a un eventuel controle sur place de la cnil - L'Afcdp

More documents

Recommendations

Info

1. Le contrôle sur place : une réalité qui s’impose au CILAu titre de l’article 11 de la loi du 6 août 2004 1 , la CNIL (Commission Nationale Informatique & Libertés) peutcharger ses agents de se rendre partout où est mis en œuvre un traitement de données à caractère personnel, afinde procéder à des vérifications sur place comme l’indique l’article 11.2.f : « Elle peut, par décisionparticulière, charger un ou plusieurs de ses membres ou des agents de ses services, dans les conditions prévuesà l’article 44, de procéder à des vérifications portant sur tous traitements et, le cas échéant, d’obtenir des copiesde tous documents ou supports d’information utiles à ses missions. »Ces missions de contrôle sur place ont pour buts d'examiner la régularité des traitements, de s'assurer que letraitement mis en œuvre correspond au traitement ayant fait l'objet des formalités préalables, de vérifier quel'ensemble des dispositions de la loi sont respectées.Lors de ces contrôles sur place – inopinés le plus souvent –, la délégation peut recueillir tout renseignement ettoute « justification utiles ». Elle peut demander communication de tous documents nécessaires àl’accomplissement de sa mission, quel qu’en soit le support, et en prendre copie. Elle peut accéder auxprogrammes informatiques et aux données, ainsi qu’en demander la transcription par tout traitement appropriédans des documents directement utilisables pour les besoins du contrôle.Lors de l’intervention de M. Guillaume Desgens-Pasanau (à l’époque Chef du service des Affaires juridiques dela CNIL) à l’occasion de la première Université AFCDP des Correspondants Informatique & Libertés qui s’esttenue à Paris le 23 novembre 2006, un membre de l’AFCDP a mentionné le besoin de disposer d’une« procédure à suivre en cas de contrôle sur place de la Commission ».C’était justement l’une des quatre recommandations de Monsieur Desgens-Pasanau à l’issue de sa présentation,intitulée Plaintes, contrôles, sanctions : comment le Correspondant peut-il développer une politique deconformité ?• Sensibiliser le responsable de traitement et les opérationnels à l’obligation de coopération et aux risquesencourus ;• Définir une procédure de gestion des courriers CNIL garantissant une réponse satisfaisante et rapideaux demandes formulées par la Commission ;• Tenir à la disposition des opérationnels une fiche descriptive des droits et obligations du responsable detraitement en cas de mission de contrôle sur place ;• Développer une politique de « contrôle interne ».Un groupe de travail AFCDP a donc été constitué, à l’initiative de M. Bruno Rasle. Ce groupe s’est réuni àplusieurs reprises à partir du printemps 2007 et a travaillé principalement par auditions d’entités contrôlées.Ce groupe a choisi de se focaliser sur le contrôle sur place proprement dit : d’autres travaux pourraient êtreentamés au sein de l’association quant à la phase qui suit le contrôle (jusqu’à l’éventuelle sanction).Le groupe a procédé à de multiples auditions d’organismes qui ont été contrôlés, de tout secteur.L’objet du présent document est d’aider les membres de l’AFCDP à produire leur propre « fiche descriptive » età bâtir une procédure qui vise à informer et préparer les personnels concernés à telle éventualité (comportement àadopter, devoirs et droits).Ces fiches et ces procédures sont par nature spécifique à chaque organisation, chaque entité, chaque cas defigure (voir quelques exemples à la fin de ce document).Ce document est défini perfectible : les membres de l’AFCDP sont invités à faire part de leurs remarques,commentaires et suggestions pour l’améliorer (par simple email : charge-mission@afcdp.net ).1 Loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n°78-17du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.Page 6 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net
En respect du Règlement Intérieur de l’AFCDP, il est rappelé aux Membres qu’ils ne peuvent pas diffuser cedocument à l’extérieur de l’Association : ce document leur est strictement réservé.2. 6 août 2004 : la logique changeLa Loi du 6 janvier 1978 permettait déjà à la CNIL d’effectuer des contrôles sur place, mais la logique en cours àcette époque donnait priorité aux contrôles a priori, en privilégiant les formalités préalables. De 1978 à 2004,environ trois cents contrôles sur place ont été effectués au total.La Loi du 6 août 2004 inverse la logique (moins d’autorisations préalables mais un contrôle a posteriori).La CNIL a pris soin de revoir son Règlement Intérieur pour sécuriser sa procédure de contrôle et veiller aurespect des droits de la défense et du contradictoire, ce qui explique que la première sanction rendue publiquesous le régime du nouveau texte ne l’a été qu’en juin 2006 2 (la plainte à l’origine du contrôle avait été déposée le15 novembre 2004).A savoir : La CNIL publie