans l'exercice de sa profession ; le nom des clients et l'agenda de l'avocat.Ce secret professionnel s'impose donc à la CNIL qui ne peut contraindre en aucune manière l'avocat à répondre àdes questions, quand bien même l'avocat serait présent aux côtés de son client dans le cadre d'un contrôle surplace.Depuis la décision du Conseil National des Barreaux du 28 mai 2009, un CIL externe peut êtrechoisi parmi les avocats. Or le CIL, s’il constate une irrégularité et s’il n’est pas entendu – y comprispar le Responsable de traitement —, peut aller jusqu’à saisir la CNIL… et peut-être provoquer uncontrôle ! Pour pallier cette difficulté, le règlement intérieur national de la profession précise que dans ce casl’avocat doit mettre un terme à sa mission de CIL externe en se démettant de ses fonctions12.4. Invoquer le secret médical ?Dans le cadre d’un contrôle sur des données de santé, le secret médical peut-il être opposé en l’absence demédecin habilité à effectuer le contrôle ?L’article 44-III de la loi précise que « Seul un médecin peut requérir la communication de données médicalesindividuelles incluses dans un traitement nécessaire aux fins de la médecine préventive, de la recherchemédicale, des diagnostics médicaux, de l’administration de soins ou de traitements, ou à la gestion de service de54 « La révélation d’une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raisond’une mission ou d’une fonction temporaire (…) » peut être punie d’emprisonnement et d’amende ».Page 50 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

santé, et qui est mis en œuvre par un membre d’une profession de santé » tandis que l’article 68 du décretautorise le Président de la Commission à désigner un médecin à partir d’une liste d’experts judiciaires.Le président de la CNIL doit définir les conditions d’exercice de la mission confiée au médecin selon les formesprescrites aux premier et deuxième alinéas de l’article 67. Préalablement aux opérations de vérification requises,le médecin désigné atteste auprès du président de la commission qu’il répond aux conditions posées aux articles57 à 60. A l’issue du contrôle, le médecin consigne dans un rapport les vérifications qu’il a faites sans faire état,en aucune manière, des données médicales individuelles auxquelles il a eu accès. Ce rapport est remis auprésident de la commission qui en adresse une copie au professionnel de santé responsable du traitement.Une lecture a contrario de l’article 44-III de la loi pourrait laisser penser que si le responsable d’un traitementn’est pas un professionnel de santé (médecin, pharmacien, profession para-médicale) et que les finalités neconcernent pas la médecine préventive, la recherche médicale, des diagnostics médicaux, l’administration desoins ou de traitements, ou à la gestion de service de santé, la présence d’un médecin n’est pas obligatoire lorsd’un contrôle de la CNIL. Il semble que les agents de la CNIL adoptent cette lecture lors de leurs contrôles.Toutefois l’esprit du texte et la combinaison des articles 8 et 44-III de la loi devraient permettre d’inclure cetteobligation à l’ensemble des traitements contenant des données de santé.Entendu lors d’une audition AFCDP : « Notre entreprise manipulent des données de santé. Lors de notrecontrôle, nous nous sommes étonnés de l’absence d’un médecin accompagnant les agents. Ceux-ci nous ontexpliqué qu’ils avaient une lecture de l’article 44-III qui va dans leur sens : si le responsable d’un traitementn’est pas un professionnel de santé et que les finalités ne concernent pas la médecine préventive, la recherchemédicale, des diagnostics médicaux, l’administration de soins ou de traitements, ou à la gestion de service desanté, la présence d’un médecin n’est pas obligatoire. J’ai noté un changement de ton très net de mesinterlocuteurs, qui ont immédiatement évoqué le délit d’entrave… »Réflexion par un membre du groupe de travail AFCDP :« Si l'application contenant les données de santé n'est pas sous le contrôle de professionnels de santé, je ne voispas comment on pourrait opposer le secret médical à la CNIL alors qu'en interne l'application est accessible àdes personnes qui n'y sont pas soumis. Il y a à mon sens une distinction à faire entre responsable du traitementet personne mettant en œuvre : le responsable des traitements peut avoir donné son accord sur une application(au vue d'écrans vides, sans aucune données réelles de santé) et le médecin utiliser l'application, personned'autres n'y ayant accès. A titre d’exemple, notre médecine du travail est assurée par des médecins salariés,soumis comme tout médecin au secret médical. Notre responsable de traitements a validé le contenu et lafonctionnalité de l'application mais il n'a aucun accès aux données. Ces médecins ne sont pas des responsablesde traitements au sens de l'article 3 de la loi. Ils ne sont que responsables des données mais n’ont aucun poidsni sur la finalité ni sur les moyens ».A savoir : La convention AERAS 55 (S'Assurer et Emprunter avec un Risque Aggravé de Santé) a pour objet deproposer un grand nombre de solutions pour élargir l'accès à l'assurance et à l'emprunt des personnes ayant ouayant eu un problème grave de santé. Signée par les pouvoirs publics, les fédérations professionnelles de labanque, de l'assurance et de la mutualité et les associations de malades et de consommateurs, elle est en vigueurdepuis le 6 janvier 2007. La convention AERAS concerne les prêts professionnels, les prêts immobiliers et lescrédits à la consommation dédiés. Cette convention donne le droit – sous certaines conditions – à quelqu’un quin'est pas médecin d'avoir accès aux données médicales.Rappelons également l’article L. 1110-4 du Code de la santé publique :« Toute personne prise en charge par un professionnel, un établissement, un réseau de santé ou tout autreorganisme participant à la prévention et aux soins a droit au respect de sa vie privée et du secret desinformations la concernant. Excepté dans les cas de dérogation, expressément prévus par la loi, ce secret couvrel'ensemble des informations concernant la personne venues à la connaissance du professionnel de santé, de tout55 www.aeras-infos.frPage 51 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

membre du personnel de ces établissements ou organismes et de toute autre personne en relation, de par sesactivités, avec ces établissements ou organismes. Il s'impose à tout professionnel de santé, ainsi qu'à tous lesprofessionnels intervenant dans le système de santé. Deux ou plusieurs professionnels de santé peuvent toutefois,sauf opposition de la personne dûment avertie, échanger des informations relatives à une même personne priseen charge, afin d'assurer la continuité des soins ou de déterminer la meilleure prise en charge sanitaire possible.Lorsque la personne est prise en charge par une équipe de soins dans un établissement de santé, lesinformations la concernant sont réputées confiées par le malade à l'ensemble de l'équipe. …/… Le fait d'obtenirou de tenter d'obtenir la communication de ces informations en violation du présent article est puni d'un and'emprisonnement et de 15 000 Euros d'amende. …/… Le secret médical ne fait pas obstacle à ce que lesinformations concernant une personne décédée soient délivrées à ses ayants droit, dans la mesure où elles leursont nécessaires pour leur permettre de connaître les causes de la mort, de défendre la mémoire du défunt ou defaire valoir leurs droits, sauf volonté contraire exprimée par la personne avant son décès ».13. Le Procès-Verbal doit être le reflet du contrôleLes agents de la CNIL rédigent un procès verbal (manuscrit ou tapé sur un PC portable et édité sur place) en finde mission dans lequel ils décrivent tout ce qui a été fait, y compris la nature des vérifications faites et les piècesdont ils emportent une copie.Cette rédaction est répartie entre lesagents, suivant leurs compétences.Tous les agents de la CNIL qui ont prispart au contrôle paraphent et signent ceProcès-verbal, ainsi que les éventuelsexperts tiers figurant sur la lettre demission. Par contre les éventuels« observateurs » (par exemple desmagistrats en formation) ne signent pasle document.Seul le représentant local du responsabledes traitements (ou le CPDP ou le CILs’il est présent) le signe, après l’avoirrelu et comparé avec ce que le scribe anoté.Figure 17 : Copie d’un procès-verbalétabli à l’issue d’un contrôle sur placede la CNIL.La loi fait état du caractèrecontradictoire de ce procès-verbal : les points de divergence peuvent donc donner lieu à un échange avec lescontrôleurs qui restent libres d’annoter ou de modifier le document 56 . Dans la négative et si le responsable destraitements ou le CIL le juge utile, il l’indique en observation à coté de leur signature.Pour l’entité contrôlée, le Procès-verbal est signé par le responsable des traitements, à défaut le CIL, à défaut ledirecteur local, qui en garde un exemplaire.Une société contrôlée en 2006 et condamnée à une sanction pécuniaire représentant, selon son dirigeant « plusd’une année de bénéfices », a présenté un recours devant le Conseil d’Etat, sur plusieurs motifs, dont certainsconcernent le Procès-verbal ; « les procès-verbaux établis sont entachés d'irrégularités, en ce qu'ils ne portentque de manière stéréotypée l'objet de la mission, qu'ils ne sont pas régulièrement signés et ne lui ont pas été56 Il a été difficile pour le groupe de travail de mesurer la réelle marge de manœuvre sur ce point précis. Il ne faut pas hésiter à ce stade àse faire épauler de la Direction juridique (même à distance) avant signature.Page 52 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

égulièrement notifiés ». La société a été déboutée. La note du Conseil d’Etat indique « qu'en l'absence de griefspécifique, le défaut de signature de certains membres de la délégation ne peut entraîner la nullité du procèsverbal».13.1. Les textes de référenceL’article 44 de la loi Informatique & Libertés du 6 août 2004 précise qu’ « Il est dressé contradictoirementprocès-verbal des vérifications et visites menées en application du présent article ».Le décret n° 2005-1309 du 20 octobre 2005 précise dans son article 64 la nature de ce procès-verbal : « Leprocès-verbal énonce la nature, le jour, l'heure et le lieu des vérifications ou des contrôles effectués. Il indiqueégalement l'objet de la mission, les membres de celle-ci présents, les personnes rencontrées, le cas échéant,leurs déclarations, les demandes formulées par les membres de la mission ainsi que les éventuelles difficultésrencontrées. L'inventaire des pièces et documents dont les personnes chargées du contrôle ont pris copie estannexé au procès-verbal ».Lorsque la visite n'a pu se dérouler, le procès-verbal mentionne les motifs qui ont empêché ou entravé sondéroulement.Le procès-verbal est signé par les personnes chargées du contrôle qui y ont procédé et par le responsable deslieux ou par toute personne désignée par celui-ci. En cas de refus ou d'absence de celles-ci, mention en est portéeau procès-verbal.Le procès-verbal est notifié au responsable des lieux et au responsable des traitements.14. « Ouf ! Ils sont partis » - Une urgence, tenir uneréunion de debriefingDans ce document, le groupe de travail AFCDP retient comme sa convention la définition suivante : le contrôlesur place se termine quand les agents de la CNIL quittent le site (la procédure en elle-même ne prend pasnaturellement fin à ce moment). L’ « après-aval » correspond aux phases qui suivent ce départ.Les points principaux qui doivent être traités sont les suivants ;• Que faire en cas d'erreur sur le procès verbal de la CNIL (ou PV incomplet) ?• Que faire si une irrégularité a été détectée par la CNIL durant son contrôle (mentionnée oralement et/ounotifié sur le PV) ? Anticiper et corriger ?• Répondre aux demandes de la CNIL : Qui, comment et quand ?• Que va-t-il se passer « après » ?Après le départ des agents de la CNIL, il est recommandé de réunir immédiatement les collaborateurs ayantparticipé au contrôle et d’établir un compte-rendu détaillé, qui sera adressé au responsable des traitements et auCIL.Le journal (chrono) est immédiatement relu, commenté et enrichi (avec gestion de version, pour distinguer lesajouts a posteriori).Ce compte-rendu doit comprendrea. Un rappel de l’ordre de mission (périmètre, objectif, etc.) ;b. Une relation la plus précise possible des faits et dires des agents de la CNIL pendant leurcontrôle : méthodes et outils utilisés, ambiance, etc. (Ces « détails » qui ne sont généralementpas portés au procès-verbal peuvent prendre toute leur importance par la suite) ;c. La liste des documents et données emportés par ces agents ;d. Les actions prises par l’entité contrôlée (Qui a fait quoi, dans quelles conditions, avec quelsrésultats ?) ;e. Le journal (chrono) est annexé au compte-rendu.Page 53 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

Si des insuffisances manifestes ont été détectées lors du contrôle, le CIL fera rechercher les traitements similairessouffrant des mêmes points perfectibles, y compris dans ses établissements à l’étranger.Dans le cas d’un contrôle se déroulant sur plusieurs jours, une réunion de débriefing intermédiaire se tiendrachaque fin de journée (se garder de porter modification aux traitements objets du contrôle), entre autres pourinformation du Responsable de Traitement.Il est recommandé de commencer à travailler immédiatement sur les réponses qu’il faudra apporter à la CNIL :• pendant que tout est encore frais dans les mémoires ;• pour pouvoir répondre au plus vite afin de montrer sa bonne foi.15. Et la suite ?15.1. Que va faire la CNIL ?Dans les jours qui suivent le contrôle sur place, les agents de la CNIL peuvent demander des précisions auResponsable de traitement par messagerie électronique : il convient donc de s'organiser pour valider lesréponses avant de les émettre, d’étudier la possibilité de les envoyer après signature et en mode chiffré, d’engarder la trace, d’utiliser systématiquement la fonction « accusé de réception » sur ces emails et de garder latrace des accusés.Si une plainte est à l’origine du contrôle sur place, il convient de noter que la CNIL peut conseiller un plaignantsur l’opportunité de saisir le juge des Prud’hommes ou le tribunal de commerce. La CNIL peut égalementconseiller au plaignant de saisir le Tribunal administratif pour tous les traitements opérés par des entitéspubliques.La CNIL peut saisir le juge pénal en application de l’article 40 du nouveau Code de procédure pénale.Les agents de la CNIL rédigent un rapport communiqué à la formation restreinte. La CNIL adresse une copie dece rapport au Responsable de Traitement.Le Responsable de Traitement dispose d’un délai de quinze jours à compter de la réception pour faire connaîtreses observations et demander à être entendu par la CNIL.Le CIL participe aux réunions préparatoires (rédaction de la réponse à adresser à la CNIL, préparation del’audition).Audition d’un Centre hospitalier contrôlé :« Suite à un contrôle sur place de plusieurs jours nous avons reçu un courrier de mise en demeure accompagnédu rapport de la Commission. Parmi les reproches qui nous étaient formulées figuraient – entre autres – uneinformation insuffisante des personnes (« ne pas se contenter des affiches »), une gestion des accès aux donnéespersonnelles à revoir (existence de droits d’accès orphelins, après le départ de collègues) et des locauxd’archives insuffisamment protégés (« il devrait y avoir un registre sur lequel sont portées les entrées etsorties »). De plus, quelques collaborateurs informaticiens avaient accès aux données de santé sans êtreprofessionnels de santé : nous leur avons fait signer un engagement personnel de confidentialité. Répondre à cecourrier nous a demandé un travail très important, car il fallait nous engager sur un plan d’actions et sur unplanning. Dans notre cas, celui-ci est étalé sur plusieurs mois car nous sommes obligés d’apporter de lourdesmodifications à des applications informations anciennes… »La formation restreinte peut également souhaiter entendre le responsable des traitements. Celui-ci reçoit alorsune convocation à laquelle il doit se rendre. Il dispose de quinze jours pour répondre aux demandes qui lui sontfaites. Lors de l’audition par la formation restreinte, le responsable des traitements et le CIL se déplacent.Page 54 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

