a un eventuel controle sur place de la cnil - L'Afcdp

More documents

Recommendations

Info

été « préalablement autorisée par un juge » ou si la personne responsable des lieux « a été préalablementinformée de son droit de s’opposer » au contrôle. Cette information préalable n’ayant pas été réalisée, le Conseild’état a annulé ces deux décisions de sanction prises par la CNIL. Celle-ci a pris acte de cette décision et procèdedorénavant systématiquement à l’information des personnes faisant l’objet d’un contrôle sur place de l’ensembledes éléments prévus à l’article 44 de la loi et notamment de leur droit à s’opposer à ce contrôle.La CNIL peut informer l’entité qu’elle va visiter ;• dans les dix jours qui précèdent le contrôle, par courrier, télécopie ou téléphone ;• la veille du contrôle par télécopie adressée jusqu’à 19h00 sur le lieu du contrôle (ou tout lieu qu’ellepense être adéquat) ;• le matin même du contrôle.Elle peut également prendre l’initiative de prévenir le CIL, si elle le souhaite. En 2008 et 2009, deux CILMembres AFCDP ont été prévenus par la CNIL deux jours avant de subir un contrôle sur place (secteur Santé etsecteur Industrie). Est-ce en passe de devenir systématique ? C’est ce qui est indiqué lors des Ateliers « Lesmodalités d’instruction d’une plainte ». Toutefois il est raisonnable de penser que la Commission ne préviendrapas le CIL si elle estime qu’il existe un risque de destruction d’éléments de preuve. C’est ce qu’indiquait ladirectrice des relations avec les usagers dans un article paru en janvier 2010 dans le journal Le Monde : « Quandon sent qu'il y a risque de destruction de preuves, on envoie le service des contrôles ».Dans le cas où elle prévient, la CNIL peut demander que des documents soient préparés (cf. Chapitre « 10 »).Dans le cas particulier de la notification préalable (article 62 du Règlement Intérieur de la CNIL), la Commissionpeut demander par courrier• à disposer avant sa visite d’informations sur l’architecture informatique ;• la mise à disposition des personnels habilités à accéder aux applications ;• l’accès aux systèmes le jour de la visite ;• la présence d’experts (médecin, par exemple).Que peut faire le CIL en amont ?Dans le cas où l’entité contrôlée n’est pas avertie de la visite sur site, les points à considérer et à traiter sont lessuivants ;• Comment préparer l’entité à de tels contrôles ? Qui doit-on préparer ? De quelle façon ? Qui doit s’encharger ? Comment préparer les opérationnels à un tel contrôle ?• L’entité doit-elle constituer une cellule de crise ? Qui en ferait partie ? Quel en serait le rôle ? Quelserait son fonctionnement ? Doit-on prévoir une astreinte ?• L’entité peut-elle réduire les risques d’avoir à subir de tels contrôles ?o Si oui, quelles mesures prendre pour diminuer les risques 40 ?o Aurions nous pu prévoir ce contrôle ? (cf. l’étude du cas Tyco Healthcare France : cette sociétén’a apporté aucune suite satisfaisante aux demandes de la Commission réitérées par courrier enseptembre 2005 et mars 2006, avant de subir un contrôle sur place en juillet 2006). Oninsistera à nouveau sur l‘impérieuse nécessité de définir une procédure de gestion des courriersCNIL afin de garantir une réponse satisfaisante et rapide aux demandes formulées par laCommission.o Aurions-nous dû détecter des signes avant-coureurs ? Un article de presse révélant uneinfraction, et à partir duquel la Commission peut s’autosaisir ? Des plaintes ? De la partd’associations de consommateurs ? De la part d’autorités de contrôle européennes ? Dessignalisations de conflits de la part de nos filiales ? Des dossiers transmis par l’associationSignal Spam ?• Quelle est l’origine de ce contrôle ? Sa genèse ? (« Pourquoi sommes-nous contrôlés ? »)40 Le présent document ne considère pas ici toutes les mesures prises au quotidien par l’entité, conseillée par son CorrespondantInformatique & Libertés, pour veiller au respect de la loi ; déclaration des traitements, respect de la finalité et des durées de conservation,respect des droits des personnes concernées, etc. L’on considère ici les mesures complémentaires et spécifiques à l’évènement « contrôle »..Page 32 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net
On voit donc que le Responsable de traitement, avec les conseils du CIL doit produire plusieurs procédures, dontune dite de « mobilisation » de l’équipe pluridisciplinaire qui interviendra lors du contrôle.Il appartient au Correspondant de valider ces points, à commencer par la procédure de gestion des courriersémanant de la CNIL, afin de garantir une réponse satisfaisante et rapide aux demandes formulées par laCommission.Le CIL peut également• se rapprocher de la Direction marketing pour avoir connaissance des opérations de type emailing,• prendre contact avec l’entité qui gère les relations clientèle, le service contentieux, le service qualité, lemédiateur, etc. 41• se rapprocher des responsables Ressources humaines en charge des relations avec les IRP.Le CIL peut également développer une politique de « contrôle interne » : on peut imaginer des simulations 42 oudes opérations analogues aux « exercices incendie », menées avec l’accord du Responsable du traitement, lorsdesquels le CIL joue le rôle d’un agent de la CNIL procédant à un contrôle sur