a un eventuel controle sur place de la cnil - L'Afcdp

More documents

Recommendations

Info

Si des insuffisances manifestes ont été détectées lors du contrôle, le CIL fera rechercher les traitements similairessouffrant des mêmes points perfectibles, y compris dans ses établissements à l’étranger.Dans le cas d’un contrôle se déroulant sur plusieurs jours, une réunion de débriefing intermédiaire se tiendrachaque fin de journée (se garder de porter modification aux traitements objets du contrôle), entre autres pourinformation du Responsable de Traitement.Il est recommandé de commencer à travailler immédiatement sur les réponses qu’il faudra apporter à la CNIL :• pendant que tout est encore frais dans les mémoires ;• pour pouvoir répondre au plus vite afin de montrer sa bonne foi.15. Et la suite ?15.1. Que va faire la CNIL ?Dans les jours qui suivent le contrôle sur place, les agents de la CNIL peuvent demander des précisions auResponsable de traitement par messagerie électronique : il convient donc de s'organiser pour valider lesréponses avant de les émettre, d’étudier la possibilité de les envoyer après signature et en mode chiffré, d’engarder la trace, d’utiliser systématiquement la fonction « accusé de réception » sur ces emails et de garder latrace des accusés.Si une plainte est à l’origine du contrôle sur place, il convient de noter que la CNIL peut conseiller un plaignantsur l’opportunité de saisir le juge des Prud’hommes ou le tribunal de commerce. La CNIL peut égalementconseiller au plaignant de saisir le Tribunal administratif pour tous les traitements opérés par des entitéspubliques.La CNIL peut saisir le juge pénal en application de l’article 40 du nouveau Code de procédure pénale.Les agents de la CNIL rédigent un rapport communiqué à la formation restreinte. La CNIL adresse une copie dece rapport au Responsable de Traitement.Le Responsable de Traitement dispose d’un délai de quinze jours à compter de la réception pour faire connaîtreses observations et demander à être entendu par la CNIL.Le CIL participe aux réunions préparatoires (rédaction de la réponse à adresser à la CNIL, préparation del’audition).Audition d’un Centre hospitalier contrôlé :« Suite à un contrôle sur place de plusieurs jours nous avons reçu un courrier de mise en demeure accompagnédu rapport de la Commission. Parmi les reproches qui nous étaient formulées figuraient – entre autres – uneinformation insuffisante des personnes (« ne pas se contenter des affiches »), une gestion des accès aux donnéespersonnelles à revoir (existence de droits d’accès orphelins, après le départ de collègues) et des locauxd’archives insuffisamment protégés (« il devrait y avoir un registre sur lequel sont portées les entrées etsorties »). De plus, quelques collaborateurs informaticiens avaient accès aux données de santé sans êtreprofessionnels de santé : nous leur avons fait signer un engagement personnel de confidentialité. Répondre à cecourrier nous a demandé un travail très important, car il fallait nous engager sur un plan d’actions et sur unplanning. Dans notre cas, celui-ci est étalé sur plusieurs mois car nous sommes obligés d’apporter de lourdesmodifications à des applications informations anciennes… »La formation restreinte peut également souhaiter entendre le responsable des traitements. Celui-ci reçoit alorsune convocation à laquelle il doit se rendre. Il dispose de quinze jours pour répondre aux demandes qui lui sontfaites. Lors de l’audition par la formation restreinte, le responsable des traitements et le CIL se déplacent.Page 54 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net
Ils peuvent prendre connaissance du dossier comme cela leur est proposé afin de savoir d’où vient la plainteet donc ce qui a été relevé. Ils doivent disposer d’arguments et d’un plan d’amélioration avec des dates deréalisation.Un procès verbal d’audition sera rédigé par la commission.Ensuite la formation restreinte délibère et rédige un compte rendu.Dans le cas où les informations fournies ou le plan d’amélioration présenté ne satisfait pas la CNIL, la formationrestreinte peut infliger des sanctions : Avertissement, mise en demeure de faire cesser le manquement, injonctiond’arrêter le traitement, sanction pécuniaire, publicité dans la presse en cas de délit d’entrave.Cette délibération est publiée sur www.legifrance.gouv.fr et sur le site de la CNIL. Il s’agit d’une décisionadministrative qui peut être attaquée devant le juge administratif.Il est important de vérifier que les contrôleurs ne participent pas à la délibération (ceci constitue un vice deprocédure).Une fois la mission terminée, le responsable des traitements recevra 57 :- une lettre de clôture, dans le cas où aucune anomalie n’a été constatée- un courrier d’observation si des manquements de faible gravité ont été relevés (une ou plusieursrecommandations peuvent y être jointes)- une lettre d’avertissement si une ou plusieurs anomalies significatives ont été constatées. Si lesmanquements sont graves, le dossier est transmis au service de la gestion des sanctions.