Ils peuvent prendre connaissance du dossier comme cela leur est proposé afin de savoir d’où vient la plainteet donc ce qui a été relevé. Ils doivent disposer d’arguments et d’un plan d’amélioration avec des dates deréalisation.Un procès verbal d’audition sera rédigé par la commission.Ensuite la formation restreinte délibère et rédige un compte rendu.Dans le cas où les informations fournies ou le plan d’amélioration présenté ne satisfait pas la CNIL, la formationrestreinte peut infliger des sanctions : Avertissement, mise en demeure de faire cesser le manquement, injonctiond’arrêter le traitement, sanction pécuniaire, publicité dans la presse en cas de délit d’entrave.Cette délibération est publiée sur www.legifrance.gouv.fr et sur le site de la CNIL. Il s’agit d’une décisionadministrative qui peut être attaquée devant le juge administratif.Il est important de vérifier que les contrôleurs ne participent pas à la délibération (ceci constitue un vice deprocédure).Une fois la mission terminée, le responsable des traitements recevra 57 :- une lettre de clôture, dans le cas où aucune anomalie n’a été constatée- un courrier d’observation si des manquements de faible gravité ont été relevés (une ou plusieursrecommandations peuvent y être jointes)- une lettre d’avertissement si une ou plusieurs anomalies significatives ont été constatées. Si lesmanquements sont graves, le dossier est transmis au service de la gestion des sanctions.- une lettre de mise en demeure de cesser le traitement si au moins une anomalie grave a été constatée.Le délai d’exécution laissé par la CNIL est de 10 jours à trois mois.Au terme de la procédure de contrôle, le CIL archive toutes les pièces du contrôle (copie de la lettre de mission,compte-rendu fait par le scribe, procès-verbal des contrôleurs, courrier avec la CNIL). Après le prononcé de lasanction, l’entité contrôlée a deux mois pour faire appel.15.2. Enrichir son bilan annuelLe CIL fera naturellement état de ce contrôle dans son bilan annuel, de façon élargie (genèse, analyse aposteriori, mesures prises, etc.).L’AFCDP met à disposition de ses Membres un bilan type accompagné d’une FAQ très opérationnelle (partieprivative du site Web www.afcdp.net).16. Mille questions se posentCette procédure de contrôle sur place effectué par l’autorité existe-t-il chez nos voisins ?Actuellement seuls dix pays européens – dont la France – effectuent un contrôle sur le terrain. La Directiveeuropéenne 95/46 ne contraignait pas la France à adopter une telle démarche.Peut-on estimer la probabilité de subir un contrôle sur place ?En Allemagne, comme l’indique le rapport du cabinet Xamit, le laps de temps théorique entre deux contrôles estde 39.400 ans. Ce risque n’a pas fait l’objet d’estimation pour la France. Néanmoins il peut être utile pour le CILde se constituer un « cockpit » (technique inspirée des pratiques de l’intelligence économique) à partir desplaintes reçues par le service de relation clients, des courriers reçus de la Cnil, du programme de contrôle publiépar la Cnil, des informations distillées par l’AFCDP 58 , par la publication des articles de presse parlant de sonentreprise, etc.).57 Lors des auditions menées par le groupe de travail AFCDP, des entreprises attendaient encore un tel document, plus d’un an après lecontrôle sur place.58 A l’automne 2009 l’AFCDP a informé ses membres que la CNIL avait entamé une série d’une trentaine de contrôles sur place auprèsd’entités ayant mis en œuvre des dispositifs d’alerte professionnelle.Page 55 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

Une entité disposant d’un CIL est à l’abri d’un contrôle sur place ?En aucun cas. Chaque année, dans le cadre d’un programme décidé en commission plénière, la Commissiondécide de mener des contrôles dans un secteur particulier.Une entité disposant d’un CIL a-t-elle déjà fait l’objet d’un contrôle sur place ?Oui. Le fait d’avoir désigné un Correspondant n’est en rien une protection contre les contrôles de laCommission.Une entité disposant d’un CIL a-t-elle déjà fait l’objet de sanctions suite à un contrôle sur place ?Oui, mais le Correspondant Informatique et Libertés a été désigné par le Responsable de traitement après lecontrôle (cf. Délibération CNIL n° 2008-187 du 3 juillet 2008).L’action du CIL peut-elle être « évaluée » à l’occasion de ce contrôle ?Oui. La CNIL indique clairement, dans son programme de contrôle pour 2010, vouloir profiter des contrôles surplace pour « apprécier l’efficacité des CIL ».Des organismes ont-ils été contrôlés plusieurs fois ?Oui. Début 2008, la Commission a indiqué qu’elle avait procédé courant 2007 à 164 missions de contrôle auprèsde 140 organismes, certains d’entre eux ayant fait l’objet de plusieurs visites des agents habilités 59 .Les agents de la CNIL se présentent-ils forcément au siège de l’entité contrôlée ?Pas toujours. Ils peuvent se présenter, par exemple, à une agence, une direction régionale ou départementale, outout autre site secondaire.Notre Correspondant Informatique & Libertés a dû être prévenu de ce contrôle ?Pas forcément. Dans l’absolu – et dans l’attente des modifications qui devraient être introduites suite à ladécision du Conseil d’Etat du 6 novembre 2009, seul le Procureur de la République en a été informé aupréalable. Ces contrôles sur place se font en général à l’improviste et en tout état de cause, il est raisonnable depenser que la Commission ne préviendra pas le CIL si elle estime qu’il existe un risque de destructiond’éléments de preuve. C’est ce qu’indiquait la directrice des relations avec les usagers dans un article paru enjanvier 2010 dans le journal Le Monde : « Quand on sent qu'il y a risque de destruction de preuves, on envoie leservice des contrôles ».Toutefois, en 2008 et 2009, deux CIL Membres AFCDP ont été prévenus par la CNIL deux jours avant de subirun contrôle sur place (secteur Santé et secteur Industrie). Est-ce en passe de devenir systématique ?Pouvons-nous nous faire assister durant le contrôle ?Oui. Mais• les agents ne retarderont en rien leur mission pour attendre votre conseil (avocat ou huissier, parexemple) ;• il apparaît des auditions menées par le groupe de travail AFCDP que la moindre allusion à un conseilentraîne une dégradation du climat dans lequel se déroule le contrôle.La décision est donc à peser soigneusement (prévoir en amont le cas de figure et formaliser une procédure : quiprend la décision et quels sont les critères déterminants ?).La présence de l'avocat lors de perquisitions effectuées à domicile par des autorités administratives estconsidérée par les tribunaux comme une garantie fondamentale des droits de la personne contrôlée. Par ailleurs,si le CIL ne s'estime pas en capacité de vérifier par lui-même que les conditions juridiques du contrôle sontrespectées par les contrôleurs, c'est son intérêt de faire appel à un avocat qui vérifiera le contenu du PV, lesconditions de prise de copie de documents ou de fichiers, etc. ce qui peut éviter ensuite l'engagement d'uneprocédure de sanction administrative. Idem si le contrôle tourne mal ou qu'il y a des difficultés decommunication entre le contrôleur et le contrôlé, l'avocat pouvant assurer une forme de médiation.59 Le groupe de réflexions AFCDP a procédé à l’audition de l’un de ces organismes.Page 56 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

La « petite loi » votée le 23 mars 2010 par le Sénat visant à modifier la loi « Informatique et Libertés » précised’ailleurs dans son article 9bis « La visite s’effectue sous l’autorité et le contrôle du juge qui l’a autorisée, enprésence de l’occupant des lieux ou son représentant, qui peut se faire assister d’un conseil de son choix ou, àdéfaut, en présence de deux témoins qui ne sont pas placés sous l’autorité des personnes chargées de procéderau contrôle ».Certains départements français sont-ils à l’abri des contrôles sur place ?Depuis 2004, la CNIL s’est déplacée dans soixante-sept départements et à effectué environ neuf cents missionsde contrôle. Le rapport d’activité pour 2008 comprend une carte de France en sa page 70. Les départements enblanc n’ont jamais été visités par les agents de la Commission.Le texte indique que « D’autre part, la CNIL tendra à assurer une effectivité de la loi sur l’ensemble duterritoire, notamment en effectuant des contrôles dans desrégions ou villes dans lesquelles elle n’avait jamais eul’occasion de se rendre jusqu’à présent. Ainsi, la CNILs’affirmera comme une autorité soucieuse d’assurer laprotection de l’ensemble des citoyens…/… Il fautnéanmoins reconnaître que les effectifs encore insuffisantsde la Commission ne permettent pas d’exercer uneprésence effective sur tout le territoire, et que cela peutimpliquer malheureusement une certaine inégalité detraitement des droits des citoyens. Là réside sans nul douteun axe d’évolution important en matière de contrôle de laCNIL ».Figure 18 : Carte représentant les départements danslesquels un contrôle a déjà été effectué (source :Rapport d’activité pour 2008).On notera également que, fréquemment, le Président de laCNIL appelle de ses vœux l’ouverture de bureaux régionaux « afin de pouvoir effectuer des contrôles,enregistrer des plaintes et mener des opérations de conseils 60 ».Les agents de la CNIL qui effectuent le contrôle savent-ils que nous avons désigné un CIL ?Ce n’était visiblement pas le cas par le passé, mais depuis plusieurs mois ils en sont systématiquement informés,le service des contrôles avertissant le service des Correspondants Informatique et Libertés des visites qu’il vaeffectuer.Les agents de la CNIL sont-ils tenus d’attendre que le Correspondant Informatique & Libertés soitprésent sur le site pour effectuer leur contrôle ?Non. Mais si besoin le CIL peut naturellement apporter son aide par téléphone.Si l’organisme ne bénéficie pas d’un CIL, quel service est le mieux à même de gérer cette situation ?A priori la Direction juridique.Que risque-t-il de se passer si l’on refuse l’accès au site ?Les agents de la Commission n’ont pas autorité pour pénétrer de force dans l’établissement. En cas d’oppositionle Président du Tribunal de Grande Instance devra alors autoriser la visite de la CNIL, aux termes d’uneordonnance motivée ; les agents reviendront après appel au Juge, assistés de l’autorité judiciaire.Peut-on refuser le contrôle sur place au motif que le responsable des traitements est absent ?Non, la loi de 2004 n’impose pas sa présence comme un pré requis de légalité de la procédure Ce n’est donc pasun motif légitime pour refuser le contrôle sur place. L’article 62 du décret d’application précise que le «responsable des lieux », terme plus générique, est au même titre que le responsable du traitement habilité à60 Audition de M. Alex Türk, président de la CNIL devant la Commission des affaires économiques, de l’environnement et du territoire, 16janvier 2008.Page 57 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

ecevoir l’ordre de mission et à signer le procès-verbal de contrôle de l’agent de contrôle (art. 64 décret). Dans cecas le responsable des traitements doit être informé par écrit par la Commission et dans les huit jours qui suiventle contrôle de l’objet de ce contrôle, de l’identité et qualité des personnes chargées du contrôle.Le responsable des traitements au sens juridique n’est pas présent sur le site et aucun collaborateur neveut jouer le rôle du « responsable des lieux », appelé à signer le procès-verbal à l’issue du contrôle. Quese passe-t-il dans ce cas ?Lors des « Ateliers de la CNIL », il a été entendu que, dans ce cas, « les agents de la commission en désigne und’office » ( ?).Peut-on refuser le contrôle sur place au motif que l’agent de contrôle se présente avant 6 heure du matinou après 9 heure du soir ?L’article 44 de la loi dite « Informatique et Libertés » du 6 août 2004 statue en son I que « Les membres de laCommission nationale de l’informatique et des libertés ainsi que les agents de ses services habilités dans lesconditions définies au dernier alinéa de l’article 19 ont accès, de 6 heures à 21 heures, pour l’exercice de leursmissions, aux lieux, locaux, enceintes, installations ou établissements servant à la mise en œuvre d’un traitementde données à caractère personnel et qui sont à usage professionnel, à l’exclusion des parties de ceux-ci affectéesau domicile privé ».Le contrôle a commencé avant 21h00. Les agents peuvent-ils le poursuivre au-delà ?Le règlement intérieur de la Commission indique au dernier alinéa de son article 19 que les agents habilités « ontaccès, de 6 heures à 21 heures, pour l'exercice de leurs missions, aux lieux, locaux, enceintes, installations ouétablissements servant à la mise en œuvre d'un traitement de données à caractère personnel ». Lors des« Ateliers de la CNIL », il a été entendu que « les agents peuvent poursuivre leur contrôle après 21h00 ». C’estpour le moins sujet à débat.Peut-on refuser le contrôle sur place au motif que l’agent de contrôle ne présente pas sa carted’habilitation et/ou ordre de mission ?Oui, c’est un motif légitime pour refuser l’entrée sur le site des agents de la Commission. Toutefois les membresde la CNIL ne semblent pas devoir être porteur d’une telle habilitation dans la mesure où ils sont habilités de partleur fonction.En cas de désignation d’un médecin ou expert extérieur à la CNIL, ce dernier doit en réponse à toute demandeprésenter son ordre de mission signé du Président de la CNIL et définissant l’objet de l’expertise et le délai de saréalisation (art. 67 et 68 décret). A défaut, le refus de contrôle est légitime.NB : il existe également des incompatibilités si l’agent habilité (art. 59 décret) :1° Il détient un intérêt direct ou indirect, exerce des fonctions ou une activité professionnelle ou détient unmandat ;2° Il a, au cours des trois années précédant la visite ou la vérification, détenu un intérêt direct ou indirect, exercédes fonctions ou une activité professionnelle ou détenu un mandat.Courant janvier 2008, le site Web de la CNIL a été enrichi d’une rubrique « Contrôle », qui comporte la liste desagents habilités 61 .Qu’est-ce qui constitue un délit d’entrave ?On réduit trop souvent, à tort, le délit d’entrave au fait de ne pas laisser les agents de la CNIL pénétrer sur le site.En fait l'entrave à l'action de la CNIL est réalisée dans trois cas :61 http://www.cnil.fr/vos-responsabilites/les-controles-de-a-a-z/Page 58 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

