Sur base du programme annuel <strong>de</strong> contrôleChaque année, vers le mois d’avril, <strong>la</strong> CNIL en séance plénière sélectionne <strong>de</strong>s secteurs d’activité ou <strong>de</strong>sthématiques <strong>sur</strong> lesquels elle effectue <strong>un</strong>e série <strong>de</strong> contrôles. Cependant ces « cibles » ne sont dévoilées qu’enmilieu d’année, lors <strong>de</strong> <strong>la</strong> parution du rapport annuel… Ainsi, on découvrait à l’été 2009, en page 70 du rapportd’activité <strong>de</strong> l’année 2008 le passage suivant : « Enfin, le programme <strong>de</strong>s contrôles sera le reflet <strong>de</strong>spréoccupations actuelles majeures <strong>de</strong> <strong>la</strong> CNIL. D’ores et déjà, il est vraisemb<strong>la</strong>ble que les contrôles <strong>sur</strong> lesopérations <strong>de</strong> vote électronique se poursuivront ; il <strong>de</strong>vrait en être <strong>de</strong> même pour les collectivités locales. Enpoursuivant ces contrôles dans les domaines <strong>de</strong> <strong>la</strong> biométrie et <strong>de</strong> <strong>la</strong> vidéo<strong>sur</strong>veil<strong>la</strong>nce, <strong>la</strong> Commissiondémontrera son attachement à encadrer les usages ces techniques qui peuvent porter gravement atteinte auxdroits et libertés si leur développement ne se fait pas dans le respect <strong>de</strong> <strong>la</strong> loi ».Parallèlement, <strong>la</strong> Commission publiait le 11 juin 2009 ce texte <strong>sur</strong> son site Web : S’agissant <strong>de</strong>s thèmes quiferont l’objet <strong>de</strong> contrôles au cours <strong>de</strong> l’année 2009, les secteurs suivants seront concernés :• les constats effectués l’année <strong>de</strong>rnière à l’occasion <strong>de</strong>s contrôles opérés lors <strong>de</strong>s opérations <strong>de</strong> voteélectronique conduiront <strong>la</strong> CNIL à poursuivre ses vérifications afin qu’elle puisse avoir <strong>un</strong>e visionprécise et globale <strong>de</strong>s pratiques en <strong>la</strong> matière ;• <strong>de</strong> <strong>la</strong> même manière, <strong>la</strong> Commission a estimé utile <strong>de</strong> continuer à effectuer <strong>de</strong>s missions <strong>de</strong> contrôledans le secteur <strong>de</strong>s collectivités locales (comm<strong>un</strong>es, comm<strong>un</strong>autés d’agglomération, conseils générauxou régionaux) afin <strong>de</strong> veiller à <strong>la</strong> bonne application <strong>de</strong> <strong>la</strong> loi par celles-ci ;• le contrôle d’<strong>un</strong> fichier national <strong>de</strong> police, le fichier <strong>de</strong>s personnes recherchées (FPR) est égalementinscrit au programme <strong>de</strong> l’année 2009. Ce fichier va en effet connaître d’importants changements quantaux données pouvant y être traitées et aux personnes pouvant y enregistrer <strong>de</strong>s informations (ouvertureaux agents administratifs <strong>de</strong>s préfectures) ;• <strong>la</strong> Commission a souhaité poursuivre les travaux entamés en 2006 re<strong>la</strong>tifs aux conditions d’application<strong>de</strong> <strong>la</strong> loi "informatique et libertés" par les agents <strong>de</strong> recherches privés ;• le secteur <strong>de</strong> <strong>la</strong> prospection commerciale connaissant actuellement <strong>de</strong> nombreuses évolutions, <strong>la</strong>Commission a décidé <strong>de</strong> s’intéresser, via ses opérations <strong>de</strong> contrôle, aux nouvelles techniques utilisées(« Bluetooth », par exemple) ainsi qu’aux métho<strong>de</strong>s <strong>de</strong> sélection <strong>de</strong> nouveaux publics ou«comm<strong>un</strong>autés » visés (sélection ethnique) ;• enfin, <strong>la</strong> Commission a souhaité pouvoir s’as<strong>sur</strong>er <strong>de</strong> <strong>la</strong> correcte application <strong>de</strong> <strong>la</strong> loi pour l’ensemble<strong>de</strong>s traitements mis en œuvre par <strong>de</strong>s organismes aussi variés que les établissements <strong>de</strong> soins (<strong>la</strong>question centrale