a un eventuel controle sur place de la cnil - L'Afcdp

More documents

Recommendations

Info

Qui supporte les frais provoqués directement par le contrôle ?L’entité contrôlée. A ce jour, la CNIL estime que ses exigences, lors de ces missions, n’a jamais engagé de fraisexagérés (par exemple, lorsque les agents demandent une copie de données). Les frais de conseils (avocats) et dedéplacement du CIL sur les lieux du contrôle restent naturellement à la charge de l’entité contrôlée.En Allemagne, une entreprise de la Région de Niedersachsen a été contrôlée et s’est vue infligée une amendepour non respect du Bundesdatenschutzgesetz. L’autorité de contrôle lui a en plus facturé le tempsd’intervention de ses agents au taux horaire de 100€. L’entreprise a porté l’affaire en justice : Le tribunal adonné raison à l’Autorité Administrative et a informé le plaignant que s’il avait été en conformité il n’aurait paseu à régler cette facture.Les frais et honoraires des experts qui accompagnent les agents de la CNIL sont à la charge de la commission.Un contrôle sur place peut-il faire suite à un contrôle sur pièces ?Oui, les agents de la Commission peuvent venir vérifier sur place la véracité des réponses apportées parl’entreprise dans le cadre d’un contrôle sur pièces. Le cas s’est produit par exemple pour une entreprisecommercialisant des fenêtres. En juin 2007 une mission de contrôle sur pièces avait été réalisée auprès de cetteentité sous la forme de l’envoi d’un courrier portant sur la politique commerciale mise en œuvre au sein de lasociété. La CNIL lui a notamment demandé de préciser la nature des opérations de prospection réalisées, lesdonnées utilisées et les conditions de prise en compte du droit d’opposition. La commission, s’estimantinsuffisamment informée par la réponse fournie par la société a décidé de procéder à une mission de vérificationsur place en novembre, visite qui a mis en évidence des écarts entre annonces et faits.Un contrôle CNIL peut-il avoir pour origine la HALDE ?Oui. La CNIL a établi, en mai 2006, une convention de partenariat avec la HALDE (Haute autorité de luttecontre les discriminations et pour l’égalité) qui prévoit échanges d’informations et contrôles communs aux deuxautorités. www.halde.frLors de ses propres contrôles, si les agents de la Halde constatent des points importants de non-conformité« Informatique et Libertés » (comme des collectes de données interdites telles que les données dites « raciales »),il y a communications des éléments d’une autorité vers l’autre. Messieurs Alex Türk et Louis Schweitzer ontsigné le 3 mai 2006 une convention qui prévoit – entre autres – « des échanges d'informations entre les deuxautorités, la réalisation commune de missions d'information, de réflexion ou encore de contrôle ».Pouvez-vous indiquer quelques manquements relevés à l’occasion de contrôles sur le périmètreRessources Humaines ?• dossiers papier Ressources humaines comportant des CV d’anciens candidats ou des copies dediplômes ;• outils de CRM (gestion de la relation clients) non déclarés ;• dispositifs de destruction de documents (shredder) non-effectifs (Courant 2009, lors d’un contrôle surplace, les agents de la CNIL ont tenu à « recadrer » un dispositif de ce type, pas assez sécurisé à leurgoût au sein d’un acteur du monde de la santé).Nous avons fait l’objet d’un contrôle sur place il y a déjà plusieurs mois et aucune suite n’a été donnée.Cela signifie-t-il que la procédure est terminée ?En aucune façon. Lors des auditions menées par l’AFCDP, plusieurs entités nous ont indiqué avoir reçu unelettre de la CNIL plus d’un an après la visite. Dans le cas de clôture, apparemment rien n’oblige la Commission àtenir informée l’entité contrôlé des suites données : celle-ci se retrouve ainsi dans une situation bieninconfortable. Tant qu’un courrier de la CNIL n’est pas parvenu, le CIL ne peut assurer à son Responsable detraitement que l’incident est définitivement clos. Le Correspondant a donc intérêt, passé un délai raisonnable, deprendre attache avec la Commission.Page 64 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net
Par contre, dans le cas où la plainte a été déclenchée par une plainte, le plaignant est informé des suites données :« Vous avez déposé une plainte il y a plus de deux mois, et vous souhaitez être informé des suites données par laCNIL. Vous pouvez nous contacter par téléphone (01 53 73 22 22) en rappelant le numéro de votre dossier quifigure sur l’accusé de réception qui vous a été adressé » (site Web de la CNIL).Le CIL est-il en copie du courrier adressé par la CNIL au Responsable de traitement suite au contrôle ?Par le passé ça n’a pas toujours été le cas. Le Service des Correspondants Informatique et Libertés de la CNIL yremédie mais il est conseillé aux CIL de demander à leur Responsable de traitements de les informersystématiquement des courriers qu’ils reçoivent de la Commission.La CNIL peut-elle procéder à un nouveau contrôle pour vérifier que ses « recommandations » suite à unpremier contrôle ont bien été appliquées ?Oui. La formation contentieuse de la CNIL a condamné en juillet 2009 deux études pour avoir enregistré desinformations excessives dans leur fichier de débiteurs. A la suite d'un premier contrôle, il est apparu que deuxSCP d'huissiers de Montpellier partageaient les mêmes locaux et aussi le même fichier de débiteurs. Ce fichiercomprenait des commentaires qui n’auraient pas dû s’y trouver. Mis en demeure, les deux organismes s'étaientengagés en mars 2007 à effacer les termes illicites de leur fichier. Toutefois, un second contrôle, réalisé en 2009,a permis de constater que le fichier contenait toujours des renseignements excessifs concernant l'état de santé etles infractions commises par les débiteurs. Compte tenu de la réitération des manquements et du non-respect desengagements pris en 2007, la Commission a prononcé le 9 juillet 2009 une sanction pécuniaire de 10 000 euros àl'encontre de chacune des études. Au-delà des faits constatés, cette affaire illustre ainsi la vigilance de la CNILdans le cadre de ses pouvoirs de contrôle a posteriori. Elle rappelle aussi sa faculté de réaliser de nouveauxcontrôles et, le cas échéant, de sanctionner les manquements persistants. Si un organisme mis en demeure peutéchapper à une sanction, c'est à la condition que les modifications qu'il s'est engagé à effectuer soient réelles etconcrètes. (source : « Des huissiers persistent, la CNIL sanctionne ! » Site Web de la CNIL le 22 février 2010).On peut également citer la société de prêt-à-porter qui a fait l’objet le 16 avril 2009 d’une sanction pécuniaired’un montant de 10 000 euros et qui avait fait l’objet de plusieurs contrôles sur place.Sur quels critères la CNIL décide de rendre publique ses sanctions ?Comme la Loi le lui permet, la Commission rend publique les sanctions qu’elle inflige en cas de mauvaise foi.Une fois au moins, cependant, c’est l’entité sanctionnée qui a provoqué cette publication 66 !Notons que l’article 10 de la proposition de loi desSénateurs Yves Détraigne et Anne-Marie Escoffier 67 vise àrendre publique les séances de la commission restreinte dela CNIL « afin de tirer les conséquences d'une ordonnancedu Conseil d'État du 19 février 2008 qui reconnaît soncaractère juridictionnel ».Figure 19 : Page du site Web de la CNIL listant lessanctions.Vaut-il mieux être contrôlé par la CNIL ou saisi devantun juge ?Des auditions menées par le groupe de réflexion AFCDP –notamment d’organismes ayant vécu ces deux expériences –il apparaît que la procédure CNIL laisse plus de place pourla discussion et le contradictoire.66 « Dans la mesure où le responsable de Palmares.com met en cause cette décision sur son site, la CNIL a décidé, à titre exceptionnel, derendre publique cette mise en demeure ».http://www.cnil.fr/la-cnil/actu-cnil/article/article/2/la-cnil-ninterdit-rien-mais-veille-au-respect-de-la-loi/67 http://www.senat.fr/leg/ppl09-093.htmlPage 65 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net
Page 6 and 7:
1. Le contrôle sur place : une ré
Page 8 and 9:
questionnaire comprenant des questi
Page 10 and 11:
Article 62Lorsque la commission eff
Page 12 and 13:
protection de la vie privée de l'u
Page 14 and 15: Auto saisineLa Commission se saisit
Page 16 and 17: Plaintes émanant de salariés, Com
Page 18 and 19: Sur base du programme annuel de con
Page 20: • Les conditions de conservation
Page 23 and 24: Les sessions de la formation restre
Page 25 and 26: Figure 9 : Nombre decontrôles sur
Page 27 and 28: C’est en 2007 que, pour la premi
Page 29 and 30: l’opérateur Telefonica venait de
Page 31 and 32: Ebranlée par les scandales, l’Al
Page 33 and 34: On voit donc que le Responsable de
Page 35 and 36: lors des contrôles effectués, a
Page 37 and 38: Le 23 mars 2010 la « petite loi »
Page 39 and 40: Depuis la décision du Conseil d’
Page 41 and 42: Ceux des agents qui peuvent être a
Page 43 and 44: 7.1. Les textes de référenceNous
Page 45 and 46: Personnels d’accueil : Chargé de
Page 47 and 48: Il convient de fournir la significa
Page 49 and 50: sensibilité, non seulement continu
Page 51 and 52: santé, et qui est mis en œuvre pa
Page 53 and 54: égulièrement notifiés ». La soc
Page 55 and 56: Ils peuvent prendre connaissance du
Page 57 and 58: La « petite loi » votée le 23 ma
Page 59 and 60: • opposition à l’exercice des
Page 61 and 62: Les commissaires de la CNIL peuvent
Page 63: L’agent de contrôle peut-il ques
Page 67 and 68: • Les contrôleurs sont tenus au
Page 69 and 70: Article 11-2°-c prévoyant que la
Page 71 and 72: La CNIL estime de ce fait que les c
Page 73 and 74: destinataires exacts des données,
Page 75 and 76: 18.7. Collecte de données personne
Page 77 and 78: Le droit d’accès s’exerce dés
Page 79 and 80: les différentes mesures prises pou
Page 81 and 82: importants ayant eux-mêmes engendr
show all

a un eventuel controle sur place de la cnil - L'Afcdp

Create successful ePaper yourself

Delete template?

Save as template?