Télécharger polycopié + guide cil + les synthèses de points essentiels et les cas pratiques à

préparer. Le cas pratique est à rendre avant le 15 juillet.

Introduction générale.

Apparition du CIL avec la réforme du 6 août 2004.

Rapport Bréban de 1998 rédigé dans le contexte de la transposition de la directive de 1995

indiquait que le CIL était un démembrement de la CNIL pas forcément positif. En réalité le
Cil ne retire aucun pouvoir à la CNIL.

CC 29 juillet 2004 : le CC a validé les dispositions relatives au CIL en considérant que les
règles dans la loi de 2004 étaient suffisante pour garantir son indépendance. N’a pas pour
effet de transférer les compétences de la CNIL.
Les dispositions relatives au CIL se trouvent à l’article 22 LIL et 42 et suivants du décret
d’application de la loi du 20 octobre 2005.

Article 22 III LIL : III. - Les traitements pour lesquels le responsable a désigné un
correspondant à la protection des données à caractère personnel chargé d'assurer, d'une
manière indépendante, le respect des obligations prévues dans la présente loi sont dispensés
des formalités prévues aux articles 23 et 24, sauf lorsqu'un transfert de données à caractère
personnel à destination d'un Etat non membre de la Communauté européenne est envisagé.

La désignation du correspondant est notifiée à la Commission nationale de l'informatique et

des libertés. Elle est portée à la connaissance des instances représentatives du personnel.

Le correspondant est une personne bénéficiant des qualifications requises pour exercer ses
missions. Il tient une liste des traitements effectués immédiatement accessible à toute
personne en faisant la demande et ne peut faire l'objet d'aucune sanction de la part de
l'employeur du fait de l'accomplissement de ses missions. Il peut saisir la Commission
nationale de l'informatique et des libertés des difficultés qu'il rencontre dans l'exercice de ses
missions.

En cas de non-respect des dispositions de la loi, le responsable du traitement est enjoint par la
Commission nationale de l'informatique et des libertés de procéder aux formalités prévues aux
articles 23 et 24. En cas de manquement constaté à ses devoirs, le correspondant est déchargé
de ses fonctions sur demande, ou après consultation, de la Commission nationale de
l'informatique et des libertés.

Cas de désignation pertinente du CIL.

- Clientèle de l’entreprise (Personnes morales / Personnes physiques)

- Volumétrie des fichiers
- Secteur d’activité : commercial, marketing, internet etc.
- Utilisation de données interdites, beaucoup de traitement soumis à autorisation

3 types de CIL :

- CIL interne salarié

1
 - CIL externe prestataire de service : consultants, avocats, experts.

Article 44 décret 2005 : Lorsque plus de cinquante personnes sont chargées de la mise en
oeuvre ou ont directement accès aux traitements ou catégories de traitements automatisés pour
lesquels le responsable entend désigner un correspondant à la protection des données à
caractère personnel, seul peut être désigné un correspondant exclusivement attaché au service
de la personne, de l'autorité publique ou de l'organisme, ou appartenant au service, qui met en
oeuvre ces traitements.

Par dérogation au premier alinéa :

a)Lorsque le responsable des traitements est une société qui contrôle ou qui est contrôlée au
sens de l'article L. 233-3 du code de commerce, le correspondant peut être désigné parmi les
personnes au service de la société qui contrôle, ou de l'une des sociétés contrôlées par cette
dernière ;
b) Lorsque le responsable des traitements est membre d'un groupement d'intérêt économique
au sens du titre V du livre deuxième du code de commerce, le correspondant peut être désigné
parmi les personnes au service dudit groupement ;
c) Lorsque le responsable des traitements fait partie d'un organisme professionnel ou d'un
organisme regroupant des responsables de traitements d'un même secteur d'activités, il peut
désigner un correspondant mandaté à cette fin par cet organisme.

Règle de seuil appelée à disparaitre avec le règlement.

- CIL mutualisé : CIL salarié d’une entité juridique d’un groupe s’occupant de toutes les
entités. Pas de règle de seuil.

Cas pratique 1.

BELGIQUE : BIG DATA ET ALGORITHMES POUR TRAQUER LES CHÔMEURS

FRAUDEURS

Responsable du traitement : ONSS

Finalité : fichier de lutte contre la fraude à l’octroi du chômage.

Moyens : consommation d’énergies (fichiers clients de prestataires d’énergie) / BDD de

l’ONSS (fichier allocataires) = interconnexion des données.

Mise en place du projet est-elle possible ? Les fichiers d’infractions sont interdits pour les
organismes privés. De manière générale fichier d’exclusion et d’interconnexion = mise en
œuvre compliquée. Enjeu sur l’info et consentement des clients edf. La collecte n’est pas
directe. Article 32 impose d’informer sur le destinataire du traitement.

Question du transfert / communication des données par edf à l’administration : licéité du

transfert et confidentialité / sécurité. Il y a une exception en matière de confidentialité et
sécurité qui est les tiers autorisés mais cela repose sur un texte et ce droit de communication
est ponctuel. Donc ici : Y-a-t-il un texte qui autorise l’ONSS à collecter les données et est-ce
proportionnel de respecter tout le fichier client ? Un acteur du service public ne peut mettre en
place un traitement que dans le cadre des missions qui lui sont conférées par la loi.
2
Proportionnalité : pertinence ? Le dispositif n’est pas forcément pertinent car la
consommation ne garantit pas fiablement que la personne est un fraudeur. Il faut des
paramètres de détection de la fraude pertinents.

Formalités : renforcée. Le traitement sera soumis à autorisation et n’étant pas pertinent risque
de ne pas l’obtenir. L’ONSS serait peut-être même soumise plutôt à l’avis.

Consentement : consentement que dans certains cas et pour la fraude la CNIL considère que
c’est incompatible avec la finalité. Même chose pour le droit d’opposition qui ne s’exerce pas
pour bénéficier de l’allocation.

Dispositif de prix différenciés

Finalité : adaptation du prix en fonction du profil du client

Proportionnalité : variation du prix en fonction du revenu, race, temps passé sur wikipedia pas
forcément pertinent.

licéité : Discriminatoire et surtout pratique commerciale déloyale car d’après le code de la

consommation ne peut faire des variations de prix en fonction de certaines variables. Article
120-1 et suivants procédé qui altère de manière substantiel le comportement du
consommateur normalement informé et raisonnablement attentif et avisé. Ici le prix pourrait
être modifié au bon vouloir du commerçant.

Des données sensibles sont collectées donc interdit sauf consentement.

Séance 2 avec Sophie Revol

Allemagne : obligation du CIL au-dessus de 9 salariés. En Italie aucune dispositions. En

France, c’est facultatif. Le règlement veillera à harmoniser la désignation du CIL. Intérêt est
de faciliter les formalités et créer un registre du CIL pour recenser les traitements de données
personnelles.

1. Recensement des traitements

Une des obligations du CIL est la tenue du registre interne. Il faut y indiquer les formalités
déclaratives qui sont dispensées par la CNIL. Diverses formalités à accomplir auprès de la
CNIL.

Certains traitements sont considérés par la CNIL comme peu intrusifs et sont soumis à
formalités allégées : dispenses de déclarations, normes simplifiées. Si on respecte les NS, il
suffit pour le CIL de faire un engagement de conformité. Lorsqu’il n’y a pas de NS, relève de
la déclaration normale.

D’autres traitements (article 25 à 27 LIL) sont soumises à autorisations (fichiers d’infractions,

d’exclusion, transferts en dehors de l’UE, interconnexions, données sensibles) ou à des avis
( traitement liés à la sécurité de l’Etat). Il faudra effectuer la formalité en plus de
l’enregistrement au registre.

3
Méthodologie de recensement.
Il faut identifier les finalités de traitements pour l’inscription au registre.

1ère étape : identification des traitements mis en œuvres :

- demander tout d’abord la liste article 31 de la CNIL des traitements déjà déclarés dans la
passé. Donne une idée des finalités, service indiqué pour le droit d’accès et les catégories de
données. La liste de traitement se fait par RCS pour suivre les déclarations en fonction des
changements des sociétés (fusion, reprise etc) et contient tout l’historique.
- Echanger avec le responsable de traitement, prendre connaissance des documents existants
(bilans de l’ancien CIL).
- Disposer de relais en interne : DSI, direction fonctionnelle pour remonter les infos au CIL
- obtenir un cartographie des outils mis en place dans l’organisation. (Etat des lieux,
recensement des outils informatiques, logiciels, BDD etc).

2eme étape : identifier les modalités de fonctionnement des différents traitements

- identification de chaque traitements (objectifs, origine et sensibilité des données collectées,
estimation du nombre de personnes concernées, transmission des données, transferts hors
UE…)

Exclusions de certains traitements :

- traitements réalisés pour des activités personnelles
- (article 4 LIL) traitements relatifs aux copies temporaires réalisées dans le cadre d’activités
numériques, transmissions ou accès à un réseau numériques
- traitements non automatisés de données sauf si cela est prévu par la LIL (ex : traitement de
données d’infractions sont soumises à autorisation de la CNIL par exemple des gestion de
contraventions pour une société de service automobile, traitement d’exclusions)

Méthodologie de recensement :
- Déterminer si c’est une inscription au registre ou une formalité auprès de la CNIL
- Il faut déterminer pour chaque traitement le bon régime de déclaration car un cas de mauvais
choix cela équivaut à une absence de déclaration. Ex : société condamnée à 5000€ + affichage
public pour société ayant fait une NS48 pour gestion de relation client alors qu’il fallait une
autorisation (fichier d’exclusion) car ne répondait pas à tous les critères. Lorsqu’on fait une
déclaration on reçoit un récépissé mais pas une validation.
- le CIL doit se renseigner auprès des différents services et départements de la mise en œuvre
de traitements et faire en sorte de faire remonter l’info (mise en place de fiche de
recensement)
- le responsable de traitement doit apporter son aide au CIL. L’article 47 du décret de 2005
prévoit qu’il doit apporter au CIL tous les éléments nécessaires.