portant <strong>sur</strong> les me<strong>sur</strong>es <strong>de</strong> sécurité entourant les données médicales) ou <strong>de</strong>s clubs <strong>de</strong>football (problématiques <strong>de</strong>s interdits <strong>de</strong> sta<strong>de</strong> et <strong>de</strong> <strong>la</strong> vidéo<strong>sur</strong>veil<strong>la</strong>nce avec reconnaissancebiométrique).CIL <strong>de</strong>s secteursconcernés, vous étiezprévenus !Figure 4 : « Deman<strong>de</strong>z le programme » - source : site Web <strong>de</strong> <strong>la</strong> CNILPage 18 <strong>sur</strong> 82AFCDP, Association Française <strong>de</strong>s Correspondants à <strong>la</strong> protection <strong>de</strong>s Données à caractère Personnelwww.afcdp.net
Quels étaient les cibles du programme <strong>de</strong> contrôles <strong>de</strong>s années précé<strong>de</strong>ntes ?Annoncé en avril 2008, le programme était plus étoffé et plus précis que les années précé<strong>de</strong>ntes :• Ensemble <strong>de</strong>s fichiers mis en œuvre par les collectivités locales d’importance diverse, moins <strong>de</strong> 5.000habitants, <strong>de</strong> 5.000 à 30.000 habitants et plus <strong>de</strong> 30.000 habitants. Les secteurs visés sont les mairies etles comm<strong>un</strong>autés d’agglomération ;• Me<strong>sur</strong>es <strong>de</strong> sécurité mises en œuvre par les grands établissements <strong>de</strong> soins. Les objectifs affichésconcernent les droits <strong>de</strong>s patients dans le secteur <strong>de</strong> <strong>la</strong> santé ;• Dispositifs <strong>de</strong> bracelets électroniques. Les secteurs visés sont les maisons <strong>de</strong> retraites et les maternités,les objectifs affichés concernent les droits <strong>de</strong>s patients.• Conditions <strong>de</strong> traitement <strong>de</strong>s données re<strong>la</strong>tives à <strong>la</strong> santé <strong>de</strong>s <strong>de</strong>man<strong>de</strong>urs <strong>de</strong> crédit. Les secteursvisés sont les compagnies d’as<strong>sur</strong>ance, les objectifs affichés concernent les droits <strong>de</strong>s as<strong>sur</strong>és ;• Traitements <strong>de</strong> lutte contre <strong>la</strong> frau<strong>de</strong> mis en œuvre par les caisses d’as<strong>sur</strong>ance ma<strong>la</strong>die. Les secteursvisés sont les organismes publics, les objectifs affichés concernent les droits <strong>de</strong>s as<strong>sur</strong>és ;• Conditions <strong>de</strong> collecte <strong>de</strong>s données <strong>de</strong>s internautes dans le cadre <strong>de</strong> <strong>la</strong> lutte contre le piratage. Lessecteurs visés sont les organismes publics et les sites Web spécialisés, les objectifs affichés concernentles droits <strong>de</strong>s internautes ;• Conditions <strong>de</strong> confi<strong>de</strong>ntialité à l’occasion d’élections par voie électronique. Les secteurs visés sont lesprestataires techniques, les objectifs affichés concernent les droits <strong>de</strong>s citoyens 11 ;• Traitement <strong>de</strong> gestion <strong>de</strong>s vélos mis à disposition <strong>de</strong>s usagers. Les secteurs visés sont les collectivitéslocales. Les objectifs affichés concernent le transport.• Dispositif <strong>de</strong> vidéo<strong>sur</strong>veil<strong>la</strong>nce (lieux privés et publics). Les secteurs visés sont les hôpitaux, lesétablissements sco<strong>la</strong>ires, les mairies, etc.Et effectivement, <strong>la</strong> CNIL a contrôlé <strong>un</strong>e dizaine <strong>de</strong> collectivités en 2008 : « A fin novembre 2008, <strong>la</strong> CNIL aprocédé à dix contrôles <strong>sur</strong> <strong>p<strong>la</strong>ce</strong> en 2008, auprès <strong>de</strong> collectivités concernées (comm<strong>un</strong>es, conseils généraux etrégionaux), en application <strong>de</strong> son programme <strong>de</strong> contrôle. Les fichiers concernés sont nombreux (gestion <strong>de</strong>l’état civil, listes électorales, action sociale, police m<strong>un</strong>icipale, gestion foncière, inscriptions sco<strong>la</strong>ires, etc.) etles données