a un eventuel controle sur place de la cnil - L'Afcdp

More documents

Recommendations

Info

• La possibilité de consulter les divers fichiers constitués ;• Le concours de personne(s) apte(s) à l’accès aux systèmes et à la mise en œuvre technique desapplicatifs ;• Le concours d’opérateur(s) manipulant sur un poste de travail (ou terminal) pour les applicationsinformatiques correspondantes à l’objet de la vérification.Il est possible de permettre aux contrôleurs d’accéder au restaurant d’entreprise, à leurs frais (ne pas inviter lesagents de la CNIL au restaurant).Si possible, il est souhaitable que les agents de la Commission soient accueillis par un nombre au plus égal decollaborateurs. Ils sont généralement deux ou trois ce qui revient à dire que, peuvent être présents : leresponsable du site, le responsable informatique et le relais local du Correspondant Informatique & Libertés.Dès le début du contrôle, il convient de leur présenter [à adapter suivant chaque cas] ;• l’établissement/le site (succinctement) ;• l’organisation/organigramme de l’entité (relatif au contrôle) ;• la cartographie des traitements ;• la procédure qualité ;• tous documents (papier ou électroniques) montrant l’importance accordée à la loi Informatique &Libertés par l’entité (Charte de l’usage de l’informatique, consigne de sécurisation des donnéestraitées, Intranet « Informatique & Libertés », etc.).Les contrôleurs peuvent demander (liste non exhaustive) ;• d’accéder à des documents et d’en prendre copie ;• d’avoir des entretiens avec toute personne ayant rapport avec les traitements ;• d’accéder au réseau informatique ;• d’accéder à une application ;• communication de la politique de sécurité (gestion des mots depasse, ségrégation des accès, moyens de sécurisation des donnéesles plus sensibles, etc.) ;• des précisions sur le processus de collecte des données ;• des précisions sur le processus de saisie (en particulier s’il y a unezone bloc-notes – ou zone de libre commentaire – dansl’application) ;• la description d’éventuelles routines qui sont activées pour mettreautomatiquement à blanc des zones de l’application qui ne seraientd’aucune utilité pour l’entité contrôlée ;• la durée d’archivage ;• etc.Figure 16 : Procédure mise en œuvre par un Membre AFCDP (extrait)Les agents peuvent accéder à l’intégralité des locaux du site (à l’exception des lieux privés) : Il est recommandéde les faire accompagner d’un collaborateur (CIL, « scribe », représentant local du Responsable destraitements, etc.) qui les présentera à toute personne qu’ils souhaitent interroger. Il est déconseillé de les laissercirculer seuls afin qu’ils ne captent pas à l insu de l’entité contrôlée des informations ».9. Les autres acteurs de la pièce : personnes et fonctionsconcernéesIl est important au préalable de déterminer le rôle de chacun, pour éviter les oublis et les actions en double.Cette liste ne comporte que les fonctions concernées par la visite proprement dite. D’autres fonctions (dont laDirection de la communication ou la personne en charge des relations sociales – si le contrôle fait suite à uneplainte d’un collaborateur ou d’un syndicat) seront naturellement intégrées au processus par la suite.Page 44 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net
Personnels d’accueil : Chargé des procédures de contrôle d’accès au siteReprésentant du responsable du traitement (responsable du site, membre de la Direction juridique) :Durant toute la durée du contrôle sur place, il est responsable du bon déroulement de la mission. Il veilleégalement au respect des intérêts de son entreprise.Personnels techniques informaticiens : Ils mettent leurs compétences au service du représentant du responsabledu traitement, et l’aident à répondre aux demandes des agents habilités (notamment pour fournir des copies dedonnées liées aux traitements objet du contrôle, pour accéder aux systèmes, pour manipuler un poste de travail,pour commenter un applicatif, etc.).Personnel métiers : Ils mettent leurs compétences au service du représentant du responsable