• opposition à l’exercice des missions confiées aux membres ou agents habilités en application du dernieralinéa de l’article 19 de la loi ;• refus de communiquer, dissimulation ou destruction des renseignements et documents utiles à lamission de contrôle ;• communication d'informations non conformes au contenu des enregistrements tel qu’il était au momentoù la demande de la CNIL a été formulée ou présentation d'un contenu pas directement accessible.Combien de temps dure un contrôle sur place ?Lors des auditions menées par le groupe de travail AFCDP, il nous été indiqué des durées allant de cinq à huitheures.Un contrôle sur place peut-il se dérouler sur plusieurs jours ?Oui. Une audition a porté sur un contrôle qui a duré trois jours. Faut-il organiser une forme de séquestre destraitements durant les interruptions ?Les agents de la CNIL peuvent ils espacer les jours de leur contrôle ?Oui (cf. missions effectuées les 13 et 18 février 2008 auprès de la société éditrice du site Web Note2be en février2008).A quelle heure se présentent habituellement les agents de la CNIL ?Lors des auditions menées par le groupe de travail AFCDP, il nous été indiqué à plusieurs reprises des horairestypiques de début de journée ouvrées (8h30 à 9h30).Un contrôle sur place peut-il se dérouler simultanément sur plusieurs de nos sites ?Oui. Les agents habilités se présenteront sur les sites concernés avec une lettre de mission adéquate. Un procèsverbaldoit être établi pour chacun de ces sites. La difficulté supplémentaire, pour l’entité contrôlée (et son CIL)est de veiller à la cohérence des réponses apportées aux agents habilités et des documents fournis.Les agents habilités peuvent-ils se déplacer sur plusieurs de nos sites ?Oui. Il n’est pas rare d’assister au déploiement de contrôles multiples et impromptus au sein de différentsétablissements géographiquement distincts d’un responsable de traitement. Un procès-verbal doit être établi pourchacun de ces sites.Les agents de la CNIL peuvent-ils effectuer un contrôle sur place dans l’un de nos sites européen, ycompris dans des pays qui n’ont pas doté leur autorité de contrôle de pouvoirs de visite ?Non, les agents de la CNIL n'ont compétence que sur le territoire français. Juridiquement, tout déplacement àl'étranger sera considéré comme une visite, soumise au bon vouloir du responsable de traitement et des autoritéslocales et la CNIL ne disposera d'aucun pouvoir contraignant. L'hypothèse du déplacement d'équipes de la CNILà l'étranger va à court terme devenir une réalité, dans le cadre de l'exécution des clauses d'audit qui figurent dansles contrats types de transfert de données hors UE.Combien d’agents habilités sont présents lors d’un contrôle ?Leur nombre est variable. Deux est un minimum. Trois agents ont mené à bien les missions effectuées auprès dela société éditrice du site Web Note2be en février 2008. Lors des auditions menées par le groupe de travailAFCDP, une entreprise a indiqué avoir été contrôlée par huit agents.Page 59 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

Les contrôleurs ont-ils accès à l’intégralité des locaux du site ?Les contrôleurs peuvent se déplacer dans tous les locaux du site, à l’exception des lieux privés (appartement defonction).Où « installer » les agents de la CNIL ?Il est recommandé de les installer dans une pièce prévue à cet effet, neutre (éviter les bureaux, à commencer parles open space). On pensera également à prévoir le chemin menant à ce local.Les agents de la CNIL peuvent-ils prendre l’initiative lors de leur contrôle de se déplacer du sitementionné sur la lettre de mission vers un autre site ?Oui. Les contrôleurs peuvent se déplacer sur tous les sites de l’entité contrôlée qu’ils jugent utiles pour mener àbien leur mission. L’un des délégués à la protection des données auditionné par le groupe de travail AFCDP aindiqué la présence des agents de la CNIL sur un premier site en matinée : leurs investigations ayant rapidementmontré que le traitement incriminé était hébergé sur un second site, ils s’y sont rendus aussitôt.Les agents de la CNIL peuvent-ils prendre l’initiative lors de leur contrôle de se déplacer du sitementionné sur la lettre de mission vers le site d’un sous-traitant, et ceci sans que la lettre de mission leprévoie ?Oui. Les contrôleurs peuvent se déplacer sur tous les sites de l’entité contrôlée qu’ils jugent utiles pour mener àbien leur mission.Les agents de la CNIL prennent-ils en compte les impondérables et situations particulières (une sociétéauditionnée par le groupe de travail AFCDP a indiqué que nul ne peut pénétrer dans ses enceintes en casde passage au seuil « Ecarlate » du plan Vigie Pirate auquel ils sont soumis) ?Lorsque l'entreprise est de bonne foi et apporte une justification satisfaisante, il est d'usage que la délégation dela CNIL fasse preuve de souplesse même si rien ne l'y oblige sur le plan juridique.Peut-on refuser le contrôle sur place au motif qu’aucun médecin n’accompagne les agents de la CNILalors que les traitements contiennent des données de santé et que le contrôle porte sur celles-ci ?Selon l’article 44-III de la loi « Seul un médecin peut requérir la communication de données médicalesindividuelles incluses dans un traitement nécessaire aux fins de la médecine préventive, de la recherchemédicale, des diagnostics médicaux, de l’administration de soins ou de traitements, ou à la gestion de service desanté, et qui est mis en œuvre par un membre d’une profession de santé ». En l’absence de médecin, le refus estdonc légitime, sous réserve que le contrôle vise ce type de traitement.A contrario, si le responsable d’un traitement n’est pas un professionnel de santé (médecin, pharmacien,profession paramédicale) et que les finalités ne concernent pas la médecine préventive, la recherche médicale,des diagnostics médicaux, l’administration de soins ou de traitements, ou à la gestion de service de santé, laprésence d’un médecin n’est pas obligatoire, et il est impossible de s’opposer au contrôle.NB : Toutefois l’esprit du texte devrait permettre d’inclure les traitements des intermédiaires de santé (assurance,mutuelle) dont la finalité du traitement est de gérer un service de santé.NB : L’article 68 du décret autorise le Président de la Commission à désigner un médecin à partir d’une listed’experts judiciairesLes agents de la CNIL peuvent-ils être accompagnés d’experts techniques tiers ?Oui. Lors des missions de contrôle sur place, l’assistance d’experts désignés par l’autorité dont ils dépendentpeut être demandée par le président de la commission. Leurs frais et honoraires sont à la charge de laCommission (article 63 du règlement intérieur – délibération CNIL n°2006-147 du 23 mai 2006).Page 60 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

Les commissaires de la CNIL peuvent-ils prendre part aux contrôles sur place ?Oui. Les 17 commissaires peuvent procéder à des missions de contrôle en sus des 44 agents de la CNIL qui sonthabilités par la CNIL à participer à des missions de contrôle 62 (dont 28 agents sont habilités à participer aucontrôle de fichiers de police et de justice et dont certains sont habilités « secret-défense»).Les agents de la CNIL peuvent-ils être accompagnés d’observateurs ?Les auditions ont montré qu’il arrive que les agents habilités soient accompagnés d’observateurs : magistrats enformation, membre des entités chargées de la lutte contre la cybercriminalité, etc. Ces personnes ne peuvent enaucun cas prendre part au contrôle et, en conséquence, ne signent pas le procès-verbal. Le groupe AFCDP n’apas – pour le moment – obtenu de réponses aux questions suivantes : Le Responsable de traitement peut-ils’opposer à la présence de ces observateurs, et s’il s’y oppose quelles en sont les conséquences ? Quelle est lagarantie de confidentialité de ces observateurs ?Les agents de la CNIL peuvent-ils être accompagnés de journalistes ?C’est visiblement ce qui s’est passé lors d’un contrôle sur place effectué en 2009 à la mairie d’une grande villede Bretagne. Cette procédure a été relatée par le journaliste Franck Johannès dans un article intitulé « Sentinellesde l’informatique » paru dans Le Monde du 5 janvier 2010.« Il a sorti son costume du dimanche qui le serre un peu et il sue à grosses gouttes. Richard S. sait qu'il joue sachemise dans l'histoire. Les voilà. Les trois jeunes gens, parfaitement courtois et sérieux comme des papes, seprésentent d'une voix douce et lui tendent leur lettre de mission : ce sont les contrôleurs de la Commissionnationale de l'informatique et des libertés. Ils viennent vérifier le système bluetooth installé par la mairie : septbornes, disséminées dans la ville, envoient un message sur les portables lorsqu'on passe devant …/… La mairieet son prestataire vont recevoir une mise en demeure, comme dans 90 % des contrôles, avec desrecommandations classiques : le fichier doit être déclaré, puisqu'il s'agit du traitement d'informationspersonnelles; les bornes doivent signaler aux passants qu'ils peuvent accéder à leurs données personnelles et lasécurité informatique doit être renforcée. Richard S. s'éponge le front. Rien de bien méchant. L'équipe de laCNIL s'en retourne à Paris, rue Vivienne, dans l'hôtel particulier de la commission. L'immense majorité descontrôles de la CNIL - plus de 200 par an, presque tous inopinés - se passe paisiblement ».« Sentinelles de l’informatique » (extraits), Franck Johannès, Le Monde 5 janvier 2010.Il a également été reporté que la CNIL avait demandé à une société contrôlée si elle acceptait la présence decamera de télévision. La société a refusé.Dans le cas où le contrôle est effectué suite à une plainte, quand prend-t-on connaissance des détails decelle-ci ?D’après les auditions effectuées par le groupe AFCDP, il semble que les lettres de mission ne donnent aucuneinformation quant à la genèse du contrôle. Ce n’est que lors de celui-ci, au fur et à mesure de son déroulement, àpartir des questions posées par les agents et l’identification du traitement visé que le Responsable de traitementpeut commencer à se faire une idée de la raison à l’origine de ce contrôle sur place.Que doit-on mettre à disposition de l’agent de contrôle ?Comme l’indique l’article 21 de la loi Informatique & Libertés, « Les ministres, autorités publiques, dirigeantsd’entreprises publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ouutilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s’opposer à l’action de lacommission ou de ses membres et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche ».Plus concrètement, il convient de prévoir ;• un poste de travail pouvant être mis rapidement à disposition62 Source : Entendu lors d’un Atelier de la CNILPage 61 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

• un « profil » (droit d’en connaître) restreint au périmètre de la mission de contrôle• des « droits » à affecter aux agents de la CNIL 63L’agent de contrôle a-t-il accès à toutes les données ?Dans le cadre de sa lettre de mission, la délégation peut demander communication de tous documents nécessairesà l’accomplissement de sa mission, quel qu’en soit le support, et en prendre copie. Elle peut accéder auxprogrammes informatiques et aux données, ainsi qu’en demander la transcription par tout traitement appropriédans des documents directement utilisables pour les besoins du contrôle.On signalera pour mémoire le décret n° 2007-914 du 15 mai 2007 pris en application de l'article 30 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (J.O n° 113 du 16 mai 2007 page9185), qui soustrait du pouvoir de contrôle de la CNIL les :• fichiers gérés par la direction de la surveillance du territoire• fichiers mis en œuvre par la direction générale de la sécurité extérieure ;• fichiers de la direction de la protection et de la sécurité de la défense ;• fichiers d'informations nominatives mis en œuvre par la direction du renseignement militaire;• traitements automatisés d'informations nominatives mis en œuvre par la direction de la protection et de lasécurité de la défense ;• traitements automatisés d'informations nominatives « fichier de la DGSE» mis en œuvre par la directiongénérale de la sécurité extérieure ;• traitements automatisés d'informations nominatives « fichier du personnel de la DGSE » mis en œuvre par ladirection générale de la sécurité extérieure ;• traitements automatisés d'informations nominatives de personnes étrangères mis en œuvre par la directiondu renseignement militaire.L’agent de contrôle peut-il accéder aux sauvegardes et aux archives ?Oui. Il faut penser à prévenir le prestataire concerné si ces données sont hébergées par des tiers (il recevra peutêtrela visite des agents de la CNIL).L’agent de contrôle opère-t-il lui-même aux recherches ?C’est souvent le cas. L’une des entreprises contrôlées a eu la surprise de constater qu’un agent habilité utilisaitun périphérique amovible (clé USB). La présence d’administrateurs ou d’opérateurs techniques est doncimpérativement requise.Réflexions soulevées au sein du groupe de travail AFCDP :« Nous avons mis en place un strict dispositif de gestion des identités et des accès. Toute action sur les donnéesles plus sensibles est tracée. En conséquence il n’est pas envisageable que, lors d’un contrôle, les agents de laCNIL utilisent les droits de l’un de nos collaborateurs. Il nous faudra prévoir, au cas où, des droitsspécifiques ».Que risque-t-on à fournir de fausses informations ?Si la CNIL n'a pu exercer son contrôle normalement, l’article 51 de la loi punit d’un an d’emprisonnement et de15 000 € d’amende l’entrave à l’action de la CNIL. La communication d'informations non conformes au contenudes enregistrements tel qu’il était au moment où la demande de la CNIL a été formulée est considérée commeune entrave.Le Président de l’Association Spirituelle de l’Eglise de Scientologie d’Ile de France (ASESIF) a été condamné à5.000 € avec sursis 64 pour avoir « envoyé volontairement à la Cnil des informations qu’il savait inexactes »,montrant ainsi « la volonté d’éluder le contrôle de la commission » (Cour de Cassation Criminelle. 28 septembre2004 Pourvoi n° 03-86604)63 Des droits spécifiques temporaires, ou bien les laisse-t-on « usurper » les droits d’un collaborateur ?64 http://www.droitdesreligions.net/juris/ccass/20042809.htmPage 62 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