4
 2. Mise en place du registre des traitements

a) Délai de mise en œuvre : 3 mois sans renouvellement possible (article 48 du décret)

Pour établir le registre il faut d’abord se poser les questions de la check-list LIL.

b) Publicité du registre :

D’après l’article 22 LIL, le registre doit être accessible à toute personne qui en fait la
demande (copie). Le coût ne peut dépasser celui de la copie. Pas recommandé de le mettre à
disposition sur Internet. Aussi le contenu du registre n’est pas un outil de gestion de plan de
travail (identification de non-conformité, projet de traitements ne doivent pas figurer).

c) Paramètre des traitements à intégrer au registre :

- Rationalisation du registre : opérer par grandes finalités de traitement comme les

normes simplifiées comme la norme 48, pour des questions de lisibilité. Possibilité
ensuite d’identifier des sous-finalités.
- Recensement des traitements dispensés de déclaration
- Quid de l’intégration des traitements anciennement déclarés : ce n’est pas un
obligation mais il est possible de rajouter des traitement du même responsable de
traitement figurant sur la liste article 31. Il faut alors indiquer sur le registgre que
d’autres traitement du responsable de traitement issu de la liste 31 figurent sur le
registre. Il peut y avoir une opportunité à laisser des déclarations anciennes qui
n’existent plus (ex : NS40)
- Quid des traitement non dispensés (autorisation)
- Quid du CIL mutualisés (un registre par entité ? oui par responsable de traitement)
- Quid des traitements dispensés (ex : fiche n° 9 guide du CIL). Ex : dispense n°2 en
matière de paye. Faut-il faire une fiche ou juste en engagement de conformité. La
CNIL estime qu’il faut quand même une fiche dans le registre pour les dispenses et les
NS. Mais il est possible d’annexer la norme au registre. En gros, pas besoin
déclaration mais inscription au registre.

d) Contenu du registre.

Dans les trois mois de sa désignation, le correspondant à la protection des données à caractère
personnel dresse la liste mentionnée à l’article 47. La liste précise, pour chacun des
traitements automatisés :
 
1° Les nom et adresse du responsable du traitement et, le cas échéant, de son représentant ;
 
2° La ou les finalités de traitement ;
 
3° Le ou les services chargés de le mettre en oeuvre ;
 
4° La fonction de la personne ou le service auprès duquel s’exerce le droit d’accès et de
rectification ainsi que leurs coordonnées ;
 
5
5° Une description des catégories de données traitées, ainsi que les catégories de personnes
concernées par le traitement : clients, prospects…
 
6° Les destinataires ou catégories de destinataires habilités à recevoir communication des
données ;
 
7° La durée de conservation des données traitées.
 
La liste est actualisée en cas de modification substantielle des traitements en cause. Elle
comporte la date et l’objet de ces mises à jour au cours des trois dernières années.
 
Le correspondant tient la liste à la disposition de toute personne qui en fait la demande.
 
Une copie de la liste est délivrée à l’intéressé à sa demande. Le responsable des traitements
peut subordonner la délivrance de cette copie au paiement d’une somme qui ne peut excéder
le coût de la reproduction.
Lorsque la liste ne recense pas la totalité des traitements mis en oeuvre par le responsable, elle
mentionne que d’autres traitements relevant du même responsable figurent sur la liste
nationale mise à la disposition du public en application de l’article 31 de la loi du 6 janvier
1978 susvisée.

Pour l’actualisation, il faut demander de l’aide au relais IL, différentes directions

opérationnelles, dans l’organisation. Les fiches sont faites par finalités.

Exemple de fiches :

6
7
Pour l’établissement de la fiche, toujours suivre les recommandations de la CNIL par exemple
pour la durée de conservation des données.

Les modalités de tenu du registre sont sans formalités (papier ou numérique)

Il faut limiter l’accès au registre mais pouvoir en permettre l’accès à toute personne et donner
accès à une fiche type à un responsable opérationnel avec un mode d’emploi sur les données
personnelles. Il faut reporter aux opérationnels et au RT les possibles non-conformité lors de
l’établissement de fiches (non proportionnalité, données sensibles etc).

Traitement hors registre. Concerne les autorisations ou avis. Ex : traitement de gestion des
incivilités : clients mécontents avec violence verbale / physique soumis à autorisation car peut
exclure une personne d’un bien ou d’un service et potentiellement données d’infraction. Les
délibération autorisant certains traitement sont accessibles su legifrance.
La CNIL vient d’établir une AU pour la gestion des contentieux.

Rôle du CIL dans la préparation et le suivi de ces autorisations varie selon la désignation.
Elles peuvent être faites par télé déclaration ou papier (formulaire CERFA).

Recommandé d’inscrire au registre l’intitulé de la procédure faite auprès de la CNIL

(engagement de conformité aux AU).

8
CAS PRATIQUES SOPHIE REVOL :

A. Alerte professionnelle d’un groupe allemand en France

Qui est responsable de traitement ? Le groupe allemand ou la société française ? C’est celui
qui en détermine les moyens et finalités. C’est la maison mère allemande qui a priori est
responsable (à l’initiative du traitement qui l’impose en France) mais la doctrine de la CNIL
et du G29 estime qu’il faut déterminer au cas par cas selon certains critères (appréciation in
concreto). En l’espèce, l’Allemagne est décideur mais cela concerne les français et dans l’avis
1-2010 / WP169 du G29 sur les notions de sous-traitants et responsable de traitement la nature
de responsable de traitement peut venir de la nature du contrôle notamment concernant les
salariés. On peut donc considérer en l’espèce que le responsable de traitement est plutôt
l’entité française.

Ensuite la LIL est applicable si le responsable de traitement est établi en France ou si il y a

des moyens de collecte en France. En l’espèce, les données traitées sont françaises donc la
LIL est applicable et il faut faire une autorisation.

Vérifier le champ de l’AU (financier, comptable, bancaire, lutte contre discrimination,

protection de l’environnement, hygiène et sécurité et). Un dispositif d’alerte professionnelle
doit respecter procédure qui explique aux utilisateurs l’objectif du dispositif. La CNIL
considère que les utilisateurs ne peuvent être que les employés de façon large (stagiaire, co-
contractant travaillant sur site oui, mais pas les clients !). Le dispositif ne doit pas être
obligatoire et être subsidiaire (complémentaire au remontée plus classique par exemple au
RH, manager). En cas de transfert hors UE (ici pas le cas), il faut respecter les règles de
transferts donc établissement de clauses. De même en cas de sous-traitance, il faut respecter
l’article 35 LIL c-a-d un contrat précisant que le sous-traitant agit sous le contrôle du
responsable de traitement et prévoit des clauses de sécurité et confidentialité.

b) Enregistrement audiovisuel des réunions de travail

9
Traitement de données ? OUI l’image est une donnée.
Responsable de traitement ? L’entreprise.
Registre ? Procédure ? Il existe une NS57 sur les enregistrements téléphonique qui peut
donner des indications. Ne concerne que certaines fonctionnalité : qualité du travail. Ici par
analogie on peut considérer que c’est proportionné. N’entre pas dans le champs de l’article 25
donc pas de demande d’autorisation.
Destinataire ? Vérifier que seules les personnes ayant vocation à y avoir accès ont
véritablement accès.
Information ? Respecter l’article 32 (avec indication du droit d’opposition) et également
question du droit à l’image. Il faut le consentement des personnes pour le droit à l’image
(recommandé par JP)

3. Eléments statutaires du CIL

C’est l’article 22-III qui prévoit l’indépendance du CIL par rapport à ses obligations. Le
décret de 2005 au articles 40 et suivants dédiés au CIL précisent qu’il ne reçoit aucune
instruction pour l’exercice de sa mission (article 46). Le CIL doit agir et exercer sa mission de
façon indépendante et autonome mais il n’est pas précisé dans les textes comment cette
indépendance est assurée. Ce vide juridique a eu pour effet pour le responsable de traitement
de voir le CIL comme un électron libre. Inversement ne rassure pas le CIL qui n’a pas
d’instruction et engage sa responsabilité. Mais il y a des éléments permettant de délimiter
l’indépendance.

- Absence de responsabilité mais absence de blanc seing et possibilité de décharge

du CIL. On ne peut engager la responsabilité du CIL dans le cadre de
l’accomplissement de ses fonctions. Cependant, article L1222-1 CT prévoit une
obligation de loyauté laissant entendre que le CIL doit rendre compte à son
employeur.
- Eviter l’isolement
- Nécessité de concertation avec le RT et les opérationnels.

