a un eventuel controle sur place de la cnil - L'Afcdp

More documents

Recommendations

Info

Sur présentation d’une carte professionnelle d’un médecin, les agents de la CNIL ont accès aux fichiersmédicaux.« Les voilà… ce sont les contrôleurs de la CNIL. Ils viennent vérifier le système bluetooth installé par la mairie.Richard S. a décroché le marché, mais sa petite entreprise peine à décoller …/… Il a déjà eu un contrôle de ladirection centrale du renseignement intérieur (DCRI, l'ex-DST), et l'a trouvé « moins pénible que celui de laCNIL ». C'est que la commission a minutieusement exploré les interfaces du site, multiplié les copies d'écran,vérifié la durée de conservation des données ».« Sentinelles de l’informatique » (extraits), Franck Johannès, Le Monde 5 janvier 2010Voici quelques exemples de traitements, informations et données auxquels les agents peuvent demander à avoiraccès lors du contrôle :• Registre des traitements et bilans annuels (tenus par le CIL)• Descriptif de l’architecture des applications, désignation et descriptif sommaire des matériels etlogiciels informatiques et des réseaux, catalogue des données des applicatifs (notamment noms deschamps et leur signification), liste des codes et leur signification (pour les données mémorisées dans lesfichiers sous forme codifiée) ;• Dossiers d’analyse fonctionnelle et organique, de programmation et d’exploitation, listings des codessources des programmes, manuels d’exploitation, etc.• « schéma » des bases de données 52 ;• Une extraction de zones de libre commentaire ou ZLC (textes libres, blocs notes…), extrait de fichierservant à la paye, fichiers de ressources humaines, informations de gestion de la relation clients,données marketing, éventuelles listes noires, etc. ;• PSSI (Politique de Sécurité du Système d’Information), Charte d’usage des moyens NTIC, noted’application relative au soin à apporter aux droits d’accès et aux mots de passe ;• Note d’informations des publics concernés (interne et externe) ;• Fichiers liés aux autocommutateurs téléphoniques, à des systèmes de contrôle d’accès (par exemple parbadges ou cartes à mémoire), dispositif de géolocalisation, reconnaissance biométrique, etc. ;• Copies d’écran et données collectées sur des sites Web, respect des consignes dans le cas des Intranetau sein de groupes internationaux ;• Annuaires, organigrammes, « trombinoscopes », etc. ;• Contrats de sous-traitance (pour vérifier la présence des clauses ad hoc) ;• Procédures de contrôle interne ;• Procédure d’exercice du droit des personnes (dont le droit d’accès) ;• Procédure de suppression des fichiers commerciaux, etc.Naturellement, les agents peuvent également vérifier l’absence d’interconnexion entre fichiers de finalitésprincipale différente, l’effectivité des mécanismes de purge et le respect des règles en matière de fluxtransfrontières.La CNIL peut demander communication de tous documents (descriptif de l’architecture des applications,descriptif sommaire des matériels et logiciels informatiques mis en œuvre par le traitement, dossier d’analysefonctionnel – de programmation – d’exploitation, programmes informatiques, données, procédures de sécurité,description technique d’un dispositif biométrique, journal d’accès aux informations, etc.) nécessaires àl’accomplissement de sa mission, quel qu’en soit le support, et en prendre copie (à chaque fois que c’estpossible, les agents de la CNIL anonymisent les données dont ils prennent copie (c.a.d qu’ils relèvent desinformations dans un format tel que ces données ne peuvent être rattachées à une personne).Exemples (cf. étude du cas Tyco HealthCare France) ;• copies d’écrans,• Guides et mémorandum internes (« International Database Project Update, Data Auditing and NextSteps, June 2006 » et « Guide de l’administrateur, Administration et traitement des données pour labase de données internationales »),52 Certaines entreprises n’ont aucune maîtrise en ce domaine (l’applicatif « masquant » la base de données, dont elles ignorent lastructure).Page 46 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net