L’agent de contrôle peut-il questionner n’importe quel salarié ?La délégation peut recueillir, sur place ou sur convocation 65 , tout renseignement et toute justification utiles.Lors des contrôles, il n’est pas rare de voir les collaborateurs de l’organisme « rôder » spontanément autour desagents de la CNIL. Il est recommandé d’inviter au plus vite les agents de la Commission dans un local neutreprévu à cet effet.Peut-on laisser l’agent de contrôle seul durant sa mission ?Ce n’est pas recommandé.Entendu lors d’une formation : « Il est arrivé une fois que les agents de la CNIL se retrouvent seuls, livrés àeux-mêmes lors d’un contrôle ! Tout le personnel du site, persuadé qu’ils étaient accompagnés par un collègue,avait débauché… ».Peut-on refuser de signer le procès-verbal ?Oui. Le défaut de signature ne fait pas obstacle à l’établissement du procès-verbal, ce dernier devant simplementporter mention du refus (art. 64 décret).L’ambiance dans laquelle le contrôle s’est déroulé donne-t-elle une indication fiable de la suite qui seradonnée ?Non. Les auditions AFCDP ont montré des cas dans lesquels le contrôle s’est déroulé de façon tendue mais sansconséquence par la suite, et d’autres cas où, en dépit d’une ambiance détendue les suites se sont révélées moinssouriantes.Peut-on être informé du résultat d’un contrôle sur place que l’on a subi en lisant la presse ?C’est ce qui est arrivé à la RATP le 4 février 2010, la CNIL lui ayant adressé ses conclusions en même tempsqu’elle diffusait son communiqué de presse intitulé « Deuxième contrôle des passes anonymes NAVIGO ».Peut-on arguer du fait que la proposition de sanction est mal fondée si celle-ci ne s’appuie sur aucune miseen demeure préalable, mais uniquement sur une mission de contrôle sur place ?Non. Lors de son audition du 14 décembre 2006, la société Tyco Healthcare France a tenté de soutenir que laproposition de sanction proposée par le rapporteur serait mal fondée sur le plan juridique dans la mesure oùcelle-ci ne s’appuierait sur aucune mise en demeure préalable mais uniquement sur la réalisation de la mission decontrôle réalisée en ses locaux le 12 juillet 2006. Sur ce point, la Commission a observé qu’une procédure desanction peut être engagée lorsque le responsable d’un traitement ne se conforme pas à la mise en demeure quilui est adressée (article 45 de la loi du 6 janvier 1978 modifiée le 6 août 2004). La procédure de sanction engagées’appuyait donc sur la mise en demeure prononcée par la CNIL le 10 mai 2006 et sur la réponse adressée par lasociété Tyco le 1er juin 2006. La Commission estime à cet égard que les informations transmises par la sociétéTyco Healthcare France dans son courrier du 1er juin 2006 ne permettaient pas de connaître le sort exact ayantété réservé au traitement objet de la mise en demeure du 10 mai 2006.Peut-on opposer le fait que la décision de mission de contrôle ne vise pas formellement la mise en demeurepréalable ?Non. (cf. cas Tyco Healthcare) La Commission a estimé que l’existence d’une procédure de mise en demeure n’aaucune incidence sur le formalisme à respecter pour la réalisation d’une telle mission de contrôle et a considéréque la procédure de sanction était pleinement régulière.65Cette procédure de convocation figure à l’article 44-III. L’article 66 du décret définit clairement ce type de contrôle : « en application dupremier alinéa du III de l’article 44 de la loi du 6 janvier 1978 susvisée, les personnes chargées du contrôle peuvent convoquer et entendretoute personne susceptible de leur fournir tout renseignement ou toute justification utile pour l’accomplissement de leur mission ». Laconvocation, adressée par lettre remise contre signature, ou remise en main propre contre récépissé ou acte d’huissier, doit parvenir aumoins huit jours avant la date de son audition. La convocation rappelle à la personne convoquée qu’elle est en droit de se faire assister d’unconseil de son choix. Un procès verbal est dressé dans les conditions prévues à l’article 64. Lorsque l’intéressé ne se rend pas à l’audition, ilen est fait mention dans un procès-verbal de carence établi par les personnes chargées du contrôle.Page 63 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

Qui supporte les frais provoqués directement par le contrôle ?L’entité contrôlée. A ce jour, la CNIL estime que ses exigences, lors de ces missions, n’a jamais engagé de fraisexagérés (par exemple, lorsque les agents demandent une copie de données). Les frais de conseils (avocats) et dedéplacement du CIL sur les lieux du contrôle restent naturellement à la charge de l’entité contrôlée.En Allemagne, une entreprise de la Région de Niedersachsen a été contrôlée et s’est vue infligée une amendepour non respect du Bundesdatenschutzgesetz. L’autorité de contrôle lui a en plus facturé le tempsd’intervention de ses agents au taux horaire de 100€. L’entreprise a porté l’affaire en justice : Le tribunal adonné raison à l’Autorité Administrative et a informé le plaignant que s’il avait été en conformité il n’aurait paseu à régler cette facture.Les frais et honoraires des experts qui accompagnent les agents de la CNIL sont à la charge de la commission.Un contrôle sur place peut-il faire suite à un contrôle sur pièces ?Oui, les agents de la Commission peuvent venir vérifier sur place la véracité des réponses apportées parl’entreprise dans le cadre d’un contrôle sur pièces. Le cas s’est produit par exemple pour une entreprisecommercialisant des fenêtres. En juin 2007 une mission de contrôle sur pièces avait été réalisée auprès de cetteentité sous la forme de l’envoi d’un courrier portant sur la politique commerciale mise en œuvre au sein de lasociété. La CNIL lui a notamment demandé de préciser la nature des opérations de prospection réalisées, lesdonnées utilisées et les conditions de prise en compte du droit d’opposition. La commission, s’estimantinsuffisamment informée par la réponse fournie par la société a décidé de procéder à une mission de vérificationsur place en novembre, visite qui a mis en évidence des écarts entre annonces et faits.Un contrôle CNIL peut-il avoir pour origine la HALDE ?Oui. La CNIL a établi, en mai 2006, une convention de partenariat avec la HALDE (Haute autorité de luttecontre les discriminations et pour l’égalité) qui prévoit échanges d’informations et contrôles communs aux deuxautorités. www.halde.frLors de ses propres contrôles, si les agents de la Halde constatent des points importants de non-conformité« Informatique et Libertés » (comme des collectes de données interdites telles que les données dites « raciales »),il y a communications des éléments d’une autorité vers l’autre. Messieurs Alex Türk et Louis Schweitzer ontsigné le 3 mai 2006 une convention qui prévoit – entre autres – « des échanges d'informations entre les deuxautorités, la réalisation commune de missions d'information, de réflexion ou encore de contrôle ».Pouvez-vous indiquer quelques manquements relevés à l’occasion de contrôles sur le périmètreRessources Humaines ?• dossiers papier Ressources humaines comportant des CV d’anciens candidats ou des copies dediplômes ;• outils de CRM (gestion de la relation clients) non déclarés ;• dispositifs de destruction de documents (shredder) non-effectifs (Courant 2009, lors d’un contrôle surplace, les agents de la CNIL ont tenu à « recadrer » un dispositif de ce type, pas assez sécurisé à leurgoût au sein d’un acteur du monde de la santé).Nous avons fait l’objet d’un contrôle sur place il y a déjà plusieurs mois et aucune suite n’a été donnée.Cela signifie-t-il que la procédure est terminée ?En aucune façon. Lors des auditions menées par l’AFCDP, plusieurs entités nous ont indiqué avoir reçu unelettre de la CNIL plus d’un an après la visite. Dans le cas de clôture, apparemment rien n’oblige la Commission àtenir informée l’entité contrôlé des suites données : celle-ci se retrouve ainsi dans une situation bieninconfortable. Tant qu’un courrier de la CNIL n’est pas parvenu, le CIL ne peut assurer à son Responsable detraitement que l’incident est définitivement clos. Le Correspondant a donc intérêt, passé un délai raisonnable, deprendre attache avec la Commission.Page 64 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

Par contre, dans le cas où la plainte a été déclenchée par une plainte, le plaignant est informé des suites données :« Vous avez déposé une plainte il y a plus de deux mois, et vous souhaitez être informé des suites données par laCNIL. Vous pouvez nous contacter par téléphone (01 53 73 22 22) en rappelant le numéro de votre dossier quifigure sur l’accusé de réception qui vous a été adressé » (site Web de la CNIL).Le CIL est-il en copie du courrier adressé par la CNIL au Responsable de traitement suite au contrôle ?Par le passé ça n’a pas toujours été le cas. Le Service des Correspondants Informatique et Libertés de la CNIL yremédie mais il est conseillé aux CIL de demander à leur Responsable de traitements de les informersystématiquement des courriers qu’ils reçoivent de la Commission.La CNIL peut-elle procéder à un nouveau contrôle pour vérifier que ses « recommandations » suite à unpremier contrôle ont bien été appliquées ?Oui. La formation contentieuse de la CNIL a condamné en juillet 2009 deux études pour avoir enregistré desinformations excessives dans leur fichier de débiteurs. A la suite d'un premier contrôle, il est apparu que deuxSCP d'huissiers de Montpellier partageaient les mêmes locaux et aussi le même fichier de débiteurs. Ce fichiercomprenait des commentaires qui n’auraient pas dû s’y trouver. Mis en demeure, les deux organismes s'étaientengagés en mars 2007 à effacer les termes illicites de leur fichier. Toutefois, un second contrôle, réalisé en 2009,a permis de constater que le fichier contenait toujours des renseignements excessifs concernant l'état de santé etles infractions commises par les débiteurs. Compte tenu de la réitération des manquements et du non-respect desengagements pris en 2007, la Commission a prononcé le 9 juillet 2009 une sanction pécuniaire de 10 000 euros àl'encontre de chacune des études. Au-delà des faits constatés, cette affaire illustre ainsi la vigilance de la CNILdans le cadre de ses pouvoirs de contrôle a posteriori. Elle rappelle aussi sa faculté de réaliser de nouveauxcontrôles et, le cas échéant, de sanctionner les manquements persistants. Si un organisme mis en demeure peutéchapper à une sanction, c'est à la condition que les modifications qu'il s'est engagé à effectuer soient réelles etconcrètes. (source : « Des huissiers persistent, la CNIL sanctionne ! » Site Web de la CNIL le 22 février 2010).On peut également citer la société de prêt-à-porter qui a fait l’objet le 16 avril 2009 d’une sanction pécuniaired’un montant de 10 000 euros et qui avait fait l’objet de plusieurs contrôles sur place.Sur quels critères la CNIL décide de rendre publique ses sanctions ?Comme la Loi le lui permet, la Commission rend publique les sanctions qu’elle inflige en cas de mauvaise foi.Une fois au moins, cependant, c’est l’entité sanctionnée qui a provoqué cette publication 66 !Notons que l’article 10 de la proposition de loi desSénateurs Yves Détraigne et Anne-Marie Escoffier 67 vise àrendre publique les séances de la commission restreinte dela CNIL « afin de tirer les conséquences d'une ordonnancedu Conseil d'État du 19 février 2008 qui reconnaît soncaractère juridictionnel ».Figure 19 : Page du site Web de la CNIL listant lessanctions.Vaut-il mieux être contrôlé par la CNIL ou saisi devantun juge ?Des auditions menées par le groupe de réflexion AFCDP –notamment d’organismes ayant vécu ces deux expériences –il apparaît que la procédure CNIL laisse plus de place pourla discussion et le contradictoire.66 « Dans la mesure où le responsable de Palmares.com met en cause cette décision sur son site, la CNIL a décidé, à titre exceptionnel, derendre publique cette mise en demeure ».http://www.cnil.fr/la-cnil/actu-cnil/article/article/2/la-cnil-ninterdit-rien-mais-veille-au-respect-de-la-loi/67 http://www.senat.fr/leg/ppl09-093.htmlPage 65 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

