a un eventuel controle sur place de la cnil - L'Afcdp

More documents

Recommendations

Info

La CNIL a été saisie d'une plainte d'une personne ayant confié son véhicule au centre automobile, dont l'un desvendeurs l'a avertie qu'elle était l'objet de commentaires inscrits sur sa fiche client.Une délégation de la CNIL a procédé à une mission de vérification sur place le 16 janvier 2008.Les manquements relevésLa délégation de la CNIL a tout d'abord constaté que la société est équipée d'un dispositif de vidéosurveillance,composé de 47 caméras, qui filme la réserve, les lignes de caisse et le parking. Une autorisation préfectorale aété délivrée. Cependant, le système de vidéosurveillance enregistrant et conservant, dans un traitementautomatisé, des images prises dans des lieux non ouverts au public n'a pas été déclaré auprès de la CNILpréalablement à sa mise en œuvre. En outre, le public n'est pas informé.La délégation de la CNIL a ensuite constaté que le centre automobile de la société utilise un logiciel pour lagestion des ordres de devis, des ordres de réparation et des factures. Des commentaires sont enregistrés dans lechamp « remarque » de cette base de données afin de constituer au sein du centre automobile une liste desclients indésirables, dont fait partie le plaignant.Les commentaires suivants ont ainsi pu être identifiés : « Attention le monsieur est policier », « Attention client àproblème mari avocat maître chanteur voir monsieur R. avant intervention », « Attention ne rien vendre à ceclient suite problème montage jante date juillet 2007 », « Attention ne plus intervenir sur le véhicule client demauvaise foi problème crédit », « Attention faire signer l'ordre de réparation avant chaque intervention cliente aproblème».Aucune information n'est délivrée aux clients concernés par ce traitement de données à caractère personnel etaucune durée de conservation n'a été définie. Une déclaration simplifiée avait bien été déposée, mais cetraitement aurait dû faire l'objet d'une autorisation de la CNIL préalablement à sa mise en œuvre dans la mesureoù la liste des clients est susceptible d'exclure une personne du bénéfice d'une prestation ou d'un contrat.Les agents de la CNIL ont relevé par ailleurs que la société dispose d'un fichier des clients interpellés en cas deflagrant délit de vol. Sont consignés dans ce traitement manuel, l'identité civile, les date et lieu de naissance,l'adresse des personnes concernées, le jour et l'heure des interpellations, ainsi que les numéros des piècesd'identité. Aucune formalité préalable n'a été effectuée auprès de la CNIL concernant ce fichier. La durée deconservation des informations recueillies n'a pas été définie, et les personnes concernées ne bénéficient d'aucuneinformation.Enfin, la délégation a constaté que le logiciel permettant de gérer le temps de travail des salariés était mis enœuvre sans que les formalités nécessaires de déclaration auprès de la CNIL n'aient été accomplies.Les mesures prisesPar délibération du 6 mars 2008, la CNIL a mis en demeure la société la société, sous un délai d'un mois, deprocéder à l'accomplissement des formalités préalables pour l'ensemble des traitements automatisés de données àcaractère personnel mis en œuvre, de déposer auprès de ses services une demande d'autorisation d'un fichier declients au sein duquel la société enregistre des commentaires concernant des personnes pour qui elle ne souhaiteplus effectuer de réparations automobiles, de procéder à la suppression de l'ensemble des commentairessusceptibles de ne pas être conformes la loi du 6 janvier 1978 modifiée, de lui communiquer l'intégralité desmesures prises pour respecter les dispositions de l'article 32 de la loi du 6 janvier 1978 (droit à l'information), dedéfinir une durée de conservation proportionnée à la finalité de ses fichiers et de justifier auprès de la CNIL quel'ensemble des demandes précitées a bien été respecté.La société n'a adressé aucune correspondance à la CNIL relative à cette mise en demeure mais a adressé à laCommission un formulaire de désignation d'un correspondant informatique et libertés.Une proposition de sanction pécuniaire a été notifiée par huissier à la société le 2 juin 2008, à laquelle était jointela convocation à l'audience du 3 juillet 2008. Lors de cette audience la société a présenté à la formation restreintePage 78 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net
les différentes mesures prises pour se conformer aux demandes formulées par la Commission dans sa mise endemeure.Les sanctionsS'agissant du fichier des personnes interpellées en flagrant délit, relevant de l'article 25 de la loi précitée(autorisation de la CNIL), la société a indiqué à la Commission avoir procédé à sa suppression.S'agissant du traitement qui comportait une liste d'exclusion la société a précisé avoir supprimé les commentairesexcessifs qui excluaient certains clients de toute prestation. Le rapporteur a considéré cependant qu'il revenait àla société de définir des critères objectifs permettant au centre automobile de signaler des incidents intervenussur des réparations automobiles antérieures sans enregistrer de qualificatifs sur les clients concernés, afin d'évitertoute discrimination ou propos excessif au regard de la finalité du traitement de gestion des ordres de réparation,des ordres de devis et des factures. Il a relevé qu'en l'absence de toute réponse de la société, cette dernièren'avait pas respecté la mise en demeure sur ce point.Sur le manquement à l'obligation d'information des personnes, la Commission constate qu'aucune mesured'information n'a été prise, vis-à-vis du personnel, concernant la vidéosurveillance dans les espaces non ouvertsau public (les réserves, en l'espèce), ce qui a été admis lors de l'audience