a un eventuel controle sur place de la cnil - L'Afcdp

More documents

Recommendations

Info

Les contrôleurs ont-ils accès à l’intégralité des locaux du site ?Les contrôleurs peuvent se déplacer dans tous les locaux du site, à l’exception des lieux privés (appartement defonction).Où « installer » les agents de la CNIL ?Il est recommandé de les installer dans une pièce prévue à cet effet, neutre (éviter les bureaux, à commencer parles open space). On pensera également à prévoir le chemin menant à ce local.Les agents de la CNIL peuvent-ils prendre l’initiative lors de leur contrôle de se déplacer du sitementionné sur la lettre de mission vers un autre site ?Oui. Les contrôleurs peuvent se déplacer sur tous les sites de l’entité contrôlée qu’ils jugent utiles pour mener àbien leur mission. L’un des délégués à la protection des données auditionné par le groupe de travail AFCDP aindiqué la présence des agents de la CNIL sur un premier site en matinée : leurs investigations ayant rapidementmontré que le traitement incriminé était hébergé sur un second site, ils s’y sont rendus aussitôt.Les agents de la CNIL peuvent-ils prendre l’initiative lors de leur contrôle de se déplacer du sitementionné sur la lettre de mission vers le site d’un sous-traitant, et ceci sans que la lettre de mission leprévoie ?Oui. Les contrôleurs peuvent se déplacer sur tous les sites de l’entité contrôlée qu’ils jugent utiles pour mener àbien leur mission.Les agents de la CNIL prennent-ils en compte les impondérables et situations particulières (une sociétéauditionnée par le groupe de travail AFCDP a indiqué que nul ne peut pénétrer dans ses enceintes en casde passage au seuil « Ecarlate » du plan Vigie Pirate auquel ils sont soumis) ?Lorsque l'entreprise est de bonne foi et apporte une justification satisfaisante, il est d'usage que la délégation dela CNIL fasse preuve de souplesse même si rien ne l'y oblige sur le plan juridique.Peut-on refuser le contrôle sur place au motif qu’aucun médecin n’accompagne les agents de la CNILalors que les traitements contiennent des données de santé et que le contrôle porte sur celles-ci ?Selon l’article 44-III de la loi « Seul un médecin peut requérir la communication de données médicalesindividuelles incluses dans un traitement nécessaire aux fins de la médecine préventive, de la recherchemédicale, des diagnostics médicaux, de l’administration de soins ou de traitements, ou à la gestion de service desanté, et qui est mis en œuvre par un membre d’une profession de santé ». En l’absence de médecin, le refus estdonc légitime, sous réserve que le contrôle vise ce type de traitement.A contrario, si le responsable d’un traitement n’est pas un professionnel de santé (médecin, pharmacien,profession paramédicale) et que les finalités ne concernent pas la médecine préventive, la recherche médicale,des diagnostics médicaux, l’administration de soins ou de traitements, ou à la gestion de service de santé, laprésence d’un médecin n’est pas obligatoire, et il est impossible de s’opposer au contrôle.NB : Toutefois l’esprit du texte devrait permettre d’inclure les traitements des intermédiaires de santé (assurance,mutuelle) dont la finalité du traitement est de gérer un service de santé.NB : L’article 68 du décret autorise le Président de la Commission à désigner un médecin à partir d’une listed’experts judiciairesLes agents de la CNIL peuvent-ils être accompagnés d’experts techniques tiers ?Oui. Lors des missions de contrôle sur place, l’assistance d’experts désignés par l’autorité dont ils dépendentpeut être demandée par le président de la commission. Leurs frais et honoraires sont à la charge de laCommission (article 63 du règlement intérieur – délibération CNIL n°2006-147 du 23 mai 2006).Page 60 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net
Les commissaires de la CNIL peuvent-ils prendre part aux contrôles sur place ?Oui. Les 17 commissaires peuvent procéder à des missions de contrôle en sus des 44 agents de la CNIL qui sonthabilités par la CNIL à participer à des missions de contrôle 62 (dont 28 agents sont habilités à participer aucontrôle de fichiers de police et de justice et dont certains sont habilités « secret-défense»).Les agents de la CNIL peuvent-ils être accompagnés d’observateurs ?Les auditions ont montré qu’il arrive que les agents habilités soient accompagnés d’observateurs : magistrats enformation, membre des entités chargées de la lutte contre la cybercriminalité, etc. Ces personnes ne peuvent enaucun cas prendre part au contrôle et, en conséquence, ne signent pas le procès-verbal. Le groupe AFCDP n’apas – pour le moment – obtenu de réponses aux questions suivantes : Le Responsable de traitement peut-ils’opposer à la présence de ces observateurs, et s’il s’y oppose quelles en sont les conséquences ? Quelle est lagarantie de confidentialité de ces observateurs ?Les agents de la CNIL peuvent-ils être accompagnés de journalistes ?C’est visiblement ce qui s’est passé lors d’un contrôle sur place effectué en 2009 à la mairie d’une grande villede Bretagne. Cette procédure a été relatée par le journaliste Franck Johannès dans un article intitulé « Sentinellesde l’informatique » paru dans Le Monde du 5 janvier 2010.