MOYENS D’INDEPENDANCE FONCTIONNELLE :

- Place du CIL dans l’organigramme = absence de hiérarchie. Le CIL n’a pas de

responsable hiérarchique autre que le responsable de traitement. Il est rattaché
directement au RT et ne reçoit aucune instruction. Ce n’est pas un salarié protégé et le
CIL et le CIL n’est pas soumis au secret professionnel sauf avocat. Si le responsable
de traitement exige la communication d’info il ne peut opposer le secret pro. Le
responsable pourra dans le cas contraire invoquer l’obligation de loyauté.
- Nécessité pour le CIL de disposer d’une lettre de mission précisant ses missions et
prérogatives.
- Liberté organisationnel (souplesse de textes)
- Moyens d’exercer ses fonctions
o Le RT doit lui fournir les moyens financier, humains et matériels adaptés
et suffisant pour exercer ses missions.
10
 - En cas de désignation du CIL externe
o Article 44 du décret : la désignation n’est possible que dans
certains cas.

Lorsque plus de cinquante personnes sont chargées de la mise en oeuvre ou ont directement
accès aux traitements ou catégories de traitements automatisés pour lesquels le responsable
entend désigner un correspondant à la protection des données à caractère personnel, seul peut
être désigné un correspondant exclusivement attaché au service de la personne, de l'autorité
publique ou de l'organisme, ou appartenant au service, qui met en oeuvre ces traitements.

Par dérogation au premier alinéa :

a) Lorsque le responsable des traitements est une société qui contrôle ou qui est contrôlée au
sens de l'article L. 233-3 du code de commerce, le correspondant peut être désigné parmi les
personnes au service de la société qui contrôle, ou de l'une des sociétés contrôlées par cette
dernière ;

b) Lorsque le responsable des traitements est membre d'un groupement d'intérêt économique
au sens du titre V du livre deuxième du code de commerce, le correspondant peut être désigné
parmi les personnes au service dudit groupement ;

c) Lorsque le responsable des traitements fait partie d'un organisme professionnel ou d'un
organisme regroupant des responsables de traitements d'un même secteur d'activités, il peut
désigner un correspondant mandaté à cette fin par cet organisme.

o Lorsqu’on recourt à un CIL externe il faut faire un contrat. Le

contrat ne doit pas remettre en cause l’indépendance du CIL.
Q° : comme le salarié a un lien de subordination n’est-ce pas
contraire à l’indépendance ? NON c’est comme les auditeurs
internes qui vérifient la conformité.

Responsabilité du CIL (voir fiche 14 CNIL)

- Article 22 LIL : « Le CIL ne peut faire l’objet d’aucune sanction de la part
de l’employeur du fait de l’accomplissement de ses missions. »
- Article 46 décret du 20 octobre 2005
- Sanctions pénales : article 226-16 et suivants du code pénal =
responsabilité pénale à la charge du RT. 5 ans d’emprisonnement et
300 000€ d’amende pour non respect des formalités et 1,5M€ pour une
PM. Article 226-20 : conserver des données personnelles au-delà de la
durée prévue est puni de cinq ans d'emprisonnement et de 300 000 euros
d'amende, sauf si cette conservation est effectuée à des fins historiques,
statistiques ou scientifiques dans les conditions prévues par la lo. Le fait
de procéder à un traitement sans l’autorisation notamment pour de la
prospection commerciale est également puni. De façon générale 5 ANS DE
PRISON ET 300 000€ D’AMENDE pour non-respect des obligations.

11
 - Le CIL peut-il être coupable des mêmes infractions ? NON en tant
qu’auteur principal. Rappelé dans « la responsabilité du CIL et la
délégation de pouvoir » CNIL.

A titre liminaire, il convient de rappeler que la délégation de pouvoirs est une

création jurisprudentielle permettant au représentant légal d’un organisme de se décharger
d’une partie de ses fonctions au profit d’un de ses salariés. Par ce biais, il délègue également
la responsabilité pénale en découlant, sauf s’il a pris part à la réalisation de l’infraction. Le
représentant légal/mandataire social peut ainsi se dégager par avance de
saresponsabilité pénale, sous réserve que certaines conditions soient réunies :

- la délégation doit être justifiée par l’impossibilité pour le délégant

d’assurer personnellement la surveillance effective de l’ensemble des
activités et du personnel de l'organisme (pas le cas dans les petites
structures)

la délégation doit être permanente et certaine(de préférence, écrite et consentie

expressément par le délégataire) la délégation doit avoir un objet précis et limité les chefs de
délégation doivent relever de la compétence et de l’autorité du délégataire: cdernier doit
disposer d’un pouvoir suffisant de commandement, de sanction et d’une réelle indépendance
dans l’exercice de ses missions (il prend des décisions sans avoir à en référer au délégant)

le délégataire doit disposer des moyens matériels, humains, techniques et financiers

nécessaires pour veiller au respect de la réglementation.

Il doit également être établi que la délégation ne pourrait concerner que le

correspondant salarié et exclurait les correspondants externes puisqu’il est impossible de
déléguer un pouvoir à une personne non liée par un lien de subordination

Toutefois, il convient de préciser que la désignation d'un CIL ne saurait constituer une
délégation de pouvoir de la part du responsable des traitements vers le correspondant. En
effet, même si la désignation apparait satisfaire plusieurs des exigences précitées, il est
important de souligner qu'un des critères cumulatifs n'est pas rempli. Le CIL n'a pas de
pouvoir d'autorité et n'est pas en mesure de faire appliquer la réglementation «informatique et
libertés». Il ne dispose pas de pouvoir d'interdire ou de pouvoir disciplinaire. Il s'agit d'un
point essentiel qui ne permet pas, à lui seul, de considérer que les conditions de la délégation
de pouvoir sont réunies

Le CIL ne peut voir sa responsabilité engagé sauf s’il est complice de la commission
d’infraction au sens de l’article article 121-7 Code pénal. La simple désignation du CIL
n’est pas une délégation de pouvoir. Deux types de complicité sont à étudier, la
complicité active et la complicité dite «passive».

Il doit être souligné d’une part, que la complicité d’un délit est punissable même si le
texte d’incrimination ne le précise pas; d’autre part, qu’en vertu de la
jurisprudence,seule la complicité matérialisée par un acte positif (antérieur,
12
concomitant, voire postérieur à l’action délictueuse) est de nature à engagée la
responsabilité pénale de la personne

3La complicité active est le fait, pour le correspondant, d’inciter, d’aiderou d’assister
intentionnellement le responsable des traitements à enfreindre la législation
«informatique et libertés».Dans un tel contexte, la responsabilité pénale du CIL serait
très certainement retenue.

Qu’en estil si le correspondant s’est rendu coupable de complicité «passive»?La

complicité dite «passive»pourrait s’analyser comme un acte de négligence ou
d’omission: un correspondant aurait eu connaissance de faits contraires à la loi
«informatique et libertés» mais n’en aurait ni alerté le responsable de traitement, ni
informé la CNIL après avoir constaté que le responsable de traitement ne faisait rien
pour y remédier.Dans un tel cas, le problème réside dans la preuve de la négligence du
CIL. En effet, il est nécessaire de prouver que le correspondant a eu connaissance des
faits et qu’il n’a pas pris les mesures nécessaires.

Quand bien même la preuve serait faite que le CIL a manqué en connaissance de cause à
ses obligations, cela ne suffirait pas juridiquement à engager sa responsabilité
pénaledevant les tribunaux. En revanche, la procédure de décharge prévue à l’article 52
du décret de 2005 devrait être initiée.

Enfin, il convient d’apporter une précision supplémentaire sur cette notion de

responsabilité.

Il faut souligner qu’elle n’est pas spécifique au statut du CIL. La solution serait
identique si un salarié non CIL enfreint une disposition de la loi «informatique et
libertés»pénalement sanctionnable. Celui-ci serait susceptible d’engager sa
responsabilité pénale et civile.

Ce n’est pas le CIL qui doit signer les demandes d’autorisations et documents mais le
RT.

Jurisprudence de sanction pénale :

Cass. Crim. 14 mars 2006 : entreprise condamnée à 3000€ d’amende sur 226-18 Code
pénale. Elle aspirait des adresses mail sur internet pour faire de la prospection commerciale =
traitement frauduleux car collecte déloyale et illicite.

Cass. 28 septembre 2004 : entrave au fonctionnement de la CNIL et traitement de données

malgré opposition contre la Scientologie (prospection). 5000€ pour chaque infraction.

- Risque de sanction disciplinaire en cas de faute du CIL salarié (articles

L1331-1 CT et suivants) : constitue une sanction toute mesure autre que
les observations verbales prises par l’employeur après un agissement fautif

13
 du salarié (non respect d’obligations de discrétion et loyauté, du règlement
intérieur ou notes de service interne etc).

Important de déterminer les fonctions confiées au CIL dans une lettre de mission

Parmi ses pouvoirs la CNIL peut prendre des sanctions financières à l’encontre des RT mais
elles ne sont pas prononcées à l’encontre du CIL. Pour l’instant c’est 150 000€ en cas de
manquement 300 000€ en cas de récidive. Va changer avec le nouveau règlement européen.
Elle peut également faire des avertissements publics. Avant sanction elle met en demeure de
remédier au manquement.

Exemples : CNIL, 7 aout 2014. Avertissement public pour Orange qui avait confié à un sous-
traitant une mission de prospection commerciale mais problème de sécurité et confidentialité
des données (coresponsabilité).

