a un eventuel controle sur place de la cnil - L'Afcdp

More documents

Recommendations

Info

Le service des contrôles est rattaché à Direction des relations avec les usagers et du contrôle (DUC).Cette direction comprend cinq services et une cellule:• Service des contrôles (créé en 2002)• Service des plaintes• Service de la gestion des sanctions• Service des Correspondants• Service Orientation & renseignement du public• Cellule Droit d'accès indirectFin 2009, le service des contrôles était composé de onze agents (six juristes et cinqinformaticiens) qui proposent, préparent, coordonnent et analysent les missions de contrôle.En revanche les contrôles sur place peuvent être réalisés par certains des quarante quatreagents de la CNIL qui y sont habilités, éventuellement épaulés par les dix-septcommissaires.Figure 6 : Composition du Service des contrôles (Rapport d’activité de la CNIL pour l’année 2008)2.6. Que se passe-t-il après le contrôle ?A l’issue du contrôle, la CNIL examine les documents dont une copie aura été effectuée pour apprécier lesconditions de mise en œuvre des dispositions de la loi informatique et libertés.• Lorsque qu’aucun point de non conformité n’a été relevé le contrôle est clôturé par un courrier duprésident de la CNIL : Lettre de clôture 13 .• Lorsque les constatations effectuées n’appellent pas d’observations particulières, cette lettre de clôturepeut contenir des recommandations (comme une modification des durées de conservation, unrenforcement des mesures de sécurité, une amélioration de l’information des personnes, etc.).• Lorsque les manquements relevés sont sérieux, le dossier est transmis à la formation contentieuse dela CNIL, qui peut prononcer les sanctions prévues à l’article 45 de la loi. Cette transmission à laformation contentieuse n’est pas exclusive d’une dénonciation au Parquet (article 40 du code deprocédure pénale).2.7. Le rôle clé de la Formation restreinteLa formation restreinte 14 (dite aussi « formation contentieuse) de la CNIL est devenue opérationnelle mi-2006.Elle est composée de six membres et se réunit mensuellement.Depuis avril 2009, cette formation restreinte est composée de : M. Alex TÜRK, président, M. Emmanuel deGIVRY, vice-président délégué, Mme Isabelle FALQUE-PIERROTIN, vice-président, Mme Claire DAVAL, M.Sébastien HUYGHE et M. Jean-Marie COTTERET.Cette formation se réunit au moins une fois par mois pour décider des mesures à prendre à l'égard desresponsables de traitement qui ne respectent manifestement pas la loi informatique et libertés. Les dossiersexaminés font suite généralement à une mission de contrôle effectuée par la CNIL, à la réception de plaintes ou àtoute situation dans laquelle la concertation n'a pas permis de rétablir une situation conforme sur le planjuridique.13 On notera que, sur la page « Les contrôles de A à Z » cette hypothèse n’est pas évoquée… et Mme Fourets, dans l’interview qu’elle aaccordé à CIO Online, sous-entend qu’il est quasiment impossible d’être en conformité parfaite.14 Dans son communiqué du 6 mars 2008 (relatif aux contrôles effectués auprès de Note2be), l’expression « Formation contentieuse » estutilisée par la Commission.Page 22 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net
Les sessions de la formation restreinte sont-elles ouvertes au public ? Elles peuvent l’être si une des personnesmises en cause le demande et si le président de la CNIL n’y voit pas de risque pour l’ordre public, la protectionde la vie privée des personnes concernées ou le secret des affaires 15 . Par contre le délibéré a lieu à huis clos.La formation restreinte prononce les avertissements, mises en demeure, sanctions pécuniaires et examine lessuites à donner aux missions de contrôles compte tenu des manquements à la loi constatés lors des vérificationssur place. Dans les autres cas, un courrier est adressé au responsable de l’organisme contrôlé lui demandant, leplus souvent, de procéder à des modifications des applications mises en œuvre.Dans l’interview qu’elle a accordée en mars 2008 à CIO-Online 16 Mme Florence Fourets répondait à laquestion : « Une fois le contrôle effectué, quelles sont les suites, notamment en cas de constatationd'infraction ?». Elle y indique qu’un non-respect de la durée de conservation est jugé « mineur » alors qu’undéfaut de sécurité est considéré avec plus de sévérité.La procédure de sanction se déroule de la façon suivante :• Rapport proposant une sanction (sanction pécuniaire ou injonction) ou rapport proposant unavertissement• Délai d’un mois laissé au Responsable du traitement pour adresser des observations écrites• Possibilité pour le Responsable du traitement d’accéder au dossier• Possibilité pour le Responsable du traitement de se faire assister• Possibilité pour le Responsable du traitement de présenter des observations orales lors de la séance de laformation restreinte• Possibilité de recours (devant le Conseil d’état) 