par la société. Elle rappelle que sademande portait, dans la mise en demeure, sur « l'intégralité des mesures prises au sein de la société visant àrespecter les dispositions de l'article 32 … ». Or, elle constate que pour tous les autres traitements, dont la liste aété fournie dans ses observations écrites du 6 juin 2008, aucune précision n'est apportée sur les mesuresd'information mises en œuvre. La société pouvait aisément joindre copies des documents, des notes internes oumentions types qui auraient pu être réalisées, en particulier pour les traitements de ressources humaines, decontrôles des connexions à internet, de gestion des clients, etc. La Commission constate, par conséquent, que lasociété ne se conforme pas à la mise en demeure sur ce point. Ce manquement est d'autant plus grave que lasociété emploie près de 500 personnes et qu'elle gère des milliers de clients (l'extraction du fichier client fournipar la société comportait 114 501 noms).Sur la durée de conservation des données, le rapporteur a constaté que la société n'avait pris aucune mesure pourdéfinir une durée de conservation pour l'ensemble des données à caractère personnel traitées dans le fichier declients pour la gestion des ordres de réparation, de devis et des factures et dans le fichier manuel des personnesinterpellées en cas de flagrant délit de vol, en l'absence de réponse à la mise en demeure. Il a considéré que lasociété ne s'était pas conformée sur ce point.Pour le suivi de ses clients la société a décidé de fixer une durée de conservation des données de quatre annéespour les clients « inactifs » puis un archivage de six ans. La société a indiqué, lors de l'audience, que la durée dequatre ans était justifiée par les dispositions en vigueur en matière de contrôle technique et qu'elle souhaitaitconserver les données des clients sur une durée de dix ans, archivage compris, car cela correspondait à la duréelégale de conservation des factures et correspondances commerciales. La Commission considère, cependant, quela durée de conservation des données de quatre années paraît excessive, sachant que les données relatives auxclients doivent être supprimées, nonobstant une possibilité d'archivage à des fins comptables, immédiatementune fois la prestation réalisée sauf si parmi les finalités du traitement il y a une finalité de prospectioncommerciale (relance, propositions de tarifs…), ce qui n'a pas été précisé par la société. De surcroît, la société nedéfinit pas ce qu'est un client « inactif ». Ce statut étant certainement acquis après une période – non définie – oùle client n'aura pas eu recours aux services de la société pour une réparation ou un contrôle technique sur unvéhicule, la durée de conservation réelle sera bien supérieure aux quatre ans. La Commission observe que lecontrôle technique des véhicules doit avoir lieu tous les deux ans. La Commission souligne que si l'article L.123-22 alinéa 2 du code de commerce prévoit effectivement une conservation des documents comptablespendant dix ans, cette prescription peut être satisfaite par un archivage informatique des données sur un supportdistinct qui sera, en outre, de nature à en assurer la pérennité. La durée de conservation des données actives seraainsi réduite. La Commission ne retient pas, en l'état, de manquement à la mise en demeure sur ce point.Sur le manquement à l'obligation de répondre aux demandes de la CNIL, la Commission considère que l’absencede réponse à la mise en demeure du 6 mars 2008 met en évidence une absence de procédure de traitement desdemandes de la CNIL, d'autant plus grave compte tenu de la taille de la société et du nombre de personnesphysiques concernées (employés et clients).Page 79 sur 82AFCDP, Association Française des Correspondants à la protection des Données à caractère Personnelwww.afcdp.net
Page 6 and 7:
1. Le contrôle sur place : une ré
Page 8 and 9:
questionnaire comprenant des questi
Page 10 and 11:
Article 62Lorsque la commission eff
Page 12 and 13:
protection de la vie privée de l'u
Page 14 and 15:
Auto saisineLa Commission se saisit
Page 16 and 17:
Plaintes émanant de salariés, Com
Page 18 and 19:
Sur base du programme annuel de con
Page 20:
• Les conditions de conservation
Page 23 and 24:
Les sessions de la formation restre
Page 25 and 26:
Figure 9 : Nombre decontrôles sur
Page 27 and 28: C’est en 2007 que, pour la premi
Page 29 and 30: l’opérateur Telefonica venait de
Page 31 and 32: Ebranlée par les scandales, l’Al
Page 33 and 34: On voit donc que le Responsable de
Page 35 and 36: lors des contrôles effectués, a
Page 37 and 38: Le 23 mars 2010 la « petite loi »
Page 39 and 40: Depuis la décision du Conseil d’
Page 41 and 42: Ceux des agents qui peuvent être a
Page 43 and 44: 7.1. Les textes de référenceNous
Page 45 and 46: Personnels d’accueil : Chargé de
Page 47 and 48: Il convient de fournir la significa
Page 49 and 50: sensibilité, non seulement continu
Page 51 and 52: santé, et qui est mis en œuvre pa
Page 53 and 54: égulièrement notifiés ». La soc
Page 55 and 56: Ils peuvent prendre connaissance du
Page 57 and 58: La « petite loi » votée le 23 ma
Page 59 and 60: • opposition à l’exercice des
Page 61 and 62: Les commissaires de la CNIL peuvent
Page 63 and 64: L’agent de contrôle peut-il ques
Page 65 and 66: Par contre, dans le cas où la plai
Page 67 and 68: • Les contrôleurs sont tenus au
Page 69 and 70: Article 11-2°-c prévoyant que la
Page 71 and 72: La CNIL estime de ce fait que les c
Page 73 and 74: destinataires exacts des données,
Page 75 and 76: 18.7. Collecte de données personne
Page 77: Le droit d’accès s’exerce dés
Page 81 and 82: importants ayant eux-mêmes engendr
show all

a un eventuel controle sur place de la cnil - L'Afcdp

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?