Autre cas avec Optical Center dont un téléconseiller a donné directement à une cliente par
téléphone son mp pour compte OC. 50 000€ d’amende avec publicité de la décision.

- Responsabilité civile du CIL.

o En cas de CIL interne : le client insatisfait va plutôt agir contre le
RT pour la responsabilité contractuelle et en matière de
responsabilité délictuelle (1384) c’est la responsabilité des préposés
qui renvoi à celle de l’employeur.
o En cas de CIL externe : peut faire jouer la faute professionnel et il
est recommandé d’avoir une assurance et d’encadrer
contractuellement comment ça va se passer de façon
opérationnelle : sources d’info, réunions etc.

Les conflits d’intérêts

L’absence de conflit d’intérêt entre la fonction du CIL et d’autres fonctions qu’il exerce en
parallèle est une garantie de son indépendance. Article 46 du décret 2005 prévoit que :

- le CIL exerce sa mission directement auprès du RT

- ne reçoit aucune instruction
- et le responsable de traitement ou son représentant ne peut être désigné CIL
- les fonctions ou activités concurremment par le CIL ne doivent pas etre
susceptible de générer un conflit d’intérêt avec ses missions

La doctrine de la CNIL est limitée à ce sujet mais les IRP par exemple ne peuvent pas être
CIL. Appréciation au cas par cas. Situations visées :

- Un CIL ayant des intérêts contradictoires avec l’exercice de sa mission

(lien avec le prestataires proposant une application)
- Intérêts professionnels contradictoires : celui qui décide de la mise en
œuvre d’un traitement (RH, chargé de clientèle etc) ne peut en assurer la
conformité. CNIL estime que pas de conflits d’intérêt si le DRH n’est pas
missionné pour les traitements RH.
14
 - Conflits d’intérêts en lien avec des activités concurrentes est apprécié au
cas par cas :
o Pour le CIL interne, la CNIL estime que le mandat de représentant
du personnel ou délégué syndical est incompatible avec la fonction
de CIL pour des traitements RH. En Allemagne, la fonction de
DRH et DSI est considérée comme incompatible avec la fonction
de CIL.
o Pour le CIL externe (avocat ou consultant) :
 Le fait d’être CIL pour un concurrent du RT pourrait être un
conflit d’intérêts.
 Le CIL avocat n’entraine pas une violation du secret
professionnel car aucune obligation de pèse sur le CIL (voir
guide avocat par la CNIL)
 Article 6.2.2 RIN des avocats : dans l’exercice de ses
fonctions de CIL, l’avocat est tenu de respecter les principes
essentiels et les conflits d’intérêts. Il doit mettre un terme à
la mission qu’il estime ne pas pouvoir exercer et en aucun
cas ne doit dénoncer son client.

Cas pratiques :

3) Qui doit faire la déclaration ? Le responsable de traitement. Qui est responsable de

traitement ? Celui qui détermine les moyens et les finalités. Il faut voir le document du G29
sur la définition du responsable de traitement et le sous-traitant. C’est du cas par cas en
fonction de l’autonomie du sous-traitant. Un autre document du G29 sur les dispositifs
intelligents (avis 02-2013) prévoit que les développeurs d’applications sont responsables de
traitement car ils fixent les finalités et les moyens. Voir également la recommandation de la
CNIL pour les utilisateurs de cloud computing. S’il ne choisit pas l’application il n’y a pas de
traitement. Le responsable de traitement est donc l’utilisateur et le fournisseur de l’application
est sous-traitant. Si l’éditeur a fait une déclaration, on ne peut pas exclure que l’utilisateur
l’est à sa place donc il vaut mieux en faire une.

4) a) déclaration : déclaration normale. Inscription au registre (fiche avec finalité, catégories

de données, durée de conservation). Intéressant de reprendre la NS42 en l’adaptant.

b) Loi applicable ? données collectées en France donc LIL applicable

c) information : article 32 LIL. Chaque individu dont on traite les données doit être informé
du traitement. Peut être fait par tout moyen mais mieux par écrit. Peut être dans le mail,
affichage, mention sur le badge

d) conservation : la durée de conservation des données (article 6.5 LIL) ne peut être que celle
adéquate à l’objectif poursuivi. Au cas par cas donc. Discussion avec les opérationnels.

En l’espèce il y a également un sous-traitant donc il faut penser à la sécurité et la

confidentialité des données de l’article à la charge du sous-traitant. Prévoir également que le
transfert de données en dehors de l’UE (serveur) par le sous-traitant n’est possible que sur
15
autorisation. En cas de transfert penser aux clauses contractuelles standards de la Commission
européenne avec information des personnes et autorisation de la CNIL.

4. Formalisme lié à la prise de fonction du CIL

22 LIL et 43 et suivants du décret. La procédure de désignation est à la charge du responsable

de traitement (il signe), toutefois le CIL doit participer à la démarche car il doit signer,
consentir à la désignation via le formulaire.

3 modalités de désignation :
- sur le site internet de la CNIL
- par lettre remis contre signature avec le formulaire
- à l’accueil de la CNIL contre reçu

A compter de la réception de l’acte de désignation, la désignation prend effet dans un délai

d’un mois.
L’acte de désignation permet d’indiquer le périmètre matériel de la désignation. Choix entre
plusieurs désignations, dépend souvent de la taille de l’entreprise (désignation partielle ou non
et pour quels traitements).

Formulaire Cerfa à remplir. Eléments de la désignation :

- Désignation du RT et CIL, informations sur le représentant légal

- Périmètre de la désignation
- Qualifications et références professionnelles du CIL
- Précision s’il s’agit d’un CIL mutualisé ou non
- Si c’est un correspondant externe la CNIL rappelle les cas où c’est possible
dans le formulaire (-50 personnes ont accès au traitement).
- Information en cas de changement de CIL (nom de l’ancien CIL)
- Accord écrit de la personne désignée
- Type de désignation : étendue, générale ou partielle.
- Formations suivies par le CIL (ateliers CNIL etc)
16
La CNIL instruit la demande et apprécie les potentiels conflits d’intérêts. Il faut ensuite faire
une publicité de la désignation notamment des délégués du personnels, IRP. Il y a un annuaire
public des organismes ayant désignés un CIL (sans indiquer pour autant leur nom).

En cas de télédéclaration le CIL ne fait que cocher une case pour consentir donc penser à
avoir une lettre tout de même pour prévenir tout contentieux.

5. Formalisme lié à la fin des fonctions du CIL

Procédure administrative très encadrée avec la CNIL. Article 22-3 LIL et 52 à 55 du décret de
2005.

17
Différents cas de fins de fonctions :

- Le CIL démissionnaire ou « déchargé de ses fonctions »

indépendamment de tout manquement à la LIL : changement de
fonction, retraite etc.
o Obligations pour le RT de notifier la fin des fonctions à la CNIL
 Formalisme : lettre contre signature remise à la CNIL avec
indication du motif, justificatif de l’information du CIL ou
lettre de démission du CIL. Information des IRP pas
obligatoire mais bonne pratique. La CNIL a la possibilité de
faire des observations, questions.
 La fin des fonctions a lieu dans un délai de 8 jours à
compter de la notification à la CNIL.
- Le CIL déchargé pour manquement à ses missions
o A la demande de la CNIL
 En cas de manquement constaté à l’encontre du CIL
 Pas de définition légale du manquement
 Pas de précédents mais ex : absence de registre, cil
ne répond pas aux demandes de droit d’accès, ne
mets pas les mentions d’informations, absence de
bilan, ne répond pas aux questions de la CNIL
 Modalités du constat ne sont pas précisées par les
textes
 CNIL demande au CIL ou RT de formuler des
observations (absence de délai légal mais env 1
mois) = explications
 Notification de la CNIL au RT de la demande de
décharger des fonctions ( pas de formalisme)
 Obligation pour le RT de notifier au CIL la fin des
fonctions.
 Prises d’effet : 8 jours à compter de la notification
de la CNIL.
 Seul recours : contentieux en Conseil d’Etat (2 mois)
o A la demande du RT
 Mêmes conditions : manquement, constat. Ex : non-respect
des missions confiées dans la lettre de mission.
 Obligation pour le RT de notifier à la CNIL et au CIL sa
volonté de mettre fin aux fonctions avec motifs.
 Décision de la CNIL dans un délai d’un mois (renouvelable
1 fois sur décision motivée du président de la CNIL)
 Aucune décision mettant fin aux fonctions du CIL ne peut
intervenir avant fin du délai
 RT peut alors mettre fin aux fonctions et notification du RT
à la CNIL qui peut faire des observations
18
Possibilités et conséquences en cas de fins de fonction du CIL

- Désignation d’un nouveau CIL (prévu dans le formulaire avec information

des IRP, notification du CIL…) avec justificatif de la fin de mission.
o Délai maximum d’un mois après la notification de la fin des
fonctions
o Possibilité de modifier l’étendue de la désignation antérieure ou
d’externaliser la fonction
o Poursuite de la tenue et mise à jour du registre.
- Choix de ne pas désigner un nouveau CIL
o Fin du bénéfice de simplification des déclarations
o Nécessité de déclarer tous les traitments (délai d’un mois à compter
fin de mission)

- Hypothèse du manquement du RT
o Cas visé à l’article 55 du décret de 2005 : la CNIL enjoint le RT de
procéder aux formalités de l’article 23 et 24 LIL.
o Sanctions administratives possibles du RT par la CNIL
o Pas de conséquences pour le CIL
o Absence de précédents.