Subir un contrôle sur place, pour un CIL, est-ce une bonne chose ?C’est à coup sûr une expérience stressante, mais si aucune non-conformité sérieuse n’a été relevée, cela peuts’avérer très productif. Comme nous l’a indiqué un CIL qui a vécu cette situation : « Je sens désormais que l’onm’écoute davantage et ma position est renforcée – et je n’entends plus de réponse désabusée du style « Tu sais,la CNIL… ». Il y a clairement un avant et un après le contrôle ». Les CIL vont-ils bientôt souhaiter d’êtrecontrôlés ?Dans son rapport d’activité 2005 la CNIL s’était félicitée du fait qu’un contrôle opéré dans un seul établissement« a eu des répercussions au sein de l’ensemble d’un groupe hôtelier international qui a adopté un plan d’actiongénéral destiné à garantir le respect de la loi informatique et libertés ».Des contrôles sur place ont-ils déjà été effectués suite à une alerte du CIL ou sur demande du Responsablede traitement ?La situation s'est déjà produite, soit que le contrôle ait été expressément demandé par l'entreprise (à des finsd'audit), soit que l'évolution d'un dossier justifie la réalisation d'un contrôle. Sur ce dernier point, il fautnéanmoins rappeler que les agents en charge du conseil et ceux en charge du contrôle n'appartiennent pas à lamême direction et qu'il est d'usage, sauf cas particulier, de ne pas engager une procédure de contrôle à l'égardd'une entreprise qui de bonne foi vient demander conseil auprès de la CNIL au sujet d'une difficulté qu'ellerencontre.Il manque, d’après vous, une question à cette F.A.Q ?Merci de nous la suggérer, par email à charge-mission@afcdp.net17. Contrôles sur place effectuées par d’autres autoritésIl peut être intéressant de prendre connaissance des modalités des contrôles sur place qui sont effectués pard’autres autorités, mais uniquement pour en dégager les enseignements qui pourraient être utiles auCorrespondant Informatique et Libertés, par analogie, afin de se préparer sereinement à un éventuel contrôle dela CNIL.Merci de vos contributions, par email à charge-mission@afcdp.net17.1. Contrôles sur place menés par la HALDE17.2. Contrôles sur place menés par la DGCCRF17.3. Contrôles sur place menés par l’ACAMIssue de la fusion de la Commission de contrôle des assurances et de la Commission de contrôle des mutuelles etdes institutions de prévoyance, l’Autorité de contrôle des assurances et des mutuelles (ACAM) est chargé decontrôler l’ensemble des acteurs du marché français de l’assurance et de la mutualité.En synthèse, voici les caractéristiques de ces contrôles :• Les acteurs sont soumis à un contrôle permanent, sur pièces et sur place.• Les contrôles sont effectués par des contrôleurs de l’ACAM répartis en « brigades » afin d’assurer unsuivi personnalité auprès de chaque organisme.• Ces brigades peuvent bénéficier du concours de cellules spécialisées dans la lutte anti-blanchiment.• Un programme de contrôles est arrêté chaque année, sur proposition du Secrétaire général.• Le programme ne fait pas obstacle à des contrôles « en urgence ».• Les agents de l’ACAM appelés à effectuer des contrôles y sont habilités et présentent un ordre demission. Quand il intervient auprès d’un organisme relevant de sa brigade, le contrôleur n’a pas àjustifier un ordre de mission. Il peut, si nécessaire, effectuer des contrôles inopinés.Page 66 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

• Les contrôleurs sont tenus au secret professionnel. Ils ne sauraient accepter aucun cadeaux ou avantaged’un organisme placé sous le contrôle de l’ACAM.• Les contrôleurs informent les organismes contrôlés du déroulement des opérations de vérification. Unedurée indicative est communiquée.• L’organisme contrôlé peut se faire assister par toute personne de son choix.• L’organisme contrôlé doit coopérer et répondre avec diligence et professionnalisme à toute demandedes contrôleurs.• Les contrôleurs ont accès aux locaux et peuvent se faire remettre tout document utile.• L’ACAM peut porter à la connaissance du public toutes les informations qu’elle estime nécessaires.• Tout obstacle au contrôle ou toute entrave sont constitutifs de délits (deux ans de prison et 300.000 €d’amende).• Les personnes morales peuvent être déclarées pénalement responsables et encourent la peine d’amendeprévue par le code.• A l’issue d’un contrôle plusieurs mesures peuvent être adoptées (mesures d’urgence, recommandation,sanction, etc.). Les décisions de l’ACAM sont susceptibles de recours.• L’ACAM peut décider de la mise sous surveillance spéciale et exiger la mise en œuvre d’un programmede rétablissement.• L’ACAM peut prononcer des sanctions disciplinaires à l’égard des personnes, allant du simpleavertissement au retrait total des agréments. Elle peut prononcer en outre des sanctions pécuniaires. Lesdirigeants peuvent faire l’objet d’une sanction à raison de leurs agissements personnels. Dans ce cas, lessanctions comprennent la suspension temporaire ou la démission d’office.• L’ACAM peut rendre publique ses décisions, aux frais de la personne sanctionnée.• Lorsqu’elle relève des faits de nature à justifier des poursuites pénales, l’ACAM transmet de dossier auProcureur de la République. Cette saisine intervient sans préjudice de sanctions que l’ACAM peutprononcer à l’encontre de l’organisme ou de ses dirigeants.18. Analyse de quelques cas de sanctionSur son site Web la CNIL dresse un inventaire des sanctions qu’elle prononce 68 .Le groupe de travail AFCDP s’est penché sur quelques cas notables.18.1. Quand la CNIL choisit de communiquerLa CNIL a choisi de communiquer sur certaines de ses sanctions.On perçoit à travers ces choix les différents messages que la commission veut faire passer ;• Crédit Lyonnais : « Vous voyez, désormais personne ne peut se sentir à l’abri des sanctions de la CNIL,et nous n’avons pas peur de pénaliser une société très connue, du secteur bancaire de surcroît »,• Huissier X : « Mais nous pouvons aussi nous attaquer à des structures plus petites et à des métiers quiauraient pu se croire au dessus des lois »,• HealthCare : « Avant de respecter les consignes de sa direction américaine, une société basée enFrance doit respecter la loi européenne… »Sur ce dernier exemple, le directeur informatique de la filiale française d’un (très) grand groupe américain nous aconfié que sa direction Corporate a changé d’attitude de façon radicale, suite à la condamnation d’HealthCareFrance. Alors que ses recommandations étaient restées jusque là lettre morte, il a été invité à « prendre toutemesure nécessaire » pour que sa société ne se retrouve pas dans une situation similaire. C’est le risque dedégradation de l’image de l’entreprise (impact « business ») qui prédomine ici.Dans son rapport d’activité pour l’année 2008, la CNIL souligne que « C’est même parfois tout un secteur outoute une profession qui tirent les leçons de l’intervention de la formation restreinte de la CNIL ».68 http://www.cnil.fr/en-savoir-plus/deliberations/sanctions/Page 67 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

18.2. De la difficulté de sortir du FICPDélibération n°2006-174, en date du 28 juin 2006Type de la décision : Sanction pécuniairePremier griefLes faits : Une personne a été inscrite au Fichier national des incidents de remboursement des crédits auxparticuliers (FICP) par le Crédit Lyonnais suite à un incident de paiement. La résolution de cet incident a étéconfirmée ultérieurement à cette personne par LCL. Pourtant, la Banque de France a confirmé à la CNIL quel’inscription au FICP était encore active plusieurs mois après, malgré la levée de l’incident de paiement.Les demandes de la CNIL : La CNIL a demandé à LCL de lui préciser la nature des incidents de paiement àl’origine de l’inscription au FICP, et de lui expliquer pourquoi celle-ci n’a pas été levée lors de leurrégularisation. LCL a répondu à ces interrogations en expliquant simplement que cette inscription avait été faiteen raison d’ « anomalies » et que les incidents de paiement étaient bien régularisés.La CNIL a renouvelé sa demande pour obtenir des précisions complémentaires, mais LCL a indiqué ne pas êtreen mesure de les lui fournir, arguant du fait que ces informations n’avaient pas été archivées ni historisées.Les démarches de la CNIL : La CNIL a effectué une première opération de vérification au niveau del’agence gestionnaire du compte bancaire litigieux. Le compte ayant été fermé, il n’était a priori pas possibled’obtenir des informations sur place. A cette occasion, LCL a invoqué dans ses correspondances l’existence d’un« droit à l’oubli » de ses anciens clients.La CNIL a alors demandé à LCL les coordonnées de ses centres informatiques. LCL s’est contenté de seprononcer sur la nature du compte litigieux sans donner de précision concernant la localisation de ses servicesinformatiques, information néanmoins obtenue après de nombreux échanges téléphoniques.Lors d’une nouvelle visite, la CNIL a découvert que LCL avait bien conservé une trace informatique del’inscription au FICP qui étaient donc effectivement archivées et historisées. Elle a par ailleurs appris que lamainlevée de l’inscription au FICP avait été tardive en raison d’un changement de prestataire empêchant ledéfichage automatique de certains clients, et entraînant des difficultés techniques dont la CNIL n’a pas étéavisée.La CNIL a mis LCL en demeure de justifier ces anomalies et de démontrer qu’il n’y a pas eu dissimulation depreuve. LCL a expliqué que l’application informatique en cause était protégée et que les collaborateurs yaccédant n’étaient pas identifiés de manière adéquate. LCL s’est engagé à revoir cette organisation.Second griefLes faits : La CNIL a reçu en 2005 trois plaintes émanant d’inscrits au fichier des retraits "CB" (Banque deFrance).Les demandes de la CNIL : La CNIL a demandé à LCL de lui indiquer la nature exacte des incidents defonctionnement des comptes bancaires de ces personnes, résultant de l’usage d’une carte, et ayant entraîné leurinscription dans ce fichier.Les démarches de la CNIL : Le Crédit Lyonnais n’a apporté aucune suite à ces demandes et a opposé à la CNILle secret professionnel. Celle-ci a objecté que l’opposabilité du secret professionnel n’était pas recevable lorsquela demande de vérification avait été formulée directement auprès d’elle par le titulaire du compte bancaire luimême.La CNIL a alors mis LCL en demeure de fournir tout information sur l’origine de l’inscription de ces personnesau fichier des retraits CB. LCL a bien communiqué à la CNIL diverses informations, mais sans présenter lesincidents de fonctionnement des comptes à l’origine de l’inscription.Les références de la Loi Informatique et LibertésPage 68 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

Article 11-2°-c prévoyant que la CNIL reçoit les plaintes relatives à la mise en œuvre des traitements de donnéesà caractère personnel.Article 21 al. 2 disposant notamment que « les […] dirigeants d’entreprises publiques ou privées, responsablesde groupements divers et plus généralement les détenteurs ou utilisateurs de traitements ou de fichiers dedonnées à caractère personnel ne peuvent s’opposer à l’action de la Commission ou de ses membres et doiventau contraire prendre toutes mesures utiles afin de faciliter sa tâche ».Article 51 disposant « qu’est puni d’un an d’emprisonnement et de 15 000 € d’amende le fait d’entraver l’actionde la Commission nationale de l’informatique et des libertés : 2° en dissimulant [des] documents ourenseignements, ou en les faisant disparaître ; 3° Soit en communiquant des informations qui ne sont pasconformes au contenu des enregistrements tel qu’il était au moment où la demande a été formulée ou qui neprésentent pas ce contenu sous une forme directement accessible ».Les sanctionsLa CNIL remarque que LCL n’avait ni justifié les incohérences entre les faits relevés lors des visites et lesréponses apportées (de manière inexacte pendant près d’un an), ni démontré qu’il n’y avait pas eu dissimulationde preuve (premier grief), et qu’il n’avait pas non plus communiqué les informations exigées et portant sur lespersonnes inscrites au fichier des retraits CB. Il a été relevé que LCL avait pourtant bien ces informations en sapossession.Au regard de la gravité des éléments constatés, la CNIL a prononcé une sanction pécuniaire de 45.000 euroscorrespondant au triple de la somme mise en recouvrement concernant le premier grief (soit 30.000 euros) àlaquelle s’ajoute la somme forfaitaire de 5.000 euros pour chacune des autres plaintes relevant du secondgrief (soit 15.000 euros).La CNIL a également décidé de sanctionner la mauvaise foi de LCL par la publication d’un extrait de sadécision dans les quotidiens Le Figaro et La Tribune.La communication de la CNILDans son rapport annuel 2006 (dévoilé le 9 juillet 2007), la CNIL a décidé de consacrer une interview deMonsieur Philippe Nogrix (Sénateur de l’Ille-et-Vilaine, Commissaire en charge du secteur «Monnaie et crédit»et Rapporteur en formation restreinte dans le dossier Crédit Lyonnais) à cette sanction :En quoi la décision de sanction du Crédit Lyonnais vous paraît- elle exemplaire ?Philippe Nogrix : « La décision de sanction financière d’un montant de 45000 euros prise à l’encontre du CréditLyonnais est fondamentale, et ceci pour deux raisons. La CNIL a tout d’abord sanctionné une pratique qu’elleestime être particulièrement stigmatisante pour les personnes concernées, à savoir le fichage abusif dans lesfichiers de la Banque de France. Ce faisant, la CNIL entend utiliser ses nouveaux pouvoirs de sanction afin degarantir le respect des droits fondamentaux des personnes. Mais la CNIL a également sanctionné le manque decoopération dont il avait été fait preuve dans le cas d’espèce. Il convient ainsi de rappeler qu’aux termes de laloi informatique et libertés, tout responsable de traitement est tenu à une stricte obligation de collaboration et detransparence vis-à-vis de la CNIL.Au-delà, je crois au caractère pédagogique des décisions de sanction prononcées par la CNIL. Par la prise deconscience qu’elle a entraînée, la décision Crédit Lyonnais a eu des répercussions positives au sein del’ensemble de la profession bancaire ».À la lumière de cette première expérience, considérez-vous que la possibilité de prononcer des sanctionspécuniaires va changer le rapport CNIL/responsables de traitement ?Philippe Nogrix : « La CNIL est une institution multiforme qui dispose, par la loi, d’une multitude decompétences très différentes. Tenue à une obligation de conseil à l’égard des responsables de traitement, elle estégalement une autorité de contrôle (contrôle des déclarations, instruction des plaintes et missions de vérificationsur place) et, désormais, une autorité de sanction.Page 69 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