« Il a sorti son costume du dimanche qui le serre un peu et il sue à grosses gouttes. Richard S. sait qu'il joue sachemise dans l'histoire. Les voilà. Les trois jeunes gens, parfaitement courtois et sérieux comme des papes, seprésentent d'une voix douce et lui tendent leur lettre de mission : ce sont les contrôleurs de la Commissionnationale de l'informatique et des libertés. Ils viennent vérifier le système bluetooth installé par la mairie : septbornes, disséminées dans la ville, envoient un message sur les portables lorsqu'on passe devant …/… La mairieet son prestataire vont recevoir une mise en demeure, comme dans 90 % des contrôles, avec desrecommandations classiques : le fichier doit être déclaré, puisqu'il s'agit du traitement d'informationspersonnelles; les bornes doivent signaler aux passants qu'ils peuvent accéder à leurs données personnelles et lasécurité informatique doit être renforcée. Richard S. s'éponge le front. Rien de bien méchant. L'équipe de laCNIL s'en retourne à Paris, rue Vivienne, dans l'hôtel particulier de la commission. L'immense majorité descontrôles de la CNIL - plus de 200 par an, presque tous inopinés - se passe paisiblement ».« Sentinelles de l’informatique » (extraits), Franck Johannès, Le Monde 5 janvier 2010.Il a également été reporté que la CNIL avait demandé à une société contrôlée si elle acceptait la présence decamera de télévision. La société a refusé.Dans le cas où le contrôle est effectué suite à une plainte, quand prend-t-on connaissance des détails decelle-ci ?D’après les auditions effectuées par le groupe AFCDP, il semble que les lettres de mission ne donnent aucuneinformation quant à la genèse du contrôle. Ce n’est que lors de celui-ci, au fur et à mesure de son déroulement, àpartir des questions posées par les agents et l’identification du traitement visé que le Responsable de traitementpeut commencer à se faire une idée de la raison à l’origine de ce contrôle sur place.Que doit-on mettre à disposition de l’agent de contrôle ?Comme l’indique l’article 21 de la loi Informatique & Libertés, « Les ministres, autorités publiques, dirigeantsd’entreprises publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ouutilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s’opposer à l’action de lacommission ou de ses membres et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche ».Plus concrètement, il convient de prévoir ;• un poste de travail pouvant être mis rapidement à disposition62 Source : Entendu lors d’un Atelier de la CNILPage 61 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net
Page 6 and 7:
1. Le contrôle sur place : une ré
Page 8 and 9:
questionnaire comprenant des questi
Page 10 and 11: Article 62Lorsque la commission eff
Page 12 and 13: protection de la vie privée de l'u
Page 14 and 15: Auto saisineLa Commission se saisit
Page 16 and 17: Plaintes émanant de salariés, Com
Page 18 and 19: Sur base du programme annuel de con
Page 20: • Les conditions de conservation
Page 23 and 24: Les sessions de la formation restre
Page 25 and 26: Figure 9 : Nombre decontrôles sur
Page 27 and 28: C’est en 2007 que, pour la premi
Page 29 and 30: l’opérateur Telefonica venait de
Page 31 and 32: Ebranlée par les scandales, l’Al
Page 33 and 34: On voit donc que le Responsable de
Page 35 and 36: lors des contrôles effectués, a
Page 37 and 38: Le 23 mars 2010 la « petite loi »
Page 39 and 40: Depuis la décision du Conseil d’
Page 41 and 42: Ceux des agents qui peuvent être a
Page 43 and 44: 7.1. Les textes de référenceNous
Page 45 and 46: Personnels d’accueil : Chargé de
Page 47 and 48: Il convient de fournir la significa
Page 49 and 50: sensibilité, non seulement continu
Page 51 and 52: santé, et qui est mis en œuvre pa
Page 53 and 54: égulièrement notifiés ». La soc
Page 55 and 56: Ils peuvent prendre connaissance du
Page 57 and 58: La « petite loi » votée le 23 ma
Page 59: • opposition à l’exercice des
Page 63 and 64: L’agent de contrôle peut-il ques
Page 65 and 66: Par contre, dans le cas où la plai
Page 67 and 68: • Les contrôleurs sont tenus au
Page 69 and 70: Article 11-2°-c prévoyant que la
Page 71 and 72: La CNIL estime de ce fait que les c
Page 73 and 74: destinataires exacts des données,
Page 75 and 76: 18.7. Collecte de données personne
Page 77 and 78: Le droit d’accès s’exerce dés
Page 79 and 80: les différentes mesures prises pou
Page 81 and 82: importants ayant eux-mêmes engendr
show all

a un eventuel controle sur place de la cnil - L'Afcdp

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?