Cas pratique 5 : Géolocalisation

Existe une norme simplifiée 51 sur la géolocalisation qui détermine les conditions. Si la
finalité est détournée, plus possible de l’utiliser. Ne peut empêcher le respect de la vie privée
et pas de contrôle permanent. Possibilité pour le salarié de se désactiver. De plus information
du salarié (destinataires, droits d’accès, rectification, oppositions, transferts etc). La CNIL
rappelle également que pour suivre ses propres données c’est possible si accès par login. Il
faudrait également s’assurer que les données ne sont pas conservées ad vitam eternam. La
NS51 prévoit une durée de 2 mois. Peut être conservée 1 an dans certains cas, 5 ans pour le
suivi du temps de travail.

Pour constater un manquement abusif (luttre contre la fraude) c’est soumis à autorisation. Le
dossier risque de ne pas passer à la CNIL car contrôle au moment de la pause déjeuner.

Cas pratique 6 : Fichiers personnels

Possible de préciser dans la charte les conditions de stockage et les cas d’accès aux fichiers
considérés comme professionnels. Ce n’est pas parce que le fichier est identifié comme
personnel qu’on ne peut pas y accéder : c’est possible en présence du collaborateur et cas
d’évènement particuliers (sécurité) hors présence du salarié. Concernant la suppression :
bonne pratique de prévenir dans la charte informatique qu’au départ du collaborateur il est
demandé de supprimer les fichiers mails et dans le disque dur et si ce n’est pas fait dans un
délai raisonnable l’employeur supprimera les données. Du moment qu’il y a information,
annexation de la charte au règlement intérieur passé au CE ce qui la rend opposable c’est bon.

19
Séance 5 :

1) La prospection téléphonique.

Opt-out : le fait d’appeler des personnes pour du prospect est légal à partir du moment où les
données ont été collectées loyalement. Appeler des personnes grâce au botin est illégal car ce
n’est pas une collecte directe. Il faut vérifier que :

- La personne a été informée de son droit d’opposition et de la finalité du

traitement
- La personne doit pouvoir l’exercer de manière effective (système de
gestion des oppositions)

Loi Hamon du 17 mars 2014 pose 2 nouvelles règles en matière de prospection commerciale :

L121-34 Code de la consommation : liste d’opposition au démarchage téléphonique. Permet

de créer un fichier centraliser d’opposition au démarchage téléphonique. Liste mutualisée
permettant de s’opposer à l’ensemble des sociétés auxquels les données auraient pu être
cédées. Il faudra demander aux personnes si elles veulent être inscrites sur cette liste. Par
ailleurs, lorsque l’entreprise va constituer un fichier de prospect téléphonique, elle devra faire
un match avec cette liste pour vérifier que dans sa liste de prospect des personnes ne sont pas
inscrites sur la liste d’opposition (sorte de liste orange). L’organisme qui gère la liste est
Opposetel.

L121-34-2 Code de la consommation : la loi pose le principe de l’interdiction des numéros

masqués en matière de prospection téléphonique.

>>>Le principe : information préalable et droit d’opposition.

La prospection par téléphone (télémarketing) est possible à condition que la personne soit,
au moment de la collecte de son numéro de téléphone :

 informée de son utilisation à des fins de prospection.

 en mesure de s’opposer à cette utilisation de manière simple et gratuite, notamment

par le biais d'une case à cocher.

Législation applicable

 Article 38de la loi du 6 janvier 1978

 Articles L.34 et R.10 du code des postes et des communications électroniques.

2) La prospection par voie postale 

Le principe : information préalable et droit d’opposition. Il est interdit de prospecter

des personnes qui ont explicitement exprimé leur refus d'être démarchées. L'envoi de
publicité par voie postale est possible à condition que la personne soit, au moment de la
collecte de ses coordonnées :

20
  informée de leur utilisation à des fins de prospection,

 en mesure de s’opposer à cette utilisation de manière simple et gratuite,

notamment par le biais d'une case à cocher.

Législation applicable 

 Article 38de la loi du 6 janvier 1978

 Articles L.34 et R.10 du code des postes et des communications électroniques.

Sanctions 

5 ans emprisonnement et 300 000 € amende

Délit prévu par les articles 226-18 et 226-18-1du Code Pénal .

 amende de 750 € par message expédié

dans le cas de l’utilisation des coordonnées des personnes inscrites sur la « Liste Orange », à
partir des annuaires téléphoniques. Contravention de la 4e classe prévue par l’article R.10-1
alinéa 1 du Code des Postes et des communications électroniques.

 Jusqu'à 300 000 € d'amende

Sanction prononcée par la CNIL, prévue par l'article 47 de la loi informatique et libertés
modifiée

3 ) La prospection par automate d’appel (robot) et par télécopie

L34-5 Code des postes et communication électronique qui pose un principe d’opt-in. On ne

peut faire ce genre de prospection qu’avec l’accord préalable de la personne.

2 types de sanction lorsqu’on ne respecte pas l’opt-in :

- sanction liée au non-respect de la LIL (non-respect des droits des personnes)

- sanction des postes et communication électronique (amendes).

4) La prospection par voie électronique.

En application de règles issues d’une directive européenne 2009-136 e-privacy 2002 modifiée
le 25 novembre 2009. Concerne l’email et le SMS. On est parfois dans l’opt-in, parfois dans
l’opt-out.

a) Pour les particuliers (B to C)

Le principe : pas de message commercial sans accord préalable du destinataire

21
La publicité par courrier électronique est possible à condition que les personnes aient
explicitement donné leur accord pour être démarchées, au moment de la collecte de leur
adresse électronique.

Deux exceptions à ce principe :

 si la personne prospectée est déjà cliente de l'entreprise et si la prospection

concerne des produits ou services analogues à ceux déjà fournis par l’entreprise.
 si la prospection n'est pas de nature commerciale (caritative ou politique par
exemple)

Dans ces deux cas, la personne doit, au moment de la collecte de son adresse de messagerie

 être informée que son adresse électronique sera utilisée à des fins de prospection,
 être en mesure de s’opposer à cette utilisation de manière simple et gratuite.

b) Pour les professionnels (B to B)

Le principe : information préalable et droit d'opposition

la personne doit, au moment de la collecte de son adresse de messagerie

 être informée que son adresse électronique sera utilisée à des fins de prospection,
 être en mesure de s’opposer à cette utilisation de manière simple et gratuite.

L'objet de la sollicitation doit être en rapport avec la profession de la personne démarchée

(exemple : message présentant les mérites d’un logiciel à paul.toto@nomdelasociété ,
directeur informatique.) Les adresses professionnelles génériques de type
(info@nomsociete.fr, contact@nomsociete.fr, commande@nomsociete.fr) sont des
coordonnées de personnes morales. Elles ne sont pas soumises aux principes du consentement
et du droit d'opposition.

 Dans tous les cas

Chaque message électronique doit obligatoirement:

 préciser l'identité de l'annonceur,

 proposer un moyen simple de s'opposer à la réception de nouvelles sollicitations (par
exemple lien pour se désinscrire à la fin du message).

La CNIL recommande que le consentement préalable ou le droit d'opposition soit recueilli par
le biais d’une case à cocher. L'utilisation d'une case pré-cochée est à proscrire car contraire à
la loi.  

Sanctions

 Amende de 750 € par message expédié

Contravention de la 4e classe prévue par l’article R.10-1 du code des postes et des
communications électroniques

22
5 ans emprisonnement et 300 000 € amende

 Délit prévu par les articles 226-18et 226-18-1 du code pénal

 Jusqu'à 300 000 € d'amende

Sanction prononcée par la CNIL, prévue par l'article 47 de la loi informatique et
libertés modifiée

La publicité par SMS / MMS est possible à condition que les personnes aient explicitement
donné leur accord pour être démarchées, au moment de la collecte de leur numéro de
téléphone portable.

Deux exceptions à ce principe :

 si la personne prospectée est déjà cliente de l'entreprise et si la prospection

concerne des produits ou services analogues à ceux déjà fournis par l’entreprise.
 si la prospection n'est pas de nature commerciale (caritative par exemple)

Dans ces deux cas, la personne doit, au moment de la collecte de son numéro de téléphone,

 être informée que son numéro de téléphone portable sera utilisé à des fins de
prospection,

 être en mesure de s’opposer à cette utilisation de manière simple et gratuite.

Chaque message doit obligatoirement :

 préciser l'identité de l'annonceur,

 proposer un moyen simple de s'opposer à la réception de nouvelles sollicitations
(par exemple, un n° de téléphone non surtaxé où il est possible de se désinscrire à la
fin du message).

La CNIL recommande que le consentement préalable ou le droit d'opposition soit recueilli par
le biais d’une case à cocher. Le fait de pré-cocher la case par défaut est contraire à la loi. Le
spam correspond au non respect des règles d’opt-in.