qui y sont contenues doivent faire l’objet d’<strong>un</strong>e attention toute particulière. Ces contrôles, quipeuvent se dérouler <strong>sur</strong> plusieurs jours, permettent en outre aux informaticiens contrôleurs <strong>de</strong> <strong>la</strong> CNILd’apprécier l’effectivité <strong>de</strong>s me<strong>sur</strong>es <strong>de</strong> sécurité apportées à ces traitements afin d’éviter que les données qui ysont contenues puissent être accessibles ou divulguées à <strong>de</strong>s tiers non autorisés. Les missions <strong>de</strong> vérificationopérées par <strong>la</strong> CNIL au sein <strong>de</strong> ces différentes collectivités démontrent que le respect <strong>de</strong>s dispositions <strong>de</strong> <strong>la</strong> loi"informatique et libertés" n’est pas toujours parfaitement as<strong>sur</strong>é : absence d’accomplissement <strong>de</strong> formalitéspréa<strong>la</strong>bles pour certains <strong>de</strong> traitements mis en œuvre, absence <strong>de</strong> durée <strong>de</strong> conservation <strong>de</strong>s données collectées,information insuffisante <strong>de</strong>s administrés <strong>sur</strong> leurs droits voire mise en œuvre <strong>de</strong> fichiers contraires à <strong>la</strong> loi (parexemple, constitution d’<strong>un</strong> fichier <strong>de</strong> popu<strong>la</strong>tion à l’insu <strong>de</strong>s personnes). Les suites apportées à ces contrôlespeuvent, le cas échéant, donner lieu à <strong>un</strong> avertissement, rendu public ou non, <strong>un</strong>e mise en <strong>de</strong>meure voire <strong>un</strong>esanction péc<strong>un</strong>iaire. Au total, l’ensemble <strong>de</strong>s constatations effectuées par <strong>la</strong> CNIL dans le cadre <strong>de</strong> ces contrôlesmilite pour <strong>un</strong> meilleur engagement <strong>de</strong>s collectivités locales dans <strong>la</strong> désignation d’<strong>un</strong> correspondant"informatique et libertés" (CIL), re<strong>la</strong>is efficace afin <strong>de</strong> garantir <strong>un</strong>e correcte application <strong>de</strong> <strong>la</strong> loi ». Source : siteWeb <strong>de</strong> <strong>la</strong> CNILEn 2007, les missions <strong>de</strong> vérification <strong>sur</strong> <strong>p<strong>la</strong>ce</strong> ont porté <strong>sur</strong> <strong>de</strong>s sujets tels que :• Les dispositifs biométriques <strong>de</strong>s établissements sco<strong>la</strong>ires, <strong>de</strong>s entreprises ou <strong>de</strong>s structures médicales ;• La prise en compte du droit d’opposition <strong>de</strong>s personnes à être démarchées commercialement partéléphone par <strong>de</strong>s organismes appartenant à <strong>de</strong>s secteurs d’activité très hétérogènes, que ce soit <strong>de</strong>sbanques ou <strong>de</strong>s instal<strong>la</strong>teurs <strong>de</strong> fenêtres ;11 Dans le rapport <strong>de</strong> l’année 2008 publié en juin 2009 on apprend que « <strong>la</strong> politique <strong>de</strong>s contrôles effectués au cours <strong>de</strong> l’année 2008 auraincontestablement été marquée par <strong>la</strong> thématique du vote électronique. Ainsi, pas moins <strong>de</strong> 20 contrôles ont été réalisés dans le cadre <strong>de</strong>sopérations <strong>de</strong> vote par voie électronique organisées par le ministère du Travail (élections prud’homales), par le ministère <strong>de</strong> <strong>la</strong> Santé(élections professionnelles <strong>de</strong>s infirmiers) et par <strong>la</strong> comm<strong>un</strong>e d’Issy les Moulineaux (élections <strong>de</strong>s représentants <strong>de</strong> quartiers). Ces missionsavaient pour objet d’apprécier le secret du scrutin, le caractère personnel, libre et anonyme du vote, <strong>la</strong> sincérité <strong>de</strong>s opérations électoraleset <strong>la</strong> <strong>sur</strong>veil<strong>la</strong>nce effective du vote ».Page 19 <strong>sur</strong> 82AFCDP, Association Française <strong>de</strong>s Correspondants à <strong>la</strong> protection <strong>de</strong>s Données à caractère Personnelwww.afcdp.net