place 43 . Ces opérations (résultats,problèmes rencontrés, améliorations proposées, améliorations apportées, etc.) peuvent figurer dans le bilanannuel du CIL. Il peut également faire appel à des organismes tiers pour réaliser ces audits.Le CIL conseillera également au Responsable du traitement de réfléchir au préalable sur les éventuellespossibilités d’opposer une forme quelconque de secret à la mission de contrôle, pour éviter d’en abuser (cf.module « Le secret professionnel »).Le CIL doit également prévoir son absence (congés, déplacements, maladie, etc.) : un collaborateur serapréalablement désigné pour y pallier et les procédures et documents (registre des traitements, architecture desapplications, charte et consignes de sécurité, etc.) doivent donc être facilement accessibles.Les agents de la CNIL peuvent procéder par entretien et demander à interroger des employés. Enconséquence, le CIL aidera à identifier à l’avance les personnes susceptibles d’être interrogées lors d’un contrôle(tout collaborateur ayant accès sous quelque forme que ce soit au traitement cible du contrôle, ou ayant participéà la collecte des données, ayant accès aux données, ayant accès aux archives, participant à l’exploitation dutraitement, participant à sa maintenance, participant à la sécurité du réseau, etc.).Le CIL sensibilisera/formera ces personnels en conséquence ;• à demander à ce que cet entretien se fasse en présence du CIL, de son représentant local ou d’unmembre du personnel local d’encadrement ;• à recourir à la reformulation en cas de doute sur le sens de la question. ;• écouter l’intégralité de la question et ne répondre (strictement) qu’à la question posée ;• à répondre « je ne sais pas » plutôt que de fournir une réponse imprécise ou erronée,• à prendre note de l’intégralité de l’entretien (questions et réponses) dès la fin de celui-ci (pour apport aucompte-rendu)• à ne pas faire de propositions de recherche ou de tests supplémentaires : s’en tenir strictement àl’exécution des demandes des contrôleurs.Ne pas oublier que les agents de la CNIL ont également préparé leur intervention. Ils peuvent avoir ;• consulté les sites Internet et déjà collecté de nombreuses informations ;• questionné un sous-traitant sur ses processus de travail et les engagements qui le lient à l’entitécontrôlée.41 Un délégué à la protection des données audité par le groupe de travail a relaté un contrôle effectué dans son entreprise suite à plainted’un client qui était régulièrement prospecté par téléphone, malgré ses demandes réitérées de ne plus être démarché, demandes appuyées decourriers. Suite au contrôle, le délégué découvrira ces courriers en attente de traitement au sein du service contentieux...42 C’est l’un des exercices auquel sont soumis les étudiants du Mastère Spécialisé « Informatique et Libertés » de l’ISEP : ils jouentalternativement le rôle des contrôlés et des agents contrôleurs.43 A manipuler cependant avec grande précaution et attendre sans doute que la culture Informatique et Libertés ait commencé à imprégnerl’entité. Peut-être suffit-il tout simplement au CIL, dans un premier temps, d’aller s’entretenir tête à tête avec les personnes directementconcernées pour vérifier qu’elles ont au moins intégré les consignes ?Page 33 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net
Page 6 and 7: 1. Le contrôle sur place : une ré
Page 8 and 9: questionnaire comprenant des questi
Page 10 and 11: Article 62Lorsque la commission eff
Page 12 and 13: protection de la vie privée de l'u
Page 14 and 15: Auto saisineLa Commission se saisit
Page 16 and 17: Plaintes émanant de salariés, Com
Page 18 and 19: Sur base du programme annuel de con
Page 20: • Les conditions de conservation
Page 23 and 24: Les sessions de la formation restre
Page 25 and 26: Figure 9 : Nombre decontrôles sur
Page 27 and 28: C’est en 2007 que, pour la premi
Page 29 and 30: l’opérateur Telefonica venait de
Page 31: Ebranlée par les scandales, l’Al
Page 35 and 36: lors des contrôles effectués, a
Page 37 and 38: Le 23 mars 2010 la « petite loi »
Page 39 and 40: Depuis la décision du Conseil d’
Page 41 and 42: Ceux des agents qui peuvent être a
Page 43 and 44: 7.1. Les textes de référenceNous
Page 45 and 46: Personnels d’accueil : Chargé de
Page 47 and 48: Il convient de fournir la significa
Page 49 and 50: sensibilité, non seulement continu
Page 51 and 52: santé, et qui est mis en œuvre pa
Page 53 and 54: égulièrement notifiés ». La soc
Page 55 and 56: Ils peuvent prendre connaissance du
Page 57 and 58: La « petite loi » votée le 23 ma
Page 59 and 60: • opposition à l’exercice des
Page 61 and 62: Les commissaires de la CNIL peuvent
Page 63 and 64: L’agent de contrôle peut-il ques
Page 65 and 66: Par contre, dans le cas où la plai
Page 67 and 68: • Les contrôleurs sont tenus au
Page 69 and 70: Article 11-2°-c prévoyant que la
Page 71 and 72: La CNIL estime de ce fait que les c
Page 73 and 74: destinataires exacts des données,
Page 75 and 76: 18.7. Collecte de données personne
Page 77 and 78: Le droit d’accès s’exerce dés
Page 79 and 80: les différentes mesures prises pou
Page 81 and 82: importants ayant eux-mêmes engendr

a un eventuel controle sur place de la cnil - L'Afcdp

Create successful ePaper yourself

Delete template?

Save as template?