5) Marketing ciblé

Utilisation de cookies pour connaître le consommateur et lui proposer des publicités. Encore
plus intrusif mais toujours même question. Revient à savoir si on est dans l’opt-in ou l’opt-
out. Par principe c’est de l’opt-in. Depuis directive de 2009 le marketing est soumis au
consentement préalable de la personne concernée. La LIL a été modifiée à l’article 32-II sur
l’information (transposition directive par ordonnance de 2011) :

II. - Tout abonné ou utilisateur d'un service de communications électroniques

( INTERNATURE, ou ABONNE A OPERATEUR TELECOM sur tout site internet) doit être
informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du
traitement ou son représentant (= COOKIES : il faut une information spécifique)

:
23
- de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des
informations déjà stockées dans son équipement terminal de communications électroniques,
ou à inscrire des informations dans cet équipement ;

- des moyens dont il dispose pour s'y opposer. (Dans quel menu/options pour tel navigateur ou
case à cocher pour les cookies d’opt out permettant de ne plus recevoir de marketing ciblé)

Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne
utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de
paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous
son contrôle

(= PRINCIPE DE l’OPT IN : mais on parle d’accord pas de consentement, c’est une erreur
de transposition. A eu pour conséquence pour les sites de profiter de cet allègement. Aucun
site n’est véritablement passé à l’opt in même si c’est bien un régime d’opt in). La CNIL et
ses homologues ont constaté le problème. Pas de sanctions prises en raison de l’enjeu
économique mais jeu sur la notion d’accord pour dire que les entreprises sont limitées et ce
que la CNIL demande est un entre deux entre l’opt in et l’opt out. Recommandation du 5
décembre 2013 de la CNIL qui explique que dans certain cas l’accord est présumé.

Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans
l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement
terminal de l'utilisateur :

- soit a pour finalité exclusive de permettre ou faciliter la communication par voie

électronique ;

- soit est strictement nécessaire à la fourniture d'un service de communication en ligne à la

demande expresse de l'utilisateur.

Recommandation du 5 décembre 2013 :

Article 1 : compte tenu des risques qu'ils entraînent sur la vie privée, les cookies nécessitant
une information et un consentement préalables de l'internaute sont notamment :
― les cookies liés aux opérations relatives à la publicité ciblée ;
― les cookies de mesure d'audience (à l'exclusion de ceux définis à l'article 6 de la présente
recommandation) ;
― les cookies traceurs de réseaux sociaux générés par les « boutons de partage de réseaux
sociaux ».
A l'inverse, certains cookies peuvent être déposés ou lus sans recueillir le consentement des
personnes. Ce sont :
― les cookies ayant pour finalité exclusive de permettre ou de faciliter la communication par
voie électronique ;
― les cookies strictement nécessaires à la fourniture d'un service expressément demandé par
l'utilisateur ;
― les cookies de mesure d'audience définis à l'article 6 de la présente recommandation.

Exemples : cookies d’identifiant de session, de panier d’achat, les cookies de sécurité, les
cookies utilisés à des fins techniques et non commerciales
24
L'internaute qui se rend sur le site d'un éditeur (page d'accueil ou page secondaire du site)
doit être informé, par l'apparition d'un bandeau :
― des finalités précises des cookies utilisés ;
― de la possibilité de s'opposer à ces cookies et de changer les paramètres en cliquant sur un
lien présent dans le bandeau ;
― du fait que la poursuite de sa navigation vaut accord au dépôt de cookies sur son terminal.
Dans la mesure où le consentement ne doit pas être ambigu, ce bandeau ne doit pas
disparaître tant que la personne n'a pas poursuivi sa navigation, c'est-à-dire tant qu'elle ne
s'est pas rendue sur une autre page du site ou n'a pas cliqué sur un élément du site (image,
lien, bouton « rechercher »).

Dans la recommandation de la CNIL il y a des préconisations spécifiques en matière de

mesure d’audience (pas forcément à connaitre) :

Article 6 : Un éditeur a besoin de mesurer l'audience de son site internet ou de son
application. Des cookies sont fréquemment utilisés pour cette finalité et ces dispositifs
peuvent, dans certains cas, être strictement nécessaires au service demandé par l'utilisateur et
ainsi être exemptés du recueil du consentement. En effet, les statistiques de fréquentation
permettent notamment aux éditeurs de détecter des problèmes de navigation dans leur site ou
leur application ou encore d'organiser certains contenus.
Dès lors, la commission recommande que, pour pouvoir bénéficier de cette exemption au
recueil du consentement, de tels traitements doivent respecter les conditions suivantes :
― la personne doit être informée ;
― elle doit disposer d'une faculté de s'y opposer par l'intermédiaire d'un mécanisme
d'opposition facilement utilisable sur l'ensemble des terminaux, des systèmes d'exploitation,
des applications et des navigateurs internet. Aucune information relative aux personnes ayant
décidé d'exercer leur droit d'opposition ne doit être collectée et transmise à l'éditeur de l'outil
d'analyse de fréquentation ;
― la finalité du dispositif doit être limitée à la mesure d'audience du contenu visualisé afin de
permettre une évaluation des contenus publiés et de l'ergonomie du site ou de l'application.
Les données collectées ne doivent pas être recoupées avec d'autres traitements (fichiers clients
ou statistiques de fréquentation d'autres sites, par exemple). L'utilisation du cookie déposé
doit également être strictement cantonnée à la production de statistiques anonymes. Sa portée
doit être limitée à un seul éditeur et ne doit pas permettre le suivi de la navigation de la
personne utilisant différentes applications ou naviguant sur différents sites internet ;
― l'utilisation de l'adresse IP pour géolocaliser l'internaute ne doit pas fournir une
information plus précise que la ville. Cette adresse IP doit également être supprimée ou
anonymisée une fois la géolocalisation effectuée, pour éviter toute autre utilisation de cette
donnée personnelle ou tout recoupement avec d'autres informations personnelles ;
― s'agissant des cookies, ils ne doivent pas avoir une durée de vie excédant treize mois et
cette durée ne doit pas être prorogée automatiquement lors des nouvelles visites. Les
informations collectées par l'intermédiaire des cookies doivent être conservées pendant une
durée de treize mois maximum.

25
Le rôle de la CNIL, les sanctions et les contentieux.

Réorientation de la CNIL depuis le changement de la Présidente (Isabelle Falque-Pierrotin).

La direction des affaires juridique est devenue la direction de la conformité. Vise à se
conformer au nouveau règlement européen. Mises en demeure deviennent des outils de
contrôle et de conformité plutôt que de sanctions.

6000 plaintes à la CNIL par an, 550 contrôles, 38% qui viennent de plaintes, 70 mises en
demeure, 15 sanctions par an.

La CNIL peut s’auto-saisir. Le recueil des plaintes se fait majoritairement par dénonciation
(services RH, beaucoup en matière de surveillance). Il y a un service dédié avec une
téléprocédure. Les plaintes concernent le non-respects des droits et des obligations.

Le service des plaintes. Les agents sont sectorisés par thématique. L’agent prend la décision
de faire une sorte de médiation/conciliation et dans les cas graves préfère de faire un contrôle
sans écrire au responsable de traitement. Voir délibération 2013-175 CNIL

Article 47 D2013-175 : Est considérée comme une plainte toute demande formée par une
personne physique ou morale identifiée relative à des faits susceptibles d'être contraires aux
textes dont l'application est confiée à la commission. Les plaintes sont instruites par les
services de la commission

Article 48
Modalités de saisine : La commission peut être saisie par voie postale ou électronique. Le
plaignant indique son nom et ses coordonnées sur la plainte.

Article 50
Echanges entre la commission et le responsable de traitement

L'objet de la plainte est communiqué au responsable du traitement mis en cause ou, le cas
échéant, au correspondant, afin que celui-ci fournisse toutes les explications utiles. Ces
échanges peuvent avoir lieu par tout moyen.
Par dérogation à l'alinéa précédent, l'objet de la plainte peut ne pas être communiqué au
responsable de traitement si la commission estime nécessaire de procéder à un contrôle sur
place pour constater directement les faits rapportés.
Le prénom, le nom, la qualité et l'adresse administratives de l'agent chargé d'instruire la
plainte sont indiqués au responsable de traitement, à moins que des motifs intéressant sa
sécurité s'y opposent.
L'identité du plaignant n'est pas communiquée au responsable de traitement, à moins qu'elle
soit indispensable au traitement de la plainte. (
Tout courrier adressé au responsable de traitement mentionne le délai dans lequel le
responsable de traitement est appelé à y répondre.

Intéressant donc de demander à la délégation CNIL s’ils viennent sur plainte ou contrôle
inopiné pour savoir la délimitation du contrôle.
26
Les contrôles. 40 contrôles en 2004, 450 en 2012, 550 en 2015. Nouveau pouvoir en matière
de vidéo-protection (lieux ouverts au publics (loi de 1995) : la CNIL peut contrôler ces
dispositifs et faire des MED sans pouvoir la rendre public et pas de sanctions) et vidéo-
surveillance (lieux privés (LIL) :possibilité de contrôle, MED, sanctions)

La CNIL publie un rapport sur les grandes thématiques de contrôle annuel. 4 types de
contrôles :

- contrôle sur place

- contrôle sur audition à la CNIL
- contrôle sur pièce
- constat en ligne (permet d’enlever la barrière des domiciles privés qui ne
peuvent être contrôlés)

Contrôle dure environ 1-2 jours. 1 PV par jour de contrôle. Il faut choisir un responsable des
lieux qui peut rester jusqu’au bout. Les agents donnent l’ordre de mission et la décision de
contrôle de la CNIL.

La CNIL prend des copies des BDD. Le PV est signé par le responsable des lieux. Il est
possible d’y faire des observations. Le responsable de traitement le reçoit dans les 8 jours.