Dans ce contexte, la CNIL s’engage, vis-à-vis de ses interlocuteurs, dans une démarche cohérente où la mise enœuvre d’une procédure de sanction n’est que l’aboutissement d’un long processus, lorsque les étapes préalablesdu conseil et du contrôle se sont avérées insuffisantes à engager par exemple une entreprise dans une démarchede mise en conformité.Le conseil, la recommandation et la persuasion sont préférables à l’injonction et à la contrainte. C’est donc lebon sens et l’intérêt stratégique qui justifient tout d’abord la mise en œuvre d’un partenariat entre la CNIL et lesresponsables de traitement. Pour autant, il faut clairement reconnaître que les nouveaux pouvoirs dont disposeaujourd’hui la CNIL modifient le regard que portent les responsables de traitement sur la réglementation. Eneffet, il est indéniable que le risque d’image et le risque juridique liés à l’exploitation de données personnellessont plus importants qu’ils ne l’étaient hier ».18.3. Du danger des zones de libre commentaireDélibération n°2006-173, en date du 28 juin 2006Type de la décision : Sanction pécuniaireLes faitsUn particulier reçoit courant 2005 une injonction de payer de la part d’une étude d’huissier avec l’indication« méchant imbécile » saisie à côté de son identité.Les démarches de la CNILLa CNIL a effectué un contrôle sur place afin de consulter les commentaires saisis dans la zone de bloc-notes.Après avoir demandé une extraction sur support papier, elle a constaté la présence de nombreux commentairesfaisant notamment apparaître des références relatives à l’état de santé des personnes, à leurs traits de caractère,ou à l’existence de mesures d’ordre pénal. Or ces commentaires sont dénués de toute objectivité et de pertinenceau regard du traitement mis en œuvre.La CNIL a également découvert dans la version informatisée du fichier la présence de commentairessupplémentaires, qui ne figuraient pas dans le fichier papier.Elle a enfin constaté que ce traitement n’avait pas été déclaré auprès de ses services.Les échanges avec la CNILLa CNIL a mis cette étude en demeure de procéder dans un délai de 10 jours à la suppression des mentionssusceptibles de ne pas être conformes à la Loi Informatique et Libertés.L’étude a assuré avoir épuré les zones de commentaires des observations visées par la CNIL dans sa demande.Elle a également sensibilisé les utilisateurs sur l’usage des zones de commentaires par voie d’affichage.La CNIL estime que l’étude ne démontre pas que l’ensemble du fichier a été contrôlé, ni que des mesures pourl’avenir ont été adoptées pour éviter de tels manquements. Un simple affichage constitue une mesureinsuffisante, ne constituant pas une démarche corrective significative.La CNIL a également demandé à l’étude de justifier la différence d’inscription entre le fichier informatisé et saversion papier, et de lui garantir qu’elle n’a pas tenté de dissimuler des preuves ou des informations qui auraientdû être communiquées à la délégation de la CNIL.L’étude avait refusé de communiquer le support informatique sur lequel se trouvaient des données relatives à sesclients aux motifs que des informations d’ordre comptable, soumises au secret professionnel, s’y trouvaientégalement. De plus, le prestataire désigné par l’étude et susceptible de réaliser cette opération n’était plusjoignable.Page 70 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

La CNIL estime de ce fait que les conditions du contrôle ne permettaient pas de démontrer l’absence d’unevolonté de dissimuler des informations à sa délégation, et que le secret professionnel ne pouvait lui être opposéqu’en vertu de dispositions législatives ou réglementaires spéciales qui n’avaient pas été rapportées en l’espèce.La CNIL a mis en demeure l’étude d’huissiers de procéder sous 10 jours à la déclaration de son fichier clients.L’étude a indiqué qu’elle utilisait un logiciel agréé par la Chambre Nationale des Huissiers de Justice, et quel’étude précédente, rachetée vingt ans auparavant, avait fait une déclaration dont la CNIL aurait dû se satisfaire.La CNIL a répondu que l’étude devait procéder à une déclaration, en sa qualité de responsable du traitement, carelle en détermine la finalité et les moyens. La déclaration précédente n’ayant pas été mise à jour, elle ne visaitpas l’actuelle activité de l’étude.Les références de la Loi Informatique et LibertésArticle 6-1° disposant que « les données sont collectées et traitées de manière loyale et licite »Article 6-3° disposant que « [les données] sont adéquates, pertinentes et non excessives au regard des finalitéspour lesquelles elles sont collectées et leurs traitements ultérieurs »Article 8° disposant que « il est interdit de collecter ou de traiter des données à caractère personnel qui fontapparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques,philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à lavie sexuelle de celles-ci »Article 9-2° disposant que « les traitements de données à caractère personnel relatives aux infractions,condamnations et mesures de sûreté ne peuvent être mis en œuvre que par […] les auxiliaires de justice, pour lesstricts besoin de l’exercice des missions qui leur sont confiées par la loi ».Les sanctionsLa CNIL remarque que l’étude d’huissiers ne s’était pas conformée à la mise en demeure lui demandant deprendre toute mesure permettant de procéder à la suppression des mentions litigieuses dans les zones decommentaire, de déclarer son fichier clients, et de démontrer qu’elle n’avait pas dissimulé de preuves oud’informations à destination de la CNIL.Au regard de la gravité des éléments constatés, la CNIL a prononcé une sanction pécuniaire de 5.000 euros.18.4. Fichier de ressources humaines et flux transfrontièresDélibération n°2006-281, en date du 14 décembre 2006Type de la décision : Sanction pécuniaireLes faitsMise en demeure d’apporter des précisions sur l’existence d’un fichier concernant un fichier international degestion des ressources humaines de ses 450 salariés, la société Tyco Healthcare France, spécialisée dans lafabrication de matériel médical, a communiqué à la CNIL des informations erronées, en indiquant avoirsuspendu la mise en œuvre de ce fichier.Les démarches de la CNILCe fichier avait été déclaré par la société Tyco Healthcare France à la Commission en septembre 2004. La CNILa demandé en février 2005 par courrier certains éléments d’information indispensables à l’instruction de cedossier. La société Tyco Healthcare France n’a apporté aucune suite satisfaisante aux demandes de laCommission réitérées par courrier en septembre 2005 et mars 2006. En effet, la réponse adressée par la sociétéTyco Healthcare France le 4 avril 2006 n’a pas permis d’apporter les réponses à l’ensemble des questionsformulées par les services de la CNIL dans le cadre de l’instruction du dossier de déclaration (le descriptif précisdes finalités exactes recherchées, les cas précis dans lesquels des données à caractère personnel sont envoyées enGrande-Bretagne et aux Etats-Unis, les lieux exacts d’implantation des serveurs et des systèmes, lesPage 71 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

fonctionnalités précises de l’application, les destinataires exacts des données, les mesures de sécurité assurant laconfidentialité des données et la durée de conservation des données).Au regard des faits précités, la Commission a, par délibération adoptée le 10 mai 2006, mis en demeure lasociété Tyco, sous dix jours, de répondre aux questions posées par la CNIL dans ses courriers (courriers des 21février, 19 septembre 2005, 21 mars 2006) ou de lui indiquer que le traitement précité avait été abandonné. Enréponse à cette mise en demeure, la société Tyco Healthcare France a indiqué, par courrier du 1er juin 2006, que« Le groupe Tyco au niveau international devait scinder les 4 secteurs d’activités qui le constituent actuellementen entités indépendantes. Cette scission doit intervenir d’ici la fin de l’année calendaire. Par conséquent lesprocédures et les demandes d’information qui avaient été mises en place sont dans les circonstances actuellessuspendues ».La CNIL ne s’estimant pas suffisamment informée par cette réponse sur le sort exact ayant été finalementréservé au traitement objet de la mise en demeure a fait procéder à une mission de contrôle sur place le 12juillet 2006 dans les locaux de la société Tyco Healthcare France. À cette occasion, les services de la CNILont constaté que le traitement objet de la mise en demeure, contrairement à ce qui avait été affirmé, était bienutilisé par la société Tyco Healthcare France.Au regard des documents communiqués (« International Database Project Update, Data Auditing and NextSteps, June 2006 » et « Guide de l’administrateur, Administration et traitement des données pour la base dedonnées internationales »), le traitement précité apparaît comme un outil de gestion essentiel, au plan mondial,de la politique salariale du groupe Tyco dont les finalités dépassent largement la finalité de « reporting » viséedans la déclaration du 22 septembre 2004 (« la finalité de cette base de données est purement celle d’un «reporting » vis à vis de notre hiérarchie européenne en ressources humaines »). Lors de la mission de contrôlesur place, il a également été constaté que de strictes et récentes procédures étaient mises en œuvre pour que lasociété Tyco Healthcare France alimente de façon régulière la base de données avec les informations concernantles salariés français.Un document interne datant de juin 2006 communiqué aux services de la CNIL lors de la mission de contrôle du12 juillet 2006 indiquait pourtant, concernant le traitement précité, que celui-ci sert à la gestion des stockoptions,la formation professionnelle, le niveau des rémunérations, la communication professionnelle, etc. LaCommission ne s’estimait donc pas informée sur le descriptif précis des finalités recherchées par le traitementdéclaré le 22 septembre 2004 par la société Tyco Healthcare France comme cela était pourtant demandé dans lamise en demeure du 10 mai 2006.S’agissant ensuite des cas précis dans lesquels des données à caractère personnel sont envoyées en Grande-Bretagne et aux Etats-Unis, le courrier du 4 avril 2006 se limitait à indiquer que « ces données peuvent êtretransmises du Royaume-Uni aux Etats-Unis si notre hiérarchie juge opportun de le faire ». Si le contrôle du 12juillet 2006 a permis d’établir une communication d’informations concernant le traitement objet de la mise endemeure entre la société Tyco Healthcare France et les locaux du groupe Tyco en Angleterre et aux Etats-Unis, iln’a pas été possible d’obtenir des informations précises sur les motifs liés à cet envoi d’informations. LaCommission ne s’estimait pas correctement informée des cas précis où des données à caractère personnel sontenvoyées dans les locaux du groupe Tyco en Grande-Bretagne et aux Etats-Unis comme cela était pourtantdemandé dans la mise en demeure du 10 mai 2006.S’agissant encore des lieux exacts d’implantation des serveurs et des systèmes, seul un schéma technique aété communiqué aux services de la Commission (« Schéma de fonctionnement informatique Tyco HealthcareFrance ») mais les adresses exactes des centres informatiques n’ont pas été communiquées à ce jour.S’agissant des questions posées concernant les destinataires exacts des données et la durée de conservationdes données, la Commission ne dispose à ce jour d’aucune réponse précise.S’agissant enfin des mesures de sécurité assurant la confidentialité des données, si la mission de contrôle du12 juillet 2006 a permis d’établir que l’accès aux ordinateurs de la société Tyco Healthcare France est sécurisépar mot de passe, la Commission ne dispose à ce jour d’aucune information technique précise sur les conditionsde sécurité liées à la conservation des données en Angleterre et aux Etats-Unis. Dès lors, la Commission nes’estime toujours pas correctement informée sur les lieux exacts d’implantation des serveurs et des systèmes, lesPage 72 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

destinataires exacts des données, la durée de conservation des données et les mesures de sécurité assurant laconfidentialité des données comme cela était pourtant demandé dans la mise en demeure du 10 mai 2006.Au final, les services de la CNIL ont constaté lors du contrôle sur place que non seulement la mise en œuvre dufichier n’était pas suspendue, mais que celui-ci était très régulièrement utilisé et mis à jour, en dépit desnombreuses incertitudes juridiques relevées par la CNIL (finalités du fichier, transmission du fichier sur le planinternational et mesure de sécurité notamment).Les sanctionsLa Commission observe à cet égard que la société Tyco Healthcare France n’a manifestement pas pris la mesurede la gravité des manquements qui lui sont reprochés concernant son manque de coopération (pouvantconstituer une infraction pénale d’entrave) et de transparence. Par ailleurs, la Commission enjoint la sociétéTyco Healthcare France de répondre, sous dix jour à compter de la notification de la présente délibération, àl’ensemble des demandes formulées par la CNIL dans sa mise en demeure du 10 mai 2006.La CNIL, en application des dispositions des articles 45 et suivants de la loi du 6 janvier 1978 modifiée le 6 août2004• a prononcé une sanction pécuniaire de 30.000 euros à l’encontre de cette société,• a décidé la suspension de la mise en œuvre de ce fichier,• a décidé de rendre publique sa décision.Les faits18.5. Du bon usage des données bancaires collectées par leshôtelsA la suite d’un contrôle au sein d’un hôtel, la CNIL a rappelé en mai 2007 les règles encadrant le traitement desdonnées bancaires des clients. Ces données doivent faire l’objet de mesures de sécurité particulières et leurconservation doit être limitée dans le temps. Ces rappels concernent aussi un grand nombre de professionnelsdisposant de fichiers clients.Le contrôle sur place de la CNIL avait pour objet de vérifier le respect par un hôtel de ses obligations en matièrede gestion de ses fichiers « clientèle ».Les manquements relevésParmi les manquements relevés, il a été constaté : l’absence d’une politique d’effacement des données collectées(certaines données étaient conservées depuis près de quinze ans), des mesures de sécurité insuffisantes au regardde la nature des données enregistrées (numéros de carte bancaire notamment) et un défaut d’information desclients sur les conditions de traitement de leurs données et des droits qui leur sont reconnus par la loi (droitd’accès par exemple).La Commission a insisté sur la nécessité d’effacer les données bancaires une fois la transaction réalisée, c’est-àdireaprès le paiement effectif. Cette exigence est destinée à limiter les cas d’utilisation frauduleuse de numérosde cartes bancaires. Seul le consentement exprès du client, préalablement informé de l’objectif poursuivi(faciliter le paiement par les clients réguliers de l’hôtel) peut justifier que les données soient conservées pluslongtemps.En outre, toutes les mesures garantissant la sécurité et la confidentialité des informations doivent être prises : àsavoir, protéger par des mots de passe l’accès aux fichiers « clientèle » et aux logiciels, chiffrer les donnéesbancaires stockées et sécuriser les accès et les liaisons aux sites de gestion de réservations en ligne (login, motsde passe, protocole sécurisé).Enfin, la CNIL a précisé que les clients doivent être informés par des formulaires de réservation en ligne, par lesfactures ou par voie d’affichage, de l’identité du responsable des traitements, de leurs finalités, des destinatairesPage 73 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