- une lettre de mise en demeure de cesser le traitement si au moins une anomalie grave a été constatée.Le délai d’exécution laissé par la CNIL est de 10 jours à trois mois.Au terme de la procédure de contrôle, le CIL archive toutes les pièces du contrôle (copie de la lettre de mission,compte-rendu fait par le scribe, procès-verbal des contrôleurs, courrier avec la CNIL). Après le prononcé de lasanction, l’entité contrôlée a deux mois pour faire appel.15.2. Enrichir son bilan annuelLe CIL fera naturellement état de ce contrôle dans son bilan annuel, de façon élargie (genèse, analyse aposteriori, mesures prises, etc.).L’AFCDP met à disposition de ses Membres un bilan type accompagné d’une FAQ très opérationnelle (partieprivative du site Web www.afcdp.net).16. Mille questions se posentCette procédure de contrôle sur place effectué par l’autorité existe-t-il chez nos voisins ?Actuellement seuls dix pays européens – dont la France – effectuent un contrôle sur le terrain. La Directiveeuropéenne 95/46 ne contraignait pas la France à adopter une telle démarche.Peut-on estimer la probabilité de subir un contrôle sur place ?En Allemagne, comme l’indique le rapport du cabinet Xamit, le laps de temps théorique entre deux contrôles estde 39.400 ans. Ce risque n’a pas fait l’objet d’estimation pour la France. Néanmoins il peut être utile pour le CILde se constituer un « cockpit » (technique inspirée des pratiques de l’intelligence économique) à partir desplaintes reçues par le service de relation clients, des courriers reçus de la Cnil, du programme de contrôle publiépar la Cnil, des informations distillées par l’AFCDP 58 , par la publication des articles de presse parlant de sonentreprise, etc.).57 Lors des auditions menées par le groupe de travail AFCDP, des entreprises attendaient encore un tel document, plus d’un an après lecontrôle sur place.58 A l’automne 2009 l’AFCDP a informé ses membres que la CNIL avait entamé une série d’une trentaine de contrôles sur place auprèsd’entités ayant mis en œuvre des dispositifs d’alerte professionnelle.Page 55 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net
Page 6 and 7: 1. Le contrôle sur place : une ré
Page 8 and 9: questionnaire comprenant des questi
Page 10 and 11: Article 62Lorsque la commission eff
Page 12 and 13: protection de la vie privée de l'u
Page 14 and 15: Auto saisineLa Commission se saisit
Page 16 and 17: Plaintes émanant de salariés, Com
Page 18 and 19: Sur base du programme annuel de con
Page 20: • Les conditions de conservation
Page 23 and 24: Les sessions de la formation restre
Page 25 and 26: Figure 9 : Nombre decontrôles sur
Page 27 and 28: C’est en 2007 que, pour la premi
Page 29 and 30: l’opérateur Telefonica venait de
Page 31 and 32: Ebranlée par les scandales, l’Al
Page 33 and 34: On voit donc que le Responsable de
Page 35 and 36: lors des contrôles effectués, a
Page 37 and 38: Le 23 mars 2010 la « petite loi »
Page 39 and 40: Depuis la décision du Conseil d’
Page 41 and 42: Ceux des agents qui peuvent être a
Page 43 and 44: 7.1. Les textes de référenceNous
Page 45 and 46: Personnels d’accueil : Chargé de
Page 47 and 48: Il convient de fournir la significa
Page 49 and 50: sensibilité, non seulement continu
Page 51 and 52: santé, et qui est mis en œuvre pa
Page 53: égulièrement notifiés ». La soc
Page 57 and 58: La « petite loi » votée le 23 ma
Page 59 and 60: • opposition à l’exercice des
Page 61 and 62: Les commissaires de la CNIL peuvent
Page 63 and 64: L’agent de contrôle peut-il ques
Page 65 and 66: Par contre, dans le cas où la plai
Page 67 and 68: • Les contrôleurs sont tenus au
Page 69 and 70: Article 11-2°-c prévoyant que la
Page 71 and 72: La CNIL estime de ce fait que les c
Page 73 and 74: destinataires exacts des données,
Page 75 and 76: 18.7. Collecte de données personne
Page 77 and 78: Le droit d’accès s’exerce dés
Page 79 and 80: les différentes mesures prises pou
Page 81 and 82: importants ayant eux-mêmes engendr

a un eventuel controle sur place de la cnil - L'Afcdp

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?