a un eventuel controle sur place de la cnil - L'Afcdp

More documents

Recommendations

Info

Plaintes émanant de salariés, Comité d’entreprises ou SyndicatsRappelons la décision de la Cour de Cassation, Ch. criminelle, du 30 octobre 2001 8 . Le président et le directeurd’un syndicat interprofessionnel des médecins du travail ont été condamnés le premier à 7.623 € (à l’époque50 000 francs) d’amende et le second à 4.574 € d’amende, pour absence de déclaration et pour défaut de sécurité(des informations médicales étaient accessibles aux membres du personnel administratif, tiers non autorisés).C’est le Syndicat national professionnel des médecins du travail qui avait porté plainte.Cette procédure était judiciaire et ne faisait pas suite à un contrôle de la CNIL. Avez-vousconnaissance d’un contrôle à l’initiative des IRP ?(merci de vos contributions, par email à charge-mission@afcdp.net).Suite à demandes d’autorités publiquesLa CNIL a été en 2007 pour la première fois amenée à exercer son pouvoir de contrôle sur la base de demandesd’autorités publiques.Dans un premier cas, le Procureur de Nice a sollicité la Commission afin qu’elle exerce son pouvoir de contrôleauprès de plusieurs sociétés de sécurité officiant sur l’aéroport de cette ville à l’encontre desquelles il existait desdoutes quant à la légalité de bases de données qu’elles avaient mises en œuvre concernant leurs salariés. Cescontrôles ont permis, d’une part, à la formation restreinte d’examiner les manquements relevés et, d’autre part, adonné lieu à une transmission au Parquet des faits constatés, sur la base de l’article 40 du code de procédurepénale.Dans un deuxième cas, le Préfet de la Seine-et-Marne a saisi la Commission afin qu’elle puisse contrôlerl’utilisation d’un dispositif de vidéosurveillance mis en œuvre par une police municipale 9 .Suite à alerte du CorrespondantLe règlement intérieur de la CNIL comprend le passage suivant :« Section 2 : Difficultés ou manquements dans l'exercice des missions du correspondantArticle 56 Saisine de la commission des difficultés rencontrées à l'occasion de l'exercice des missions ducorrespondantLa commission est saisie, en application des dispositions de l'article 22 de la loi du 6 janvier 1978 et de l'article51 du décret du 20 octobre 2005, des difficultés rencontrées à l'occasion de l'exercice des missions ducorrespondant par lettre recommandée avec demande d'avis de réception ou par voie électronique avec accuséde réception qui peut être adressé par la même voie. La saisine doit comporter tout élément justifiant que, selonle cas, le correspondant ou le responsable de traitement, a été informé de la saisine ».A notre connaissance, aucun contrôle n’a eu pour source l’alerte d’un CIL. Il est vrai que la CNIL n'a jamaisencouragé une telle pratique, qui ne serait d'ailleurs pas conforme à l'esprit des textesUn CIL Membre AFCDP a-t-il formalisé sa « procédure d’alerte », en y faisant explicitement figurerla possibilité de que lui offre les textes d’informer la CNIL d’un manquement ? Merci de voscontributions, par email à charge-mission@afcdp.netPar contre des contrôles ont déjà été effectués à « l’initiative » d’un Responsable de traitement, soit que lecontrôle ait été expressément demandé par l'entreprise (à des fins d'audit), soit que l'évolution d'un dossierjustifie la réalisation d'un contrôle. Sur ce dernier point, il faut néanmoins rappeler que les agents en charge duconseil et ceux en charge du contrôle n'appartiennent pas à la même direction et qu'il est d'usage, sauf cas8 http://www.juripole.fr/Jurisprudence/J20011030-acces-aux-donnees-par-des-tiers-non-autorises.php9 Source : « La CNIL a défini son programme annuel des contrôles pour l’année 2008 » - site Web de la CommissionPage 16 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net
particulier, de ne pas engager une procédure de contrôle à l'égard d'une entreprise qui de bonne foi vientdemander conseil auprès de la CNIL au sujet d'une difficulté qu'elle rencontre.Sur signalisation d’un organisme tiersDans le cadre de conventionsLa CNIL a établi, en mai 2006, une convention de partenariat avec la HALDE (Haute autorité de lutte contre lesdiscriminations et pour l’égalité) qui prévoit des échanges d’informations et des contrôles communs aux deuxautorités.Lors de ses propres contrôles, si les agents de la Halde constatent des points importants de non-conformité« Informatique et Libertés » (comme des collectes de données interdites telles que les données dites « raciales »),il y a communication des éléments d’une autorité vers l’autre. Messieurs Alex Türk et Louis Schweitzer ontsigné le 3 mai 2006 une convention qui prévoit – entre autres – « des échanges d'informations entre les deuxautorités, la réalisation