Il convient de fournir la signification des champs ainsi que la liste des codes et leur signification (pour lesdonnées mémorisées sous forme codifiée).Dans le cas où la recherche des documents/données demandés prend du temps, indiquer le délai nécessaire et sajustification. Il vous appartient d’en assurer la transcription par tout traitement approprié dans des documentsdirectement utilisables pour les besoins du contrôle. Il n’est pas possible d’arguer de difficulté technique.Par précaution ;• affectez un numéro d’ordre à chaque document ;• numérotez chaque page de ces documents ;• portez une mention « Confidentiel – réservé à la CNIL » sur les documents qui vous semblent les plussensibles ;• ne présentez pas les originaux des contrats, mais fournissez une copie de laquelle vous aurez retiré lesinformations hors périmètre du contrôle (par exemple des conditions tarifaires exceptionnelles) – enprenant soin de l’expliquer aux agents de la CNIL ;• chaque personne chargée d’accompagner en permanence chaque agent de la CNIL doit a) conserverune impression papier de chaque écran visualisé lors du contrôle b) conserver une image de chaqueécran sur une clé USB ;• listez et conservez une copie de tous les documents et données qu’emportent les agents de la CNIL ;• vérifiez que ces documents/données sont bien dans leurs versions courantes/finales (information àrelever) ;• vérifiez que la liste exhaustive des données prélevées figure bien au procès-verbal qui sera présentépour signature à l’issue du contrôle sur place.Les contrôleurs peuvent demander la communication de documents postérieurement à leur visite. Il convient deleur adresser rapidement, mais de façon sécurisée.Les agents peuvent également demander communication de tout élément leur permettant d’apprécier le respectde l’art. 34 sur la sécurisation des données à caractère personnel traitées : politique de sécurité, journal des accèsdes administrateurs techniques, description des moyens de sécurité mis en œuvre, etc. A titre d’exemple, lors ducontrôle, courant 2008, d’un Centre hospitalier, les agents ont soulevé les questions suivantes : « Qui pourraitavoir accès au Système d’information ? Les administratifs ? Le contrôle de gestion ? Ce collègue là, à quellesdonnées peut-il accéder ? Qui attribue les droits d’accès et selon quelle procédure ? Comment sont réinitialisésles mots de passe : Montrez nous ! Que deviennent les vieux PC en fin de vie ? Que deviennent les disques dursdes serveurs en panne ? ».L’une des entreprises contrôlées a eu la surprise de constater qu’un agent habilité utilisait un périphériqueamovible (clé USB). Une copie de son contenu a été réalisée à la fin de la mission et mention en a été portée surle procès-verbal.11. Attention au délit d’entrave !La loi du 6 Août 2004 a inséré un nouveau chapitre VIII « Dispositions pénales » dans la loi informatique etlibertés (articles non codifiés dans le code pénal), l’article 51.Les attitudes considérées comme des cas d’entrave par cet article sont les suivantes :• Le refus direct ou indirect de communication d’informations. Sont visés, les faits ;o de refuser de communiquer aux membres/agents habilités de la CNIL les renseignements etdocuments utiles à leur mission ;o de dissimuler ces documents ou renseignements ;o de les faire disparaître.• La transmission d’une information non conforme ou non compréhensible. Est visée, la communicationd’informations ;Page 47 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net
Page 6 and 7: 1. Le contrôle sur place : une ré
Page 8 and 9: questionnaire comprenant des questi
Page 10 and 11: Article 62Lorsque la commission eff
Page 12 and 13: protection de la vie privée de l'u
Page 14 and 15: Auto saisineLa Commission se saisit
Page 16 and 17: Plaintes émanant de salariés, Com
Page 18 and 19: Sur base du programme annuel de con
Page 20: • Les conditions de conservation
Page 23 and 24: Les sessions de la formation restre
Page 25 and 26: Figure 9 : Nombre decontrôles sur
Page 27 and 28: C’est en 2007 que, pour la premi
Page 29 and 30: l’opérateur Telefonica venait de
Page 31 and 32: Ebranlée par les scandales, l’Al
Page 33 and 34: On voit donc que le Responsable de
Page 35 and 36: lors des contrôles effectués, a
Page 37 and 38: Le 23 mars 2010 la « petite loi »
Page 39 and 40: Depuis la décision du Conseil d’
Page 41 and 42: Ceux des agents qui peuvent être a
Page 43 and 44: 7.1. Les textes de référenceNous
Page 45: Personnels d’accueil : Chargé de
Page 49 and 50: sensibilité, non seulement continu
Page 51 and 52: santé, et qui est mis en œuvre pa
Page 53 and 54: égulièrement notifiés ». La soc
Page 55 and 56: Ils peuvent prendre connaissance du
Page 57 and 58: La « petite loi » votée le 23 ma
Page 59 and 60: • opposition à l’exercice des
Page 61 and 62: Les commissaires de la CNIL peuvent
Page 63 and 64: L’agent de contrôle peut-il ques
Page 65 and 66: Par contre, dans le cas où la plai
Page 67 and 68: • Les contrôleurs sont tenus au
Page 69 and 70: Article 11-2°-c prévoyant que la
Page 71 and 72: La CNIL estime de ce fait que les c
Page 73 and 74: destinataires exacts des données,
Page 75 and 76: 18.7. Collecte de données personne
Page 77 and 78: Le droit d’accès s’exerce dés
Page 79 and 80: les différentes mesures prises pou
Page 81 and 82: importants ayant eux-mêmes engendr

a un eventuel controle sur place de la cnil - L'Afcdp

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?