Contrôles et sanctions Cnil, du nouveau…

La Cnil, contrôles et sanctions, des procédures encadrées.

1.    La CNIL,  son organisation

Autorité administrative indépendante, elle exerce ses missions conformément à  la loi Informatique et Libertés

Composée de 17 membres : hauts magistrats, parlementaires, conseillers économique et sociaux, personnalités qualifiées

Un Président élu par ses pairs

Budget : 15 Millions € et 150 personnes

La Commission Nationale de l’Informatique et des Libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

2.    La Cnil, ses missions

Mission essentielle : Protéger la vie privée et les libertés dans un monde interconnecté en veillant au  respect des lois encadrant les traitements de données à caractère personnel.

La CNIL plaide pour l’inscription de la protection des données dans la constitution, au titre des droits fondamentaux des citoyens.

Les missions détaillées :

  1. Faire connaître la loi et faciliter son application, www.cnil.fr, lettre infocnil, guide pratique « marketing direct », rencontres régionales d’information …
  2. Elaborer de nouvelles normes en concertation avec les professionnels (groupe de travail sur les transferts de données, révision de la loi, rédaction de norme…)
  3. Préconiser l’adoption de codes de déontologie
  4. Développer, encourager la désignation de CILs dans les entreprises
  5. Tenue du « fichier des fichiers »
  6. Appliquer toute la palette des moyens d’actions donnés par la loi : contrôles et sanctions. La CNIL dispose d’un pouvoir de sanctions financières et pénales

Perspectives et travaux en cours :

      1. Interprétation de la  transposition « du paquet telecom », c’est-à-dire principalement la réglementation autour des cookies
      2. Multiplication des initiatives liées plus ou moins directement à la révision de la directive 95-46 sur la protection des données et la proposition de réforme – projets de nouveaux règlement et directive  en cours au niveau européen
      3.  Recherche de standards internationaux
      4. Création d’un Label Cnil
      5. Focus et guides sur le cloud, la sécurité,…

3.     Ce qui change en 2012

Le décret du 29 décembre 2011 précise les conditions d’application de la loi du 29 mars 2011 encadrant les procédures de contrôle de La Cnil et permettant d’en assurer l’application.

Ce nouveau décret relatif aux pouvoirs de contrôle et de sanction de la CNIL, modifie  le décret du 20 octobre 2005.

En effet, si la Cnil disposait de moyens d’actions visant à faire respecter les obligations de la loi Informatique et Libertés, ses pouvoirs de sanctions étaient souvent remis en cause par le Conseil d’Etat au regard du droit au respect du domicile et de la vie privée.

Les règles encadrant les procédures ont été révisées, elles se concrétisent par ce nouveau décret.

1 – Les contrôles sur place

Modalités d’’information du responsable des lieux ou de son représentant, de la visite des agents de la CNIL à des fins de contrôle.

  • L’information de cette visite doit intervenir au plus tard au moment de l’arrivée sur place des agents.
  • Le responsable des lieux doit être informé de son droit d’opposition.
    • Les motifs de son opposition seront alors portés au procès verbal dressé par les agents de la Cnil.
    • Si opposition, la visite ne pourra être effectuée qu’après l’autorisation du juge des libertés et de la détention qui dispose de 48h pour accepter ou refuser la demande d’autorisation transmise par la CNIL.
    • Le décret définit ce que doit contenir l’acte de notification (mention et délais des voies de recours et possibilité de demandé la suspension ou l’arrêt de la visite) de l’ordonnance rendue par le juge.
    • Cette ordonnance est susceptible de recours devant le premier Président de la Cour d’appel.

Enfin, le juge des libertés et de la détention peut, s’il l’estime utile, se rendre sur place à l’occasion de la visite, et décider à tout moment de sa suspension ou de son arrêt.

2 – Les procédures de sanctions

Le nouveau décret précise également la procédure applicable devant une formation restreinte de la CNIL (Formation contentieuse composée du président et de cinq autres membres élus par la commission en son sein) et indique le déroulement des séances.

En cas de manquements aux obligations  vis-à-vis de la protection de la vie privée, c’est le Président de la Cnil qui adresse les mises en demeure au responsable de traitement (précédemment,  elles l’étaient par la formation restreinte).

Les délais dans lesquels le responsable de traitement est tenu de se mettre en conformité avec la loi seront précisés avec la mise en demeure (délai renouvelable une fois en cas de complexité particulière).

4.    Comment gérer un contrôle de la Cnil

Préparer un contrôle éventuel de la Cnil en précisant à l’ensemble des personnels concernés, quelle procédure appliquer. Ce moment est très important.

Au moment du contrôle :

Vérifier la conformité de l’information de la visite de la CNIL au décret et notamment que cette information mentionne effectivement vos droits d’opposition et les voies de recours

Prendre le temps d’organiser avec les agents de la Cnil, leur visite

Vérifier la définition d’un périmètre du contrôle et veiller à son respect.

A la fin du contrôle :

Faire une relecture très attentive du procès verbal

Se faire préciser l’ensemble des process contrôlés

Se faire préciser les observations et éventuels manquements constatés

Faire inscrire toute observation et réserve utile

Après le contrôle :

Prévoir un audit complet des process et mettre en œuvre des corrections logiques et physiques nécessaires à la mise en conformité à la règlementation informatique et libertés.

Dès réception de la mise en demeure de la Cnil, procéder sans tarder à la mise en conformité des  éléments identifiés comme non conformes .

5.    En conclusion 

La Cnil se positionne sur la protection de la vie privée.

Ainsi, tout manquement

  • aux obligations de formalités préalables à tout traitement de données à caractère personnel avec mise à jour régulière de ces formalités au fil des années,
  • respect du droit des personnes c’est-à-dire droit d’information, transparence, loyauté, droit d’accès, droit de modification, de suppression, droit d’opposition,
  •  dérive sur les durées de conservation,
  • dérive sur la sécurité des données (adressées en pièce jointe excel non cryptées par exemple), stockées puis oubliées sur poste de travail local, transférées vers des destinaires ou destinations non conformes ou incertaines
  • …/…

sont les caractéristiques classiques des principales motivations de sanctions.

Pour anticiper, des moyens  sont à votre disposition :

  • Codes de déontologie des principales organisations professionnelles
  • Correspondant informatique et Libertés,
  • Guides produits par la Cnil
  • Formations
  • Audit Informatique et Libertés
Ce contenu a été publié dans expertise, avec comme mot(s)-clé(s) , , , , , , , , , . Vous pouvez le mettre en favoris avec ce permalien.