a un eventuel controle sur place de la cnil - L'Afcdp

More documents

Recommendations

Info

fonctionnalités précises de l’application, les destinataires exacts des données, les mesures de sécurité assurant laconfidentialité des données et la durée de conservation des données).Au regard des faits précités, la Commission a, par délibération adoptée le 10 mai 2006, mis en demeure lasociété Tyco, sous dix jours, de répondre aux questions posées par la CNIL dans ses courriers (courriers des 21février, 19 septembre 2005, 21 mars 2006) ou de lui indiquer que le traitement précité avait été abandonné. Enréponse à cette mise en demeure, la société Tyco Healthcare France a indiqué, par courrier du 1er juin 2006, que« Le groupe Tyco au niveau international devait scinder les 4 secteurs d’activités qui le constituent actuellementen entités indépendantes. Cette scission doit intervenir d’ici la fin de l’année calendaire. Par conséquent lesprocédures et les demandes d’information qui avaient été mises en place sont dans les circonstances actuellessuspendues ».La CNIL ne s’estimant pas suffisamment informée par cette réponse sur le sort exact ayant été finalementréservé au traitement objet de la mise en demeure a fait procéder à une mission de contrôle sur place le 12juillet 2006 dans les locaux de la société Tyco Healthcare France. À cette occasion, les services de la CNILont constaté que le traitement objet de la mise en demeure, contrairement à ce qui avait été affirmé, était bienutilisé par la société Tyco Healthcare France.Au regard des documents communiqués (« International Database Project Update, Data Auditing and NextSteps, June 2006 » et « Guide de l’administrateur, Administration et traitement des données pour la base dedonnées internationales »), le traitement précité apparaît comme un outil de gestion essentiel, au plan mondial,de la politique salariale du groupe Tyco dont les finalités dépassent largement la finalité de « reporting » viséedans la déclaration du 22 septembre 2004 (« la finalité de cette base de données est purement celle d’un «reporting » vis à vis de notre hiérarchie européenne en ressources humaines »). Lors de la mission de contrôlesur place, il a également été constaté que de strictes et récentes procédures étaient mises en œuvre pour que lasociété Tyco Healthcare France alimente de façon régulière la base de données avec les informations concernantles salariés français.Un document interne datant de juin 2006 communiqué aux services de la CNIL lors de la mission de contrôle du12 juillet 2006 indiquait pourtant, concernant le traitement précité, que celui-ci sert à la gestion des stockoptions,la formation professionnelle, le niveau des rémunérations, la communication professionnelle, etc. LaCommission ne s’estimait donc pas informée sur le descriptif précis des finalités recherchées par le traitementdéclaré le 22 septembre 2004 par la société Tyco Healthcare France comme cela était pourtant demandé dans lamise en demeure du 10 mai 2006.S’agissant ensuite des cas précis dans lesquels des données à caractère personnel sont envoyées en Grande-Bretagne et aux Etats-Unis, le courrier du 4 avril 2006 se limitait à indiquer que « ces données peuvent êtretransmises du Royaume-Uni aux Etats-Unis si notre hiérarchie juge opportun de le faire ». Si le contrôle du 12juillet 2006 a permis d’établir une communication d’informations concernant le traitement objet de la mise endemeure entre la société Tyco Healthcare France et les locaux du groupe Tyco en Angleterre et aux Etats-Unis, iln’a pas été possible d’obtenir des informations précises sur les motifs liés à cet envoi d’informations. LaCommission ne s’estimait pas correctement informée des cas précis où des données à caractère personnel sontenvoyées dans les locaux du groupe Tyco en Grande-Bretagne et aux Etats-Unis comme cela était pourtantdemandé dans la mise en demeure du 10 mai 2006.S’agissant encore des lieux exacts d’implantation des serveurs et des systèmes, seul un schéma technique aété communiqué aux services de la Commission (« Schéma de fonctionnement informatique Tyco HealthcareFrance ») mais les adresses exactes des centres informatiques n’ont pas été communiquées à ce jour.S’agissant des questions posées concernant les destinataires exacts des données et la durée de conservationdes données, la Commission ne dispose à ce jour d’aucune réponse précise.S’agissant enfin des mesures de sécurité assurant la confidentialité des données, si la mission de contrôle du12 juillet 2006 a permis d’établir que l’accès aux ordinateurs de la société Tyco Healthcare France est sécurisépar mot de passe, la Commission ne dispose à ce jour d’aucune information technique précise sur les conditionsde sécurité liées à la conservation des données en Angleterre et aux Etats-Unis. Dès lors, la Commission nes’estime toujours pas correctement informée sur les lieux exacts d’implantation des serveurs et des systèmes, lesPage 72 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net
