a un eventuel controle sur place de la cnil - L'Afcdp

More documents

Recommendations

Info

Dans ce contexte, la CNIL s’engage, vis-à-vis de ses interlocuteurs, dans une démarche cohérente où la mise enœuvre d’une procédure de sanction n’est que l’aboutissement d’un long processus, lorsque les étapes préalablesdu conseil et du contrôle se sont avérées insuffisantes à engager par exemple une entreprise dans une démarchede mise en conformité.Le conseil, la recommandation et la persuasion sont préférables à l’injonction et à la contrainte. C’est donc lebon sens et l’intérêt stratégique qui justifient tout d’abord la mise en œuvre d’un partenariat entre la CNIL et lesresponsables de traitement. Pour autant, il faut clairement reconnaître que les nouveaux pouvoirs dont disposeaujourd’hui la CNIL modifient le regard que portent les responsables de traitement sur la réglementation. Eneffet, il est indéniable que le risque d’image et le risque juridique liés à l’exploitation de données personnellessont plus importants qu’ils ne l’étaient hier ».18.3. Du danger des zones de libre commentaireDélibération n°2006-173, en date du 28 juin 2006Type de la décision : Sanction pécuniaireLes faitsUn particulier reçoit courant 2005 une injonction de payer de la part d’une étude d’huissier avec l’indication« méchant imbécile » saisie à côté de son identité.Les démarches de la CNILLa CNIL a effectué un contrôle sur place afin de consulter les commentaires saisis dans la zone de bloc-notes.Après avoir demandé une extraction sur support papier, elle a constaté la présence de nombreux commentairesfaisant notamment apparaître des références relatives à l’état de santé des personnes, à leurs traits de caractère,ou à l’existence de mesures d’ordre pénal. Or ces commentaires sont dénués de toute objectivité et de pertinenceau regard du traitement mis en œuvre.La CNIL a également découvert dans la version informatisée du fichier la présence de commentairessupplémentaires, qui ne figuraient pas dans le fichier papier.Elle a enfin constaté que ce traitement n’avait pas été déclaré auprès de ses services.Les échanges avec la CNILLa CNIL a mis cette étude en demeure de procéder dans un délai de 10 jours à la suppression des mentionssusceptibles de ne pas être conformes à la Loi Informatique et Libertés.L’étude a assuré avoir épuré les zones de commentaires des observations visées par la CNIL dans sa demande.Elle a également sensibilisé les utilisateurs sur l’usage des zones de commentaires par voie d’affichage.La CNIL estime que l’étude ne démontre pas que l’ensemble du fichier a été contrôlé, ni que des mesures pourl’avenir ont été adoptées pour éviter de tels manquements. Un simple affichage constitue une mesureinsuffisante, ne constituant pas une démarche corrective significative.La CNIL a également demandé à l’étude de justifier la différence d’inscription entre le fichier informatisé et saversion papier, et de lui garantir qu’elle n’a pas tenté de dissimuler des preuves ou des informations qui auraientdû être communiquées à la délégation de la CNIL.L’étude avait refusé de communiquer le support informatique sur lequel se trouvaient des données relatives à sesclients aux motifs que des informations d’ordre comptable, soumises au secret professionnel, s’y trouvaientégalement. De plus, le prestataire désigné par l’étude et susceptible de réaliser cette opération n’était plusjoignable.Page 70 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net
La CNIL estime de ce fait que les conditions du contrôle ne permettaient pas de démontrer l’absence d’unevolonté de dissimuler des informations à sa délégation, et que le secret professionnel ne pouvait lui être opposéqu’en vertu de dispositions législatives ou réglementaires spéciales qui n’avaient pas été rapportées en l’espèce.La CNIL a mis en demeure l’étude d’huissiers de procéder sous 10 jours à la déclaration de son fichier clients.L’étude a indiqué qu’elle utilisait un logiciel agréé par la Chambre Nationale des Huissiers de Justice, et quel’étude précédente, rachetée vingt ans auparavant, avait fait une déclaration dont la CNIL aurait dû se satisfaire.La CNIL a répondu que l’étude devait procéder à une déclaration, en sa qualité de responsable du traitement, carelle en détermine la finalité et les moyens. La déclaration précédente n’ayant pas été mise à jour, elle ne visaitpas l’actuelle activité de l’étude.Les références de la Loi Informatique et LibertésArticle 6-1° disposant que « les données sont collectées et traitées de manière loyale et licite »Article 6-3° disposant que « [les données] sont