Les contrôles sous forme d’audition ont lorsque le lieu de traitement est un domicile privé ou
après un contrôle sur place. Le responsable est prévu 8 jours avant par LRAR ou porteur
contre signature. Le responsable peut se faire assister/conseiller. Le PV est signé par le
responsable de traitement et un double lui est remis.

Suites au contrôle de la CNIL : courrier de cloture, courrier d’observation, mise en demeure,

transmission à la formation restreinte en cas de manquement grave, transmission au parquet
en cas d’infractions pénales.

I. La procédure de sanction avec mise en demeure.

1. La mise en demeure

Il faut une MED pour faire une injonction, retrait d’autorisation ou sanction pécuniaire

L’avertissement ne nécessite pas de MED préalable. Il ne peut y avoir d’avertissement arpès

MED ! Par contre il est possible d’avoir une MED après un avertissement.

Il existe ensuite des procédures d’urgence prévues à l’article 45 LIL. Très rare !

MED sont prononcées par la Présidente. Les sanction par la formation restreinte. Les
avertissements publics sont prononcés par le bureau de la CNIL (président + 2 vices
présidents). Il y a donc dans ce cas une décision de présidente pour la MED puis une décision
du bureau si elle souhaite la rendre publique.

MED : visa, qualification des manquements, dispositifs.

27
Pour prononcer une MED il faut un manquement continu ! Par contre un avertissement peut
avoir lieu sur fait passés ou continus.

2. Instruction de la mise en demeure

Doit avoir lieu dans les 3 mois. Il faut des preuves de l’avancée de l’instruction. Peut être
prorogé une fois. Suite de l’instruction :

- Clôture simple pour conformité

- Clôture simple avec observation
- Engagement d’une procédure de sanction :

3. Le rapport de sanction

La présidente de la CNIL désigne un rapporteur parmi ses commissaires. Le rapport peut faire
des auditions des représentants des organismes. Le rapport mentionne les faits, les
manquements, les propositions de sanctions (sanction pécuniaire ou injonction de cesser le
traitement). Le rapporteur est forcément un membre de la plénière qui ne siège pas à la
restreinte. Les sanctions sont à l’article 45 et suivants de la LIL, 73 et suivants du décret et
voir également le RI. Attention : la mise en demeure a cristallisé la liste des manquements
qui ne peut être allongée par la suite.

Les audiences sont publiques. Le responsable peut demander le huis-clos dans deux cas :
secret des affaires ou risque de menace à l’ordre public.

Respect du principe du contradictoire. Concernant la publicité (article 46 LIL) la CNIL peut

publier les décisions sur son site et legifrance. Il peut l’insérer dans les publications journaux
et supports aux frais des personnes concernées sans conditions de mauvaise foi ( réforme du
29 mars 2011)

MED = faits continus

AVERTISSEMENTS = faits passés ou faits continus. Dans le cas de faits passés on ne peut
prononcer d’un avertissement sans mise en demeure ni avant ni après. Dans le cas de faits
continus on peut prononcer avertissements + MED mais seulement après. (article 73 du
décret)

Cas pratique : 5 à 10- (12) pages (grand) maximum ( !). Date de dépôt : 4 juillet maximum.
Première préparation avant le 27 avril pour poser des questions à Sophie Revol si besoin.

Autre possibilité de cas pratique :

1) Note de service servant à informer sur les droits et devoirs des contrôles de la
CNIL, pour ne pas faire d’impair et protéger ses droits. Les personnes qui font
des contrôles à la CNIL il y a des choses à vérifier (badge bleu blanc rouge) et
préciser les recos pour savoir comment ça doit se passer (briefer les équipes, la
standardiste), définir son propre rôle en tant que CIL (sachant qu’en tant que
28
 groupe bancaire il peut y avoir un contrôle à Créteil alors que je suis à Paris),
prévoir la suite des contrôles, construire un plan ergonomique pour qu’il soit lu
par les collaborateurs. La CNIL fait des contrôles inopinés mais parfois elle
prévient la veille à 17h donc suppose que le CIL prévoie au moins 2 jours libre
par la suite. Il faut aussi désigner un responsable des lieux qui restera dans les
locaux. Penser à vérifier les recos des banques car thèmes possibles de
contrôle.voir fiche 16 et 17 du guide CIL. Regarder le programme de contrôle
2015.
2) Gestion d’un contentieux : réception d’une MED, rédiger une lettre de réponse.
Suppose de connaitre à quelle stade de la lettre de sanction on se trouve. Eviter
la poursuite de la procédure de sanction.
3) Rédaction d’une consultation juridique : le cil doit faire des reco ponctuelle,
sur des projets, des incidents. Réponse à une faille de sécurité (plus compliqué
et technique !). Concerne les obligations de sécurités et les règles en matière de
notification de failles de sécurité et savoir si elles s’appliquent et comment. SI
s’applique pas n’est il pas utile de s’en inspirer. Il faudra aller voir les reco de
la CNIL en matière de sécurité informatique (guides) Rappeler les règles,
évaluer les risques, déterminer les actions à court et moyens termes et proposer
des bonnes pratiques en matière de projet informatique.
4) Rédiger un plan d’audit c-a-d une méthodologie d’audit avec un budget limité
(40 000€) Comment cet audit est mis en place. Qui fait l’audit, un prestataire ?
qu’est-ce qui est audité ? Les thèmes, les lieux d’audit. Regarder la doctrine de
la CNIL en matière de banque. Préciser les intervenants, décrire la démarche
d’audit. Construire un référentiel.
Ex : audit des zones blocs notes. Regarder la doctrine de la CNIL, dégager les
pratiques. Si sujets sur la biométrie, vérifier les éléments juridiques, points de
contrôle de la CNIL pour autoriser un traitement.
5) Sujet en lien avec la mise en place du règlement européen. Note sur ce qui
devra être fait pour se mettre en conformité au niveau européen. Sujet doit être
validé.

Séances 7

Connaître les différentes missions opérationnelles du CIL.

Missions les plus importantes correspondent aux dispositions de l’article 49 du décret de

2005.

Article 49 : Le correspondant veille au respect des obligations prévues par la loi du 6 janvier
1978 susvisée pour les traitements au titre desquels il a été désigné.

A cette fin, il peut faire toute recommandation au responsable des traitements.

Il est consulté, préalablement à leur mise en oeuvre, sur l'ensemble des nouveaux traitements
appelés à figurer sur la liste prévue par l'article 47.

29
Il reçoit les demandes et les réclamations des personnes intéressées relatives aux traitements
figurant sur la liste prévue par l'article 47. Lorsqu'elles ne relèvent pas de sa responsabilité, il
les transmet au responsable des traitements et en avise les intéressés.

Il informe le responsable des traitements des manquements constatés avant toute saisine de la
Commission nationale de l'informatique et des libertés.

Il établit un bilan annuel de ses activités qu'il présente au responsable des traitements et qu'il
tient à la disposition de la commission.

On ajoute : la veille juridique, la rédaction d’audit et de procédures, information des

personnels, études d’impact (privacy impact assessment PIA), fonction de reporting vis-à-vis
du responsable de traitement, représentant du responsable de traitement auprès de tiers.
L’interlocuteur de la CNIL dans l’entreprise reste le responsable de traitement. Ces missions
en 2018 vont devenir obligatoires. Important de consigner dans la lettre de mission le cadre du
CIL. La lettre de mission est un outil de communication qui est communiqué aux
opérationnels. C’est un outil de légitimité, politique. Les pouvoirs du CIL ne sont pas fixés
dans la loi, seules ses missions le sont. Présenter les choses comme une aide aux opérationnels
à une amélioration de la qualité de leur traitement et non un shérif.

Attention aux conflits d’intérêts par exemple un CIL informaticien est en conflit d’intérêt et
toute sa documentation est entachée de nullité.

Le Bilan annuel

Article 49 du décret prévoit que le CIL fait un bilan annuel de ses activités présenté au
responsable de traitement et qu’il tient à disposition de la CNIL. Le CIL le tient à disposition
de la CNIL. Il la communique que si la CNIL le demande.

La loi ne prévoit pas de périodicité, de forme ni de fond, sur la contenu du rapport annuel. La
CADA a rappelé que la bilan annuel est un document administratif. Document de
communication et de valorisation mais ne listant pas les difficultés.Organisation du bilan :

Description de la structure et du responsable de traitement

Historique et organisation de la mission du CIL
Réalisations du CIL sur la période écoulée
Conclusions bilan et perspective

Le CIL mutualisé (appartenant à un groupe, association de professionnel d’un même secteur,

ou GIE) fera autant de bilan et registre qu’il y a d’entités juridiques.

La feuille de route correspond à l’agenda des missions du CIL à court terme ( 3 mois, 6 mois,
1 an) et les moyens mis en œuvre (voir document).

Cas pratiques prospection commerciale.

I ) prospection commerciale salle de sport

30
 1) Prospection de personnes morales donc la LIL ne s’applique pas sauf si
s’adresse à une personne physique (fichier mixte).
2) Prospection par voie électronique : optin (consentement) sauf si déjà client
(pour des produits et services analogues, uniquement un fichier qui n’a pas été
cédé et appartient à celui à l’origine de la collecte), associations ONG, caritatif,
politiques, hypothèse de BtoB (information préalable et droit d’opposition)
3) A partir du 1er juin 2016 toutes les entreprises qui veulent démarcher par
téléphone doivent vérifier que le numéro n’est pas sur la base nationale. On est
dans l’opt-out.