certaines des sanctions qu’elle prononce sur sa page http://www.cnil.fr/en-savoirplus/deliberations/sanctionsOn peut également retrouver les décisions de sanctions sur www.legifrance.gouv.frDepuis la promulgation de la Loi du 6 août 2004 on observe que la Commission effectue plusieurs centaines decontrôles chaque année (contre quelques dizaines auparavant), réalisés, en général, de façon inopinée.Et c’est effectivement en 2005 qu’elle a inauguré son programme de contrôles : il est intéressant de noter que,dans le rapport d’activité 2004, le mot « contrôle »… n’apparaît jamais.Ces dernières années, la CNIL a clairement placé les contrôles parmi ses priorités. L’objectif annoncé par leprésident de la Commission lors de son audition devant la Commission des affaires économiques, del’environnement et du territoire, le 16 janvier 2008, est en passe d’être atteint : « A court terme, l’objectif est deles doubler en les portant à 350 ou 400, sachant que les Espagnols en réalisent 600 à 700 chaque année ». En2009, la moitié des agents embauchés participent, de près ou de loin, au programme de contrôle. Pour autant laCNIL ne se livre pas à une absurde « chasse aux entreprises », ce qui apparaît clairement quand on compare lefaible nombre de sanctions prononcées par rapport à celui des contrôles effectués.2.1. Contrôle sur pièces, sur place, sur convocationCe document se focalise sur le contrôle sur place proprement dit.Il faut savoir qu’il existe également une modalité de « contrôle sur convocation » et une modalité de « contrôlesur pièces ». Alors que le Règlement intérieur de la CNIL encadre le contrôle sur place, ces deux modalités nesont pas évoquées dans ce document 3 .Lors d’un contrôle sur convocation, le responsable de traitement ou le CIL est convoqué officiellement à laCNIL pour une audition formelle en vue de recueillir tout renseignement utile.Cette procédure de convocation, prévue à l’article 44-III de la loi, a été utilisée par la CNIL deux fois en 2005 4 etune fois en 2006 à la suite d’un contrôle sur place auprès d’un service déconcentré en région. Ce contrôle avaitétabli que le manquement constaté relevait de la responsabilité des instances centrales, seules en mesure demettre en conformité le traitement litigieux 5 .C’est par contre la modalité du contrôle sur pièces (par échange de courrier) qui a été utilisée au premiersemestre 2009 par la Commission pour étudier les pratiques en matière de recrutement, sur base d’un2 Délibération n°2006-174 du 28 juin 2006 prononçant une sanction pécuniaire à l'encontre du Crédit Lyonnais (LCL)3 Délibération n°2006-147 du 23 mai 2006 fixant le règlement intérieur de la Commission nationale de l'informatique et des libertés,accessible sur la page http://www.cnil.fr/en-savoir-plus/deliberations/reglement-interieur/4 Rapport d’activité de la CNIL pour l’année 2005, page 365 Rapport d’activité de la CNIL pour l’année 2006, page 36Page 7 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net
Page 8 and 9: questionnaire comprenant des questi
Page 10 and 11: Article 62Lorsque la commission eff
Page 12 and 13: protection de la vie privée de l'u
Page 14 and 15: Auto saisineLa Commission se saisit
Page 16 and 17: Plaintes émanant de salariés, Com
Page 18 and 19: Sur base du programme annuel de con
Page 20: • Les conditions de conservation
Page 23 and 24: Les sessions de la formation restre
Page 25 and 26: Figure 9 : Nombre decontrôles sur
Page 27 and 28: C’est en 2007 que, pour la premi
Page 29 and 30: l’opérateur Telefonica venait de
Page 31 and 32: Ebranlée par les scandales, l’Al
Page 33 and 34: On voit donc que le Responsable de
Page 35 and 36: lors des contrôles effectués, a
Page 37 and 38: Le 23 mars 2010 la « petite loi »
Page 39 and 40: Depuis la décision du Conseil d’
Page 41 and 42: Ceux des agents qui peuvent être a
Page 43 and 44: 7.1. Les textes de référenceNous
Page 45 and 46: Personnels d’accueil : Chargé de
Page 47 and 48: Il convient de fournir la significa
Page 49 and 50: sensibilité, non seulement continu
Page 51 and 52: santé, et qui est mis en œuvre pa
Page 53 and 54:
égulièrement notifiés ». La soc
Page 55 and 56:
Ils peuvent prendre connaissance du
Page 57 and 58:
La « petite loi » votée le 23 ma
Page 59 and 60:
• opposition à l’exercice des
Page 61 and 62:
Les commissaires de la CNIL peuvent
Page 63 and 64:
L’agent de contrôle peut-il ques
Page 65 and 66:
Par contre, dans le cas où la plai
Page 67 and 68:
• Les contrôleurs sont tenus au
Page 69 and 70:
Article 11-2°-c prévoyant que la
Page 71 and 72:
La CNIL estime de ce fait que les c
Page 73 and 74:
destinataires exacts des données,
Page 75 and 76:
18.7. Collecte de données personne
Page 77 and 78:
Le droit d’accès s’exerce dés
Page 79 and 80:
les différentes mesures prises pou
Page 81 and 82:
importants ayant eux-mêmes engendr
show all

a un eventuel controle sur place de la cnil - L'Afcdp

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?