172.8. Les pouvoirs coercitifs de la CNILLa formation restreinte peut infliger les sanctions suivantes ;• Avertissement 18 à l’égard du responsable de traitement fautif, dont certains peuvent être renduspublics 19• Mise en demeure de cesser un manquement sous un délai pouvant aller de dix jours à trois mois(procédure non contradictoire). Si le responsable de traitement se conforme à la mise en demeure, laprocédure s'arrête et le dossier est clôturé.Si le responsable de traitement ne se conforme pas à la mise en demeure de la CNIL, la formation contentieusepeut prononcer, après une procédure contradictoire, durant laquelle le responsable de traitement incriminé peutprésenter des observations orales :• Une sanction pécuniaire (sauf pour les traitements de l’Etat), d’un montant maximal de 150.000€, et encas de récidive, pouvant aller jusqu’à 300.000 € 20 . En cas de mauvaise foi, la CNIL peut ordonnerl'insertion de la décision de sanction dans la presse, aux frais de l’entité sanctionnée 21 .• Une injonction de cesser le traitement 22• Un retrait de l’autorisation accordée en application de l’article 25 de la loi15 La proposition de Loi des Sénateurs Détraigne et Escoffier suggère, dans son article 10 de rendre publiques les audiences de laformation restreinte de la CNIL « afin de tirer les conséquences d'une ordonnance du Conseil d'État du 19 février 2008 qui reconnaît soncaractère juridictionnel ».16 http://www.cio-online.com/videos/lire-controles-de-la-cnil-le-mode-d-emploi-entretiens-232.html17 En février 2008, le Conseil d’Etat a déboutée de son recours une entreprise de recouvrement de créances qui avait été condamnée – à lasuite d’un contrôle de la CNIL – à une sanction pécuniaire représentant, d’après son dirigeant « plus d’un an de bénéfices », et à l’arrêt dutraitement incriminé.18 A proprement parler, en faisant référence aux textes, l’avertissement et les mises en demeure ne sont pas des sanctions et ne peuvent êtrecontestées.19 Exemple en juin 2009 : la CNIL a dévoilé qu’elle avait prononcé le 20 janvier 2009 un avertissement à l’encontre de la société destransports urbains rennais, « considérant que le passe Korrigo ne respectait pas la vie privée et les libertés individuelles des usagers ».20 Dans leur proposition de loi, les Sénateurs Détraigne et Escoffier proposent de porter ces montants respectivement à 300 000 et 600 000euros, précisant que « ce dernier montant correspondant au niveau maximum de sanction susceptible d'être prononcé par l'agenceespagnole de protection des données ».21 Au moins d’un l’un des cas, la commission restreinte a demandé la publication de la sanction sur le site Web de la société.22 Une société de recouvrement de créances s’est vue condamnée – entre autres – cesser totalement de mettre en œuvre le traitement dedonnées incriminé, qui constitue – selon son dirigeant – son outil de travail quotidien.Page 23 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net
Page 6 and 7: 1. Le contrôle sur place : une ré
Page 8 and 9: questionnaire comprenant des questi
Page 10 and 11: Article 62Lorsque la commission eff
Page 12 and 13: protection de la vie privée de l'u
Page 14 and 15: Auto saisineLa Commission se saisit
Page 16 and 17: Plaintes émanant de salariés, Com
Page 18 and 19: Sur base du programme annuel de con
Page 20: • Les conditions de conservation
Page 25 and 26: Figure 9 : Nombre decontrôles sur
Page 27 and 28: C’est en 2007 que, pour la premi
Page 29 and 30: l’opérateur Telefonica venait de
Page 31 and 32: Ebranlée par les scandales, l’Al
Page 33 and 34: On voit donc que le Responsable de
Page 35 and 36: lors des contrôles effectués, a
Page 37 and 38: Le 23 mars 2010 la « petite loi »
Page 39 and 40: Depuis la décision du Conseil d’
Page 41 and 42: Ceux des agents qui peuvent être a
Page 43 and 44: 7.1. Les textes de référenceNous
Page 45 and 46: Personnels d’accueil : Chargé de
Page 47 and 48: Il convient de fournir la significa
Page 49 and 50: sensibilité, non seulement continu
Page 51 and 52: santé, et qui est mis en œuvre pa
Page 53 and 54: égulièrement notifiés ». La soc
Page 55 and 56: Ils peuvent prendre connaissance du
Page 57 and 58: La « petite loi » votée le 23 ma
Page 59 and 60: • opposition à l’exercice des
Page 61 and 62: Les commissaires de la CNIL peuvent
Page 63 and 64: L’agent de contrôle peut-il ques
Page 65 and 66: Par contre, dans le cas où la plai
Page 67 and 68: • Les contrôleurs sont tenus au
Page 69 and 70: Article 11-2°-c prévoyant que la
Page 71 and 72:
La CNIL estime de ce fait que les c
Page 73 and 74:
destinataires exacts des données,
Page 75 and 76:
18.7. Collecte de données personne
Page 77 and 78:
Le droit d’accès s’exerce dés
Page 79 and 80:
les différentes mesures prises pou
Page 81 and 82:
importants ayant eux-mêmes engendr
show all

a un eventuel controle sur place de la cnil - L'Afcdp

Create successful ePaper yourself

Delete template?

Save as template?