II) GDF SUEZ

1) GDF Suez : obligation d’informer de la communication des données sous

forme
2) Pas besoin de consentement si les personnes ont été informés. Le consentement
reste l’exception prévue dans des cas particuliers (code des postes et
communications électronique par exemple).
3) Vérifier la liste nationale

III) application de l’article 32 de la loi : information sur les catégories de

destinataire des données. Préciser que les données sont susceptibles d’être
transférées aux autres entités et partenaires commerciaux avec possibilité de
s’opposer. On peut également donner accès à la liste des partenaires mais le
problème est qu’elle bouge donc on peut proposer d’accéder à une liste à jour. Le
consentement doit être libre spécifique et informé. Ici la proposition est pas mal
mais elle donne les listes de marque et non des partenaires / entité juridique qui
sont les vrais destinataires des données. Ce serait plus approprié.

Séance 8. Le règlement européen

I. Les points qui ne changent pas.

- L’article 1 du règlement affirme que la protection des données n’a pas pour but
d’empêcher les entreprises de travailler = PCP DE LIBRE CIRCULATION DES
DONNEES sous réserve de respecter des règles de protection des données.
- Les définitions de données personnelles et traitement ne changent pas non plus
(article 4 RE)
- Le consentement des personnes. Article 4 (8) «consentement de la personne
concernée»: toute manifestation de volonté, libre, spécifique, informée et explicite
par laquelle la personne concernée accepte, par une déclaration ou par un acte
positif univoque, que des données à caractère personnel la concernant fassent
l'objet d'un traitement;
- Article 6.1. F : « Le traitement est nécessaire aux fins des intérêts légitimes
poursuivis par un responsable du traitement ou par un tiers, à moins que ne
prévalent les intérêts ou les libertés et droits fondamentaux de la personne
concernée, qui exigent une protection des données à caractère personnel,
notamment lorsque la personne concernée est un enfant. Ces considérations ne
31
 s'appliquent pas au traitement effectué par les autorités publiques dans l'exécution
de leurs missions.
correspond à l’article 7 de la LIL. » Rajoute le tiers comme intérêt. L’intérêt
légitime est la base de la mise en œuvre du traitement, le consentement est
l’exception.
- la clause de recueil de consentement rappelle que la personne peut retirer son
consentement à tout moment.
- Au moment de déterminer si le consentement est libre, il faut tenir compte du
point de savoir si l’exécution du contrat est subordonnée au consentement à
traitement de données qui ne sont pas nécessaire à l’exécution du contrat.
Question de savoir si la nature des données demandées sont liées à la finalité. Si
les données ne sont pas liées à l’exécution du contrat le consentement n’est pas
libre.
- Article 8 : le consentement des enfants suppose le consentement des parents.
- Article 9 : la directive de 2002 sur les communications électronique modifiée en
2009 est maintenue (concerne prospection par voix electronique)

3) Ce qui change

- Article 3: champs d’application de la LIL : 1.           Le présent règlement s'applique au

traitement des données à caractère personnel effectué dans le cadre des activités d'un
établissement d'un responsable du traitement de données ou d'un sous-traitant sur le territoire
de l'Union.

2.           Le présent règlement s'applique au traitement des données à caractère personnel

appartenant à des personnes concernées ayant leur résidence sur le territoire l'Union, par un
responsable du traitement qui n'est pas établi dans l'Union, lorsque les activités de traitement
sont liées:

a)      à l'offre de biens ou de services à ces personnes concernées dans l'Union (onéreux ou
non); ou

b)      à l’observation de leur comportement dans la mesure où il s’agit d’un comportement de

l’UE.

3.           Le présent règlement s'applique au traitement de données à caractère personnel par

un responsable du traitement qui n’est pas établi dans l’Union, mais dans un lieu où la
législation nationale d’un État membre s’applique en vertu du droit international public.

- Le droit à l’oubli et à l’effacement.Actuellement l’article LIL précise que la durée de

conservation doit être proportionnée au but poursuivi. L’article 17 du règlement dispose que
la personne peut demander l’effacement des données dans les meilleurs délais pour l’un des
motifs suivants :

a) les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été
collectées ou traitées d'une autre manière;

32
b) la personne concernée retire le consentement sur lequel est fondé le traitement,
conformément à l'article

6, paragraphe1, pointa), ou à l'article9, paragraphe2, pointa), et il n'existe pas d'autre

fondement juridique au traitement des données;

c) la personne concernée s'oppose au traitement des données à caractère personnel en vertu de

l'article 19, paragraphe1, et il n'existe pas de motif légitime impérieux pour le traitement, ou la
personne concernée s'oppose autraitement des données à caractère personnel en vertu de
l'article19, paragraphe2;

d) les données ont fait l'objet d'un traitement illicite;

e) les données doivent être effacées pour respecter une obligation légale qui est prévue par le
droit de l'Union ou la législation d'un État membre et àlaquelle le responsable du traitement
est soumis;

f) les données ont été collectées dans le cadre de l'offre de services de la société de
l'information visée à l'article8, paragraphe1.

-Article 4 : Le responsable de traitement est la personne physique ou morale l’autorité

publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres,
détermine les finalités et les moyens du traitement de données à caractère personnel; lorsque
les finalités et les moyens du traitement sont déterminés par le droit de l'Union ou la
législation d'un État membre, le responsable du traitement peut être désigné, ou les critères
spécifiques applicables pour le désigner peuvent être fixés, par le droit de l'Union ou par la
législation d'un État membre = CORRESPONSABILIETE POUR DES TRAITEMENTS MIS
EN ŒUVRE CONJOINTEMENT ce qui n’était pas le cas avant. Il faudra que le contrat
prévoit qui est responsable de quoi.

Définition de la donnée de santé : aujourd’hui elle n’est pas définie dans la LIL. C’est la
CNIL qui détermine et c’est très liée à une pathologie précise. Ex : je porte des lunettes n’est
pas une donnée de santé, j’ai été vaccinée, mais par contre je suis atteinte de telle maladie oui.
Le règlement définit désormais de façon plus large : « les données à caractère personnel
relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de
services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne »

- Article 24 : la personne concernée peut exercer les droits que lui confère le règlement à
l’égard de tout responsable de traitement. Vis-à-vis des personnes fichées tous les
responsables seront tenus d’exercer les droits.

Article 5 c : le principe de proportionnalité et remplacé par celui de minimisation. « Les

données doivent être traitées de façon adéquates, pertinentes et limitées à ce qui est nécessaire
au regard des finalités pour lesquelles elles sont traitées (minimisation des données);

Aujourd’hui il suffit de prouver que c’est proportionné alors que maintenant il faut collecter le
minimum.

33
Article 5.2 PCP d’ACCOUNTABILITY : Le responsable du traitement est responsable du
respect des dispositions figurant au paragraphe1 et est en mesure de démontrer que ces
dispositions sont respectées (responsabilité) = Il faut documenter sa conformité. Lié au fait
que les formalités sont supprimées.

Article 22 : Approche par les risques.

Responsabilité incombant au responsable du traitement

1.
Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des
risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des
personnes physiques, le responsable du traitement met en œuvre des mesures techniques et
organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement
des données à caractère personnel est effectué dans le respect du présent règlement. Ces
mesures sont réexaminées et actualisées si nécessaire = il faut pouvoir démontrer qu’on a fait
une analyse de risque (ex : charte informatique, certification ou labellisation des traitements)

Article 23 : principe de protection des données dès la conception et protection des données par
défaut par des mesures techniques et organisationnelles adaptées.

Article 9 : données interdites. Il y a de nouvelles données parmi les données sensibles :
données génétiques et biométriques. Il y a également de nouvelles exceptions : en matière de
droit du travail, dans certains cas on peut collecter des données sensibles notamment pour la
lutte contre la discrimination. A voir si le CC acceptera (discrimination positive). Aussi
exception si le traitement est nécessaire pour des motifs d'intérêt public dans le domaine de la
santé publique, tels que la protection contre les menaces transfrontières graves pesant sur la
santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et
des médicaments ou des dispositifs médicaux, sur la base du droit de l'Union ou de la
législation d'un État membre prévoyant des mesures appropriées et spécifiques en vue de
sauvegarder les droits et libertés de la personne concernée, notamment le secret
professionnel;
Exceptions en matière d’archivage dans l’intérêt publique.

Article 14 : information des personnes. La liste de l’article 32 LIL change complètement. Il
faut indiquer la base juridique du traitement (texte de loi ou intérêt légitime du responsable),
la durée de conservation ou les critères utilisés pour la déterminer, l'existence du droit de
demander au responsable du traitement l'accès aux données à caractère personnel relatives à la
personne concernée, la rectification ou l'effacement de celles-ci, ou une limitation de leur
traitement, ou du droitde s'opposer au traitement de ces données et du droit à la portabilité des
données, ; les pratiques de profilage.

Article 12 : ergonomie de l’information. L’information doit être concise transparente,

aisément accessible.

Article 19 : information relative au droit d’opposition. Le droit d’opposition en matière de

prospection commerciale peut s’exercer à tout moment y compris en matière de profilage.
On peut donc s’opposer à la segmentation comportementale. Actuellement il faut donner