adéquates, pertinentes et non excessives au regard des finalitéspour lesquelles elles sont collectées et leurs traitements ultérieurs »Article 8° disposant que « il est interdit de collecter ou de traiter des données à caractère personnel qui fontapparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques,philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à lavie sexuelle de celles-ci »Article 9-2° disposant que « les traitements de données à caractère personnel relatives aux infractions,condamnations et mesures de sûreté ne peuvent être mis en œuvre que par […] les auxiliaires de justice, pour lesstricts besoin de l’exercice des missions qui leur sont confiées par la loi ».Les sanctionsLa CNIL remarque que l’étude d’huissiers ne s’était pas conformée à la mise en demeure lui demandant deprendre toute mesure permettant de procéder à la suppression des mentions litigieuses dans les zones decommentaire, de déclarer son fichier clients, et de démontrer qu’elle n’avait pas dissimulé de preuves oud’informations à destination de la CNIL.Au regard de la gravité des éléments constatés, la CNIL a prononcé une sanction pécuniaire de 5.000 euros.18.4. Fichier de ressources humaines et flux transfrontièresDélibération n°2006-281, en date du 14 décembre 2006Type de la décision : Sanction pécuniaireLes faitsMise en demeure d’apporter des précisions sur l’existence d’un fichier concernant un fichier international degestion des ressources humaines de ses 450 salariés, la société Tyco Healthcare France, spécialisée dans lafabrication de matériel médical, a communiqué à la CNIL des informations erronées, en indiquant avoirsuspendu la mise en œuvre de ce fichier.Les démarches de la CNILCe fichier avait été déclaré par la société Tyco Healthcare France à la Commission en septembre 2004. La CNILa demandé en février 2005 par courrier certains éléments d’information indispensables à l’instruction de cedossier. La société Tyco Healthcare France n’a apporté aucune suite satisfaisante aux demandes de laCommission réitérées par courrier en septembre 2005 et mars 2006. En effet, la réponse adressée par la sociétéTyco Healthcare France le 4 avril 2006 n’a pas permis d’apporter les réponses à l’ensemble des questionsformulées par les services de la CNIL dans le cadre de l’instruction du dossier de déclaration (le descriptif précisdes finalités exactes recherchées, les cas précis dans lesquels des données à caractère personnel sont envoyées enGrande-Bretagne et aux Etats-Unis, les lieux exacts d’implantation des serveurs et des systèmes, lesPage 71 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net
Page 6 and 7:
1. Le contrôle sur place : une ré
Page 8 and 9:
questionnaire comprenant des questi
Page 10 and 11:
Article 62Lorsque la commission eff
Page 12 and 13:
protection de la vie privée de l'u
Page 14 and 15:
Auto saisineLa Commission se saisit
Page 16 and 17:
Plaintes émanant de salariés, Com
Page 18 and 19:
Sur base du programme annuel de con
Page 20: • Les conditions de conservation
Page 23 and 24: Les sessions de la formation restre
Page 25 and 26: Figure 9 : Nombre decontrôles sur
Page 27 and 28: C’est en 2007 que, pour la premi
Page 29 and 30: l’opérateur Telefonica venait de
Page 31 and 32: Ebranlée par les scandales, l’Al
Page 33 and 34: On voit donc que le Responsable de
Page 35 and 36: lors des contrôles effectués, a
Page 37 and 38: Le 23 mars 2010 la « petite loi »
Page 39 and 40: Depuis la décision du Conseil d’
Page 41 and 42: Ceux des agents qui peuvent être a
Page 43 and 44: 7.1. Les textes de référenceNous
Page 45 and 46: Personnels d’accueil : Chargé de
Page 47 and 48: Il convient de fournir la significa
Page 49 and 50: sensibilité, non seulement continu
Page 51 and 52: santé, et qui est mis en œuvre pa
Page 53 and 54: égulièrement notifiés ». La soc
Page 55 and 56: Ils peuvent prendre connaissance du
Page 57 and 58: La « petite loi » votée le 23 ma
Page 59 and 60: • opposition à l’exercice des
Page 61 and 62: Les commissaires de la CNIL peuvent
Page 63 and 64: L’agent de contrôle peut-il ques
Page 65 and 66: Par contre, dans le cas où la plai
Page 67 and 68: • Les contrôleurs sont tenus au
Page 69: Article 11-2°-c prévoyant que la
Page 73 and 74: destinataires exacts des données,
Page 75 and 76: 18.7. Collecte de données personne
Page 77 and 78: Le droit d’accès s’exerce dés
Page 79 and 80: les différentes mesures prises pou
Page 81 and 82: importants ayant eux-mêmes engendr
show all

a un eventuel controle sur place de la cnil - L'Afcdp

Create successful ePaper yourself

Delete template?

Save as template?