commune de missions d'information, de réflexion ou encore de contrôle ».Dans le cadre de son partenariat avec l’association SIGNAL SPAM, la CNIL a lancé en septembre 2008 unesérie de contrôles 10 auprès d’entreprises dont les courriers électroniques de prospection ont été signalés par lesinternautes comme « spams ».Ces contrôles ont porté sur :• les méthodes de collecte des adresses électroniques utilisées (vérification de l’origine des données etdes éventuels fichiers utilisés pour procéder aux envois de messages),• la validité du consentement des personnes ainsi démarchées (respect du principe du recueil duconsentement préalable des personnes, dit « opt-in »),• le respect du droit de s’opposer à recevoir de nouveaux messages.A la suite de ces contrôles certaines entreprises identifiées ont fait l’objet d’un rappel à la loi et ont été placées« sous surveillance » par la CNIL qui a annoncé « contrôler de très près leurs futures opérations deprospection ».A la demande d’autorités étrangèresA la demande des Autorités de Contrôles Communes (ACC) siégeant à Bruxelles, des contrôles ont été menés auplan national afin de vérifier certains aspects de traitements européens relevant de la compétence de l’autoriténationale de protection des données du pays en cause. Il en est ainsi des conditions d’enregistrement des donnéesà caractère personnel dans le système d’information Schengen (SIS) sur le fondement des article 96 (nonadmission dans l’espace Schengen) et 99 (surveillance discrète) de la convention d’application de l’accordSchengen dans le système d’information des douanes (SID) géré par la direction générale des douanes et droitsindirects ou dans les fichiers d’Euro Pol.Lorsque le contrôle est effectué à la demande d’un homologue d'un Etat membre de l'Union européenne, laCNIL en informe le responsable du traitement. Elle l’informe que les informations recueillies ou détenues par laCNIL sont susceptibles d’être communiquées à cette autorité. Il nous a été confirmé que des autorités decontrôles européennes ont menés des contrôles sur place dans des établissements situés sur leur territoire suite àdemande de la CNIL.Pour le moment les agents de la CNIL n'ont compétence que sur le territoire français. Juridiquement, toutdéplacement à l'étranger sera considéré comme une visite, soumise au bon vouloir du responsable de traitementet des autorités locales et la CNIL ne disposera d'aucun pouvoir contraignant. Mais l'hypothèse du déplacementd'équipes de la CNIL à l'étranger pourrait à terme devenir une réalité, dans le cadre de l'exécution desclauses d'audit qui figurent dans les contrats types de transfert de données hors UE.10 Source Rubrique « En bref » de la CNIL, 29 septembre 2008.Page 17 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net
Page 6 and 7: 1. Le contrôle sur place : une ré
Page 8 and 9: questionnaire comprenant des questi
Page 10 and 11: Article 62Lorsque la commission eff
Page 12 and 13: protection de la vie privée de l'u
Page 14 and 15: Auto saisineLa Commission se saisit
Page 18 and 19: Sur base du programme annuel de con
Page 20: • Les conditions de conservation
Page 23 and 24: Les sessions de la formation restre
Page 25 and 26: Figure 9 : Nombre decontrôles sur
Page 27 and 28: C’est en 2007 que, pour la premi
Page 29 and 30: l’opérateur Telefonica venait de
Page 31 and 32: Ebranlée par les scandales, l’Al
Page 33 and 34: On voit donc que le Responsable de
Page 35 and 36: lors des contrôles effectués, a
Page 37 and 38: Le 23 mars 2010 la « petite loi »
Page 39 and 40: Depuis la décision du Conseil d’
Page 41 and 42: Ceux des agents qui peuvent être a
Page 43 and 44: 7.1. Les textes de référenceNous
Page 45 and 46: Personnels d’accueil : Chargé de
Page 47 and 48: Il convient de fournir la significa
Page 49 and 50: sensibilité, non seulement continu
Page 51 and 52: santé, et qui est mis en œuvre pa
Page 53 and 54: égulièrement notifiés ». La soc
Page 55 and 56: Ils peuvent prendre connaissance du
Page 57 and 58: La « petite loi » votée le 23 ma
Page 59 and 60: • opposition à l’exercice des
Page 61 and 62: Les commissaires de la CNIL peuvent
Page 63 and 64: L’agent de contrôle peut-il ques
Page 65 and 66: Par contre, dans le cas où la plai
Page 67 and 68:
• Les contrôleurs sont tenus au
Page 69 and 70:
Article 11-2°-c prévoyant que la
Page 71 and 72:
La CNIL estime de ce fait que les c
Page 73 and 74:
destinataires exacts des données,
Page 75 and 76:
18.7. Collecte de données personne
Page 77 and 78:
Le droit d’accès s’exerce dés
Page 79 and 80:
les différentes mesures prises pou
Page 81 and 82:
importants ayant eux-mêmes engendr
show all

a un eventuel controle sur place de la cnil - L'Afcdp

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?