du traitement, etl’aident à répondre aux demandes des agents habilités (exemple ; responsable marketing, responsable relationsclientèle, DRH, etc.).Direction Juridique : Elle apporte son support au représentant du responsable du traitement durant toute ladurée du contrôle.Correspondant Informatique & Libertés : Il apporte son support au représentant du responsable du traitementdurant toute la durée du contrôle.L’une de ces personnes tiendra un journal (en mode « chrono ») du déroulement intégral du contrôle (le« scribe ») :• heures d’arrivées et de départs journaliers des contrôleurs,• toutes leurs demandes,• les réponses ou les moyens mis a disposition,• les documents communiqués,• les copies faites,• la transcription des entretiens 51 ,• la liste des locaux visités,• les applications accédées, etc.Cette prise de note est factuelle (elle ne comporte pas d’appréciation ni de jugement de valeur).Le choix des personnes à mobiliser se fait principalement en fonction de la teneur de l’ordre de mission. Lafonction des agents y est indiquée. Cette information permet de « sélectionner » les compétences à mettre en face(informaticiens, juristes, etc.).Dans le cas fort fréquent où les agents se dispersent sur le site, on veillera à ce que chacun d’entre eux soitaccompagné et que cet « accompagnateur » prenne à son compte ce rôle de scribe.Cela signifie que l’organisme contrôlé doit mobiliser un nombre de collaborateurs au moins égal au nombred’agents de la CNIL.10. Inventaire des pièces demandées par les agentsLa CNIL indique clairement sur son site Web qu’une mission de contrôle « vise prioritairement à obtenir copiedu maximum d’informations, techniques et juridiques, pour apprécier les conditions dans lesquelles sont mis enœuvre des traitements informatiques ».Lors du contrôle, la délégation peut recueillir, sur place tout renseignement et toute « justification utile ».51 Les discussions avec les agents de la CNIL ne sont pas retranscrites dans le Procès-verbal (au contraire des contrôles effectués par laDGCCRF).Page 45 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net
Page 6 and 7: 1. Le contrôle sur place : une ré
Page 8 and 9: questionnaire comprenant des questi
Page 10 and 11: Article 62Lorsque la commission eff
Page 12 and 13: protection de la vie privée de l'u
Page 14 and 15: Auto saisineLa Commission se saisit
Page 16 and 17: Plaintes émanant de salariés, Com
Page 18 and 19: Sur base du programme annuel de con
Page 20: • Les conditions de conservation
Page 23 and 24: Les sessions de la formation restre
Page 25 and 26: Figure 9 : Nombre decontrôles sur
Page 27 and 28: C’est en 2007 que, pour la premi
Page 29 and 30: l’opérateur Telefonica venait de
Page 31 and 32: Ebranlée par les scandales, l’Al
Page 33 and 34: On voit donc que le Responsable de
Page 35 and 36: lors des contrôles effectués, a
Page 37 and 38: Le 23 mars 2010 la « petite loi »
Page 39 and 40: Depuis la décision du Conseil d’
Page 41 and 42: Ceux des agents qui peuvent être a
Page 43: 7.1. Les textes de référenceNous
Page 47 and 48: Il convient de fournir la significa
Page 49 and 50: sensibilité, non seulement continu
Page 51 and 52: santé, et qui est mis en œuvre pa
Page 53 and 54: égulièrement notifiés ». La soc
Page 55 and 56: Ils peuvent prendre connaissance du
Page 57 and 58: La « petite loi » votée le 23 ma
Page 59 and 60: • opposition à l’exercice des
Page 61 and 62: Les commissaires de la CNIL peuvent
Page 63 and 64: L’agent de contrôle peut-il ques
Page 65 and 66: Par contre, dans le cas où la plai
Page 67 and 68: • Les contrôleurs sont tenus au
Page 69 and 70: Article 11-2°-c prévoyant que la
Page 71 and 72: La CNIL estime de ce fait que les c
Page 73 and 74: destinataires exacts des données,
Page 75 and 76: 18.7. Collecte de données personne
Page 77 and 78: Le droit d’accès s’exerce dés
Page 79 and 80: les différentes mesures prises pou
Page 81 and 82: importants ayant eux-mêmes engendr

a un eventuel controle sur place de la cnil - L'Afcdp

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?