des données, du caractère obligatoire ou facultatif des réponses et des modalités d’exercice des droits d’accès, derectification et d’opposition.Les mesures prisesA l’issue du contrôle, la CNIL a pris contact avec la société éditrice du logiciel hôtelier, qui l’a modifié demanière à chiffrer les données clientèles et bancaires. Cette société a également informé l’ensemble de ses clientssur leurs obligations légales en matière de protection des données personnelles.18.6. Défaut d’information et listes noiresPlusieurs hypermarchés mis en demeure pour des dispositifs de contrôle des paiements par chèques (publié le 30octobre 2006 sur le site Web de la CNIL).Les faitsA l’occasion de plusieurs contrôles sur place, la CNIL a relevé plusieurs infractions ; manquement à l’obligationd’information, établissement de listes noires sans aucune autorisation de la Commission, non respect du droit àl’oubli.Les manquements relevésA l’occasion de plusieurs contrôles sur place, la CNIL a constaté que les caisses de nombreux hypermarchés sontéquipées d’un dispositif permettant de contrôler la régularité des chèques présentés en paiement par laclientèle grâce à la consultation du fichier national des chèques irréguliers (FNCI) mis en œuvre par la Banquede France. Or, aucune mention d’information ne figurait aux caisses concernant l’utilisation de ce dispositif.La CNIL a également relevé l’existence, au sein de ces hypermarchés, de listes noires de mauvais payeursdirectement accessibles par les différentes caisses des magasins sans autorisation préalable de la CNIL niinformation des clients.L’article 25 de la loi du 6 janvier 1978 soumet pourtant à l’autorisation préalable de la CNIL la mise en œuvre detelles listes noires qui, bien que légitimes, sont néanmoins susceptibles, de par leur portée ou leur finalité,d’exclure les personnes du bénéfice d’un contrat. De même, l’article 32 de la loi fait obligation à toutresponsable de traitement d’informer les clients, par exemple par voie d’affichage aux caisses du magasin, desdispositifs de contrôle mis en œuvre.La CNIL a par ailleurs rappelé que, s’il est possible au commerçant consultant le FNCI, via le service « Résist »,de conserver la trace de l’interrogation du fichier, en revanche, l’information relative à la situation d’interdictionbancaire d’un client (« Resist rouge ») ne peut être mémorisée. Le FNCI est en effet un fichier mis à jour enpermanence et la régularisation des impayés imputables à une personne a pour conséquence son effacementimmédiat du fichier. Cette mémorisation est, par conséquent, contraire aux dispositions de l’article 6 de la loiinformatique et libertés, qui pose le principe du droit à l’oubli. Cette mémorisation fait obstacle à l’ensemble desgaranties prévues par la loi concernant la mise en œuvre du FNCI.Les mesures prisesLors de la séance du 21 septembre 2006, la formation restreinte de la CNIL a mis en demeure plusieurshypermarchés de modifier leurs dispositifs de contrôle des paiements par chèques qui avaient été installés sansautorisation préalable de la CNIL ni information de la clientèle.Les hypermarchés contrôlés ont donc été mis en demeure de faire cesser ces différents manquements constatésdans un délai d’un mois. A l’issue de ce délai, une procédure de sanction pécuniaire aurait pu être engagée si leshypermarchés ne s’étaient pas mis en conformité aux termes de la mise en demeurePage 74 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

18.7. Collecte de données personnelles avec usurpation detitreDélibération en date du 27 avril 2006Type de la décision : Sanction pécuniaireA la suite de plaintes concernant les méthodes utilisées par des détectives privés pour retrouver les coordonnéesde débiteurs, la CNIL a réalisé cinq missions de contrôle sur place afin de s'informer sur les pratiques et lestraitements de données mis en œuvre par ces professionnels.Les contrôles effectués ont révélé une grande diversité dans les pratiques observées. Si certains professionnelsont bien pris en compte les dispositions de la loi Informatique et Libertés dans le traitement des donnéesconcernant leurs «clients», d'autres n'ont manifestement pas connaissance des règles à respecter.Les manquements relevésSur la base d’un rapport d’ensemble dont les principaux extraits sont mis en ligne sur le site de la CNIL, lessociétés contrôlées ont notamment été mises en demeure :• de procéder à la déclaration des traitements de gestion des enquêtes ;• d’apporter à la CNIL toute garantie permettant de considérer que, pour l’avenir, les modalités mises enœuvre pour la recherche des débiteurs, seront conformes aux dispositions de l’article 6-1° de la loi du 6janvier 1978 modifiée le 6 août 2004 et que, notamment, il ne sera plus procédé à l'usurpation detitres ou de fonctions ainsi qu’à des appels téléphoniques à des personnes soumises au secretprofessionnel afin d'obtenir des informations à caractère confidentiel ;• de prendre toute mesure nécessaire pour que, dans l’ensemble de ses traitements, les mentionsmanifestement contraires à la loi du 6 janvier 1978 modifiée (numéro de sécurité sociale, donnéesrelatives à la santé des personnes ou à leur passé judiciaire) soient supprimées ;• de limiter la durée de conservation des données sur les débiteurs à la durée du mandat concernant larecherche d'un débiteur particulier, de définir une politique d’archivage des rapports écrits adressés auxcréanciers ou aux cabinets de recouvrement de créances et de procéder, par voie de conséquence, à lapurge de l’ensemble des informations relatives à des enquêtes clôturées ;• d’apporter à la CNIL toute garantie permettant de considérer que la sécurité et la confidentialité sontassurées sur les données conservées dans les traitements mis en œuvre (niveaux d’habilitation,journalisation des accès, sécurisation des échanges par internet, clauses de confidentialité dans lescontrats clients ou salariés).Les mesures prisesLors de sa séance du 27 avril 2006, la formation restreinte de la CNIL, chargée de prononcer des sanctions, aadopté plusieurs mises en demeure à la suite de contrôles réalisés dans des cabinets de détectives privés.La CNIL a précisé que ces dossiers étaient susceptibles de donner lieu à des sanctions (injonction de cesser lamise en œuvre d’un traitement et sanction financière notamment) si les sociétés contrôlées ne régularisaient pas,dans le délai imparti par la CNIL, les manquements qui ont pu être constatés.18.8. Aucune possibilité d’exprimer son consentementDélibération en date du 6 mars 2008Type de la décision : CommunicationDébut 2008, le site Web Note2be propose aux élèves de noter leurs enseignants, en indiquant leur identité, leurétablissement d’affectation et la matière enseignée.La CNIL est saisie de plusieurs centaines de plaintes et procède, les 13 et 18 février 2008 à un contrôle sur place(effectué par trois agents habilités). Parallèlement, plusieurs plaintes sont déposées, dont celle du Syndicatnational des enseignants du second degré, auprès du juge des référés.Page 75 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

La presse et la télévision ont fait largement écho de ces faits.Les manquements relevésDans son communiqué du 6 mars 2008, la CNIL relève le manquement à l’article 7 de la loi informatique etlibertés ; « les enseignants doivent en effet être en mesure d’exprimer leur consentement ».Les mesures prisesLe 3 mars 2008, le site est condamné par le juge des Référés du Tribunal de Grande Instance de Paris àrembourser les frais de justice à hauteur de 3.000 euros au Snes et à « suspendre l’utilisation de donnéesnominatives d’enseignants aux fins de leur notation et leur traitement ». Cette suspension doit se faire sousastreinte provisoire d’une durée de trois semaines, avec 1.000 euros par infraction et jour de retard à compter del’expiration d’un délai de 48h après la signification de sa décision. Cette suspension s’étend également au forumassocié au site, qui devra « porter une modération préalable à la publication ». La société est égalementcondamnée à verser à chacun des demandeurs un euro à titre d’indemnisation provisionnelle.Quelques jours plus tard, la Commission Nationale Informatique & Libertés a publié son analyse suite à sescontrôles sur place :Les contrôles effectués par la CNIL les 13 et 18 février 2008 ont permis de constater que le système de notationdes enseignants de la société note2be.com poursuit une activité commerciale reposant sur l’audience d’un siteinternet qui ne lui confère pas la légitimité nécessaire, au sens de la loi, pour procéder ou faire procéder à unenotation individuelle des enseignants susceptible de créer une confusion, dans l’esprit du public, avec un régimede notation officiel. La CNIL a également relevé que cette note était attribuée de façon subjective par des tiersdont on ne peut vérifier la qualité.Conformément à ce que prévoit l’article 7 de la loi informatique et libertés, les enseignants doivent en effet êtreen mesure d’exprimer leur consentement. Dès lors, la société note2be.com ne saurait se prévaloir d’un «intérêt légitime » pour justifier l’absence de recueil du consentement des enseignants dont les données seraientdiffusées sur son site internet.Ceci étant, tenant compte de la publication de l’ordonnance du juge des référés du 3 mars 2008, la formationcontentieuse de la CNIL, lors de sa séance du 6 mars 2008, n’a pas jugé utile de faire usage de son pouvoir desanction. Toutefois, compte tenu du fait que la mise en ligne sur internet de la notation d’enseignants et de leurétablissement d’activité était susceptible de porter atteinte à leur vie privée en diffusant une affectation qu’ils ontpu souhaiter conserver confidentielle pour protéger leur vie privée, leur famille ou leur intégrité physique, laCNIL se réserve la possibilité d’user de son pouvoir de sanction en cas de nouveau manquement constaté 69 .A la date du 6 mars 2008, le site Note2be comportait un message des deux fondateurs « Note2be censuré…leTGI de Paris a également sanctionné Note2be par une obligation de modération du forum « a priori », ce quirevient à le censurer complètement compte tenu du très grand nombre de sujets postés, et de l’impossibilité detous les examiner avant leur publication. Cette décision remet en cause le fonctionnement même de tous lesforums de discussion, blogs et sites communautaires où les internautes pouvaient s’exprimer librement sur le netfrançais. La société Note2be a fait appel de la décision du 3 mars » et annonce une nouvelle ouverture du sitepour le 12 mars 2008. En date du 28 février 2010 ce site est en ligne.Figure 20 : Paged’accueil du sitewww.note2be.com69 Communiqué CNIL du 6 mars 2008 « La CNIL se prononce : le site note2be.com est illégitime au regard de la loi informatique etlibertés »Page 76 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

Le droit d’accès s’exerce désormais… au Brésil !Figure 21 : Mentionsaffichées par le site WebNote2be18.9. Défaut de sécuritéDécision de la CNIL en date du 20 mai 2008Type de la décision : Avertissement et communicationLe site internet entreparticuliers.com a pour but de mettre en relation des particuliers, vendeurs et acheteurs debiens immobiliers.La CNIL a été saisie de plaintes d'annonceurs particuliers, dénonçant des failles de sécurité (ils arrivaient àaccéder au compte d'autres annonceurs), l'absence de prise en compte de leur demande de suppression de leursdonnées personnelles, ainsi que leur démarchage par des agences immobilières.Après avoir mis en demeure la société d'améliorer l'information de ses clients sur les droits offerts par la loiinformatique et libertés et de prendre des mesures afin de sécuriser ses traitements informatiques, la CNIL aeffectué un contrôle sur place dans les locaux de cette société.Les manquements relevésCe contrôle a permis de constater les manquements suivants : une faille de sécurité permettant d'accéder àl'espace personnel des particuliers annonceurs (données de facturation, possibilité de modifier les annonces àleur insu…), l'absence de durée de conservation des données à caractère personnel, des carences en matièred'information sur les droits offerts par la loi informatique et libertés, en particulier l'absence de prise en comptedu droit d'opposition ou des mentions d'informations insuffisantes sur les formulaires en ligne, des campagnes deprospection commerciale par SMS ou courriel sans recueil du consentement préalable des personnes contactées(en violation de l'article L. 34-5 du code des postes et télécommunications).Les sanctionsEn raison de ces manquements à la loi informatique et libertés, par décision du 20 mai 2008, la CNIL, aprononcé un avertissement à l'égard de la société entreparticuliers.com18.10. Vidéosurveillance « sauvage »Délibération n° 2008-187 du 3 juillet 2008Type de la décision : Sanction pécuniaire et publicitéLa société ARCYDIS, dont le nom commercial est « Centre E-Leclerc », regroupe un hypermarché, uneparapharmacie, une station de distribution de carburant, un centre automobile ainsi qu'une cafétéria.Page 77 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

La CNIL a été saisie d'une plainte d'une personne ayant confié son véhicule au centre automobile, dont l'un desvendeurs l'a avertie qu'elle était l'objet de commentaires inscrits sur sa fiche client.Une délégation de la CNIL a procédé à une mission de vérification sur place le 16 janvier 2008.Les manquements relevésLa délégation de la CNIL a tout d'abord constaté que la société est équipée d'un dispositif de vidéosurveillance,composé de 47 caméras, qui filme la réserve, les lignes de caisse et le parking. Une autorisation préfectorale aété délivrée. Cependant, le système de vidéosurveillance enregistrant et conservant, dans un traitementautomatisé, des images prises dans des lieux non ouverts au public n'a pas été déclaré auprès de la CNILpréalablement à sa mise en œuvre. En outre, le public n'est pas informé.La délégation de la CNIL a ensuite constaté que le centre automobile de la société utilise un logiciel pour lagestion des ordres de devis, des ordres de réparation et des factures. Des commentaires sont enregistrés dans lechamp « remarque » de cette base de données afin de constituer au sein du centre automobile une liste desclients indésirables, dont fait partie le plaignant.Les commentaires suivants ont ainsi pu être identifiés : « Attention le monsieur est policier », « Attention client àproblème mari avocat maître chanteur voir monsieur R. avant intervention », « Attention ne rien vendre à ceclient suite problème montage jante date juillet 2007 », « Attention ne plus intervenir sur le véhicule client demauvaise foi problème crédit », « Attention faire signer l'ordre de réparation avant chaque intervention cliente aproblème».Aucune information n'est délivrée aux clients concernés par ce traitement de données à caractère personnel etaucune durée de conservation n'a été définie. Une déclaration simplifiée avait bien été déposée, mais cetraitement aurait dû faire l'objet d'une autorisation de la CNIL préalablement à sa mise en œuvre dans la mesureoù la liste des clients est susceptible d'exclure une personne du bénéfice d'une prestation ou d'un contrat.Les agents de la CNIL ont relevé par ailleurs que la société dispose d'un fichier des clients interpellés en cas deflagrant délit de vol. Sont consignés dans ce traitement manuel, l'identité civile, les date et lieu de naissance,l'adresse des personnes concernées, le jour et l'heure des interpellations, ainsi que les numéros des piècesd'identité. Aucune formalité préalable n'a été effectuée auprès de la CNIL concernant ce fichier. La durée deconservation des informations recueillies n'a pas été définie, et les personnes concernées ne bénéficient d'aucuneinformation.Enfin, la délégation a constaté que le logiciel permettant de gérer le temps de travail des salariés était mis enœuvre sans que les formalités nécessaires de déclaration auprès de la CNIL n'aient été accomplies.Les mesures prisesPar délibération du 6 mars 2008, la CNIL a mis en demeure la société la société, sous un délai d'un mois, deprocéder à l'accomplissement des formalités préalables pour l'ensemble des traitements automatisés de données àcaractère personnel mis en œuvre, de déposer auprès de ses services une demande d'autorisation d'un fichier declients au sein duquel la société enregistre des commentaires concernant des personnes pour qui elle ne souhaiteplus effectuer de réparations automobiles, de procéder à la suppression de l'ensemble des commentairessusceptibles de ne pas être conformes la loi du 6 janvier 1978 modifiée, de lui communiquer l'intégralité desmesures prises pour respecter les dispositions de l'article 32 de la loi du 6 janvier 1978 (droit à l'information), dedéfinir une durée de conservation proportionnée à la finalité de ses fichiers et de justifier auprès de la CNIL quel'ensemble des demandes précitées a bien été respecté.La société n'a adressé aucune correspondance à la CNIL relative à cette mise en demeure mais a adressé à laCommission un formulaire de désignation d'un correspondant informatique et libertés.Une proposition de sanction pécuniaire a été notifiée par huissier à la société le 2 juin 2008, à laquelle était jointela convocation à l'audience du 3 juillet 2008. Lors de cette audience la société a présenté à la formation restreintePage 78 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

les différentes mesures prises pour se conformer aux demandes formulées par la Commission dans sa mise endemeure.Les sanctionsS'agissant du fichier des personnes interpellées en flagrant délit, relevant de l'article 25 de la loi précitée(autorisation de la CNIL), la société a indiqué à la Commission avoir procédé à sa suppression.S'agissant du traitement qui comportait une liste d'exclusion la société a précisé avoir supprimé les commentairesexcessifs qui excluaient certains clients de toute prestation. Le rapporteur a considéré cependant qu'il revenait àla société de définir des critères objectifs permettant au centre automobile de signaler des incidents intervenussur des réparations automobiles antérieures sans enregistrer de qualificatifs sur les clients concernés, afin d'évitertoute discrimination ou propos excessif au regard de la finalité du traitement de gestion des ordres de réparation,des ordres de devis et des factures. Il a relevé qu'en l'absence de toute réponse de la société, cette dernièren'avait pas respecté la mise en demeure sur ce point.Sur le manquement à l'obligation d'information des personnes, la Commission constate qu'aucune mesured'information n'a été prise, vis-à-vis du personnel, concernant la vidéosurveillance dans les espaces non ouvertsau public (les réserves, en l'espèce), ce qui a été admis lors de l'audience par la société. Elle rappelle que sademande portait, dans la mise en demeure, sur « l'intégralité des mesures prises au sein de la société visant àrespecter les dispositions de l'article 32 … ». Or, elle constate que pour tous les autres traitements, dont la liste aété fournie dans ses observations écrites du 6 juin 2008, aucune précision n'est apportée sur les mesuresd'information mises en œuvre. La société pouvait aisément joindre copies des documents, des notes internes oumentions types qui auraient pu être réalisées, en particulier pour les traitements de ressources humaines, decontrôles des connexions à internet, de gestion des clients, etc. La Commission constate, par conséquent, que lasociété ne se conforme pas à la mise en demeure sur ce point. Ce manquement est d'autant plus grave que lasociété emploie près de 500 personnes et qu'elle gère des milliers de clients (l'extraction du fichier client fournipar la société comportait 114 501 noms).Sur la durée de conservation des données, le rapporteur a constaté que la société n'avait pris aucune mesure pourdéfinir une durée de conservation pour l'ensemble des données à caractère personnel traitées dans le fichier declients pour la gestion des ordres de réparation, de devis et des factures et dans le fichier manuel des personnesinterpellées en cas de flagrant délit de vol, en l'absence de réponse à la mise en demeure. Il a considéré que lasociété ne s'était pas conformée sur ce point.Pour le suivi de ses clients la société a décidé de fixer une durée de conservation des données de quatre annéespour les clients « inactifs » puis un archivage de six ans. La société a indiqué, lors de l'audience, que la durée dequatre ans était justifiée par les dispositions en vigueur en matière de contrôle technique et qu'elle souhaitaitconserver les données des clients sur une durée de dix ans, archivage compris, car cela correspondait à la duréelégale de conservation des factures et correspondances commerciales. La Commission considère, cependant, quela durée de conservation des données de quatre années paraît excessive, sachant que les données relatives auxclients doivent être supprimées, nonobstant une possibilité d'archivage à des fins comptables, immédiatementune fois la prestation réalisée sauf si parmi les finalités du traitement il y a une finalité de prospectioncommerciale (relance, propositions de tarifs…), ce qui n'a pas été précisé par la société. De surcroît, la société nedéfinit pas ce qu'est un client « inactif ». Ce statut étant certainement acquis après une période – non définie – oùle client n'aura pas eu recours aux services de la société pour une réparation ou un contrôle technique sur unvéhicule, la durée de conservation réelle sera bien supérieure aux quatre ans. La Commission observe que lecontrôle technique des véhicules doit avoir lieu tous les deux ans. La Commission souligne que si l'article L.123-22 alinéa 2 du code de commerce prévoit effectivement une conservation des documents comptablespendant dix ans, cette prescription peut être satisfaite par un archivage informatique des données sur un supportdistinct qui sera, en outre, de nature à en assurer la pérennité. La durée de conservation des données actives seraainsi réduite. La Commission ne retient pas, en l'état, de manquement à la mise en demeure sur ce point.Sur le manquement à l'obligation de répondre aux demandes de la CNIL, la Commission considère que l’absencede réponse à la mise en demeure du 6 mars 2008 met en évidence une absence de procédure de traitement desdemandes de la CNIL, d'autant plus grave compte tenu de la taille de la société et du nombre de personnesphysiques concernées (employés et clients).Page 79 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

Les sanctionsLa Commission constate que si la société a pris plusieurs mesures correctives afin de respecter les dispositionsde la loi « informatique et libertés », elles n'en demeurent pas moins partielles. Par ces motifs, la CNIL aprononcé à l'encontre de la société une sanction pécuniaire de 30 000 euros, doublée d’une publication de ladécision sur son site internet et sur la base « Légifrance ».18.11. Difficultés à exercer son droit d’accèsDélibération n° 2008-163 du 12 juin 2008Type de la décision : Sanction pécuniaire et publicitéMlle B., abonnée de la société CLUB INTERNET, a souhaité exercer son droit d'accès auprès de cefournisseur d'accès à internet, à plusieurs reprises. La société a d'abord expliqué ne pas être en mesure de luicommuniquer ces informations pour des raisons de confidentialité et de sécurité. La requérante continuant à fairevaloir son droit d'accès, la société a finalement expliqué pouvoir lui communiquer par téléphone ses données àcaractère personnel, en appelant un numéro surtaxé, ce que la requérante a refusé de faire. Mlle B. a par ailleurssignalé sa décision de saisir la CNIL.Melle B. a par la suite reçu un courrier papier dans lequel la société lui a délivré les informations qu'elle leuravait transmis lors de son abonnement, à savoir ses nom, prénom, adresse, numéro de carte bancaire et date del'ouverture de son compte. Mlle B. a alors relevé qu'il ne s'agissait pas d'une copie de l'intégralité de ses donnéesà caractère personnel. Elle a précisé que les informations étaient erronées et incomplètes, dans la mesure oùrien ne lui avait été communiqué sur ses facturations, ses paiements, ses communications et relations avec leservice clientèle de la société.N'ayant pas obtenu de réponses précises répondant à ses attentes de la part de la société, Mlle B. a saisi la CNIL.La procédurePar courrier la CNIL a demandé à la société de faire parvenir à la requérante une copie de l'ensemble desdonnées la concernant. La société n'a apporté aucune suite à la demande de la Commission, réitérée dans deuxcourriers. En conséquence la formation restreinte de la Commission a mis en demeure la société Club Internet,sous un délai d'un mois à compter de la notification de la décision (le 31 mars 2008) d’ adresser à Melle B. lacopie de l'intégralité des documents contenant des données à caractère personnel la concernant; d’informer laCommission sur les raisons pour lesquelles la demande de Melle B. d'exercer son droit d'accès n'a pas été priseen compte ainsi que celles pour lesquelles aucune réponse n'a été apportée aux courriers adressés par la CNIL, decommuniquer à la CNIL l'intégralité des procédures mises en œuvre au sein de la société visant à respecter lesdispositions des articles 32 (droit à l'information), 38 (droit d'opposition), 39 (droit d'accès) et 40 (droit derectification) de la loi du 6 janvier 1978 et de justifier auprès de la CNIL que l'ensemble des demandes précitéesont bien été respectées, et ce dans le délai imparti.En réponse à cette mise en demeure, la société Neuf Cegetel a adressé, le 1er avril 2008, à la CNIL un courrier àl'en-tête « Neuf-Club internet », la société Neuf Cegetel ayant absorbé entre temps la société Club Internet, luicommuniquant copie d'une lettre adressée à Melle B. mais n'apportant aucune réponse sur les autres points de lamise en demeure.Sur la base de ces faits, une proposition de sanction pécuniaire a été notifiée par huissier à la société NeufCegetel le 9 mai 2008, à laquelle était jointe la convocation à l'audience du 12 juin 2008. Le rapport de sanctionfaisait état du manquement constaté à la loi « informatique et libertés » relatif au droit d'accès.Les manquements relevésLa société Neuf Cegetel a adressé ses observations écrites en réponse au rapport. Elle a indiqué notamment queles dysfonctionnements constatés étaient dus à la période d'acquisition de Club internet par Neuf-Cegetel et quel'application aux clients de Club internet des procédures CNIL de Neuf Cegetel avait imposé des changementsPage 80 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

importants ayant eux-mêmes engendré des difficultés techniques dans la transmission de l'information et lacentralisation des réponses aux abonnés.La Commission a pris acte des difficultés organisationnelles considère que cela n'empêchait nullement d'apporterune réponse complète à la demande de Melle B., ni de justifier auprès de la Commission par un simple courrierles raisons pour lesquelles les demandes successives de la plaignante, ainsi que celles de la CNIL, n'avaient pasété prises en compte.Le rapporteur a également souligné que la société n'avait apporté aucun élément permettant de considérerqu'elle avait mis en place un système efficace de gestion du droit d'accès de ses abonnés. La société adétaillé à la formation restreinte de la CNIL, lors de l'audience, les mesures, figurant déjà dans son courrier, afinde garantir le droit d'accès. Elle a également précisé la procédure de contrôle interne mise en place ainsi que lesmesures prises pour permettre un exercice immédiat du droit d'opposition en matière de prospectioncommerciale par courriel ou par téléphone. La société a également produit à l'appui de son courrier les mesuresd'information de ses abonnés sur les droits offerts par la loi. Elle a aussi adressé deux projets de chartes« données personnelles » destinées aux prospects et aux clients.La Commission rappelle qu'elle a déjà décidé, par une délibération n° 2007-046 du 15 mars 2007 une sanctionpécuniaire de 10 000 euros contre la société Neuf-Cegetel pour ne pas avoir répondu complètement à une miseen demeure de la CNIL portant également sur une difficulté d'exercice du droit d'accès par un client. A cetteoccasion, la société avait, dans un courrier du 1er mars 2007, déjà présenté les mêmes mesures à la Commission.S'il n'est pas anormal que ces mesures soient identiques plus d'un après, elle constate, notamment, que les chartes« données personnelles », annoncées dans le courrier du 27 mars 2008, étaient déjà des projets en mars 2007.A la lumière des faits qui lui ont été soumis la Commission relève, par conséquent, qu'elle ne dispose que defaibles garanties sur la réelle mise en œuvre des mesures annoncées par la société.La Commission estime que les observations, tant écrites qu'orales, ainsi formulées par la société neuf Cegetel nesont pas de nature à supprimer totalement le manquement au respect de l'article 39 de la loi du 6 janvier 1978modifiée justifiant le prononcé d'une sanction.Les sanctionsPar ces motifs, la CNIL a décidé de prononcer à l'encontre de la société une sanction pécuniaire de 7000 euros,doublée de l’obligation de publier la décision sur son site internet et sur la base « Légifrance ».19. IndexL’index sera réalisé dans la version enrichie, une fois les remarques des Membres AFCDPintégrées.20. AvertissementLe présent document établi dans le cadre d'un groupe de travail de l'AFCDP revêt un caractère strictementinformatif et pédagogique. Du fait de son caractère général, ce document ne constitue en aucun cas uneconsultation ou un avis juridique.Les informations qui figurent dans ce document font donc l'objet d'une clause de non-responsabilitéLe présent document de l’AFCDP vise à formaliser les informations collectées et analysées par son groupe detravail « Se préparer à un contrôle de la CNIL » et à communiquer ces informations à l’ensemble de sesMembres.Page 81 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net

L’objectif de l’AFCDP est de diffuser des informations exactes et à jour. Nous nous efforcerons de corriger leserreurs qui nous seront signalées. Toutefois, l’AFCDP n'assume aucune responsabilité quant aux informationsque contient le présent document.Ces informations: sont exclusivement de nature générale et ne visent pas la situation particulière d'une personnephysique ou morale; ne sont pas nécessairement complètes, exhaustives, exactes ou à jour; renvoient parfois àdes documents et des textes sur lesquels l’AFCDP n'a aucun contrôle et pour lesquels l’Association décline touteresponsabilité; ne constituent pas un avis professionnel ou juridique (si vous avez besoin d'avis spécifiques,consultez un professionnel dûment qualifié).Page 82 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net