destinataires exacts des données, la durée de conservation des données et les mesures de sécurité assurant laconfidentialité des données comme cela était pourtant demandé dans la mise en demeure du 10 mai 2006.Au final, les services de la CNIL ont constaté lors du contrôle sur place que non seulement la mise en œuvre dufichier n’était pas suspendue, mais que celui-ci était très régulièrement utilisé et mis à jour, en dépit desnombreuses incertitudes juridiques relevées par la CNIL (finalités du fichier, transmission du fichier sur le planinternational et mesure de sécurité notamment).Les sanctionsLa Commission observe à cet égard que la société Tyco Healthcare France n’a manifestement pas pris la mesurede la gravité des manquements qui lui sont reprochés concernant son manque de coopération (pouvantconstituer une infraction pénale d’entrave) et de transparence. Par ailleurs, la Commission enjoint la sociétéTyco Healthcare France de répondre, sous dix jour à compter de la notification de la présente délibération, àl’ensemble des demandes formulées par la CNIL dans sa mise en demeure du 10 mai 2006.La CNIL, en application des dispositions des articles 45 et suivants de la loi du 6 janvier 1978 modifiée le 6 août2004• a prononcé une sanction pécuniaire de 30.000 euros à l’encontre de cette société,• a décidé la suspension de la mise en œuvre de ce fichier,• a décidé de rendre publique sa décision.Les faits18.5. Du bon usage des données bancaires collectées par leshôtelsA la suite d’un contrôle au sein d’un hôtel, la CNIL a rappelé en mai 2007 les règles encadrant le traitement desdonnées bancaires des clients. Ces données doivent faire l’objet de mesures de sécurité particulières et leurconservation doit être limitée dans le temps. Ces rappels concernent aussi un grand nombre de professionnelsdisposant de fichiers clients.Le contrôle sur place de la CNIL avait pour objet de vérifier le respect par un hôtel de ses obligations en matièrede gestion de ses fichiers « clientèle ».Les manquements relevésParmi les manquements relevés, il a été constaté : l’absence d’une politique d’effacement des données collectées(certaines données étaient conservées depuis près de quinze ans), des mesures de sécurité insuffisantes au regardde la nature des données enregistrées (numéros de carte bancaire notamment) et un défaut d’information desclients sur les conditions de traitement de leurs données et des droits qui leur sont reconnus par la loi (droitd’accès par exemple).La Commission a insisté sur la nécessité d’effacer les données bancaires une fois la transaction réalisée, c’est-àdireaprès le paiement effectif. Cette exigence est destinée à limiter les cas d’utilisation frauduleuse de numérosde cartes bancaires. Seul le consentement exprès du client, préalablement informé de l’objectif poursuivi(faciliter le paiement par les clients réguliers de l’hôtel) peut justifier que les données soient conservées pluslongtemps.En outre, toutes les mesures garantissant la sécurité et la confidentialité des informations doivent être prises : àsavoir, protéger par des mots de passe l’accès aux fichiers « clientèle » et aux logiciels, chiffrer les donnéesbancaires stockées et sécuriser les accès et les liaisons aux sites de gestion de réservations en ligne (login, motsde passe, protocole sécurisé).Enfin, la CNIL a précisé que les clients doivent être informés par des formulaires de réservation en ligne, par lesfactures ou par voie d’affichage, de l’identité du responsable des traitements, de leurs finalités, des destinatairesPage 73 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net
Page 6 and 7:
1. Le contrôle sur place : une ré
Page 8 and 9:
questionnaire comprenant des questi
Page 10 and 11:
Article 62Lorsque la commission eff
Page 12 and 13:
protection de la vie privée de l'u
Page 14 and 15:
Auto saisineLa Commission se saisit
Page 16 and 17:
Plaintes émanant de salariés, Com
Page 18 and 19:
Sur base du programme annuel de con
Page 20:
• Les conditions de conservation
Page 23 and 24: Les sessions de la formation restre
Page 25 and 26: Figure 9 : Nombre decontrôles sur
Page 27 and 28: C’est en 2007 que, pour la premi
Page 29 and 30: l’opérateur Telefonica venait de
Page 31 and 32: Ebranlée par les scandales, l’Al
Page 33 and 34: On voit donc que le Responsable de
Page 35 and 36: lors des contrôles effectués, a
Page 37 and 38: Le 23 mars 2010 la « petite loi »
Page 39 and 40: Depuis la décision du Conseil d’
Page 41 and 42: Ceux des agents qui peuvent être a
Page 43 and 44: 7.1. Les textes de référenceNous
Page 45 and 46: Personnels d’accueil : Chargé de
Page 47 and 48: Il convient de fournir la significa
Page 49 and 50: sensibilité, non seulement continu
Page 51 and 52: santé, et qui est mis en œuvre pa
Page 53 and 54: égulièrement notifiés ». La soc
Page 55 and 56: Ils peuvent prendre connaissance du
Page 57 and 58: La « petite loi » votée le 23 ma
Page 59 and 60: • opposition à l’exercice des
Page 61 and 62: Les commissaires de la CNIL peuvent
Page 63 and 64: L’agent de contrôle peut-il ques
Page 65 and 66: Par contre, dans le cas où la plai
Page 67 and 68: • Les contrôleurs sont tenus au
Page 69 and 70: Article 11-2°-c prévoyant que la
Page 71: La CNIL estime de ce fait que les c
Page 75 and 76: 18.7. Collecte de données personne
Page 77 and 78: Le droit d’accès s’exerce dés
Page 79 and 80: les différentes mesures prises pou
Page 81 and 82: importants ayant eux-mêmes engendr
show all

a un eventuel controle sur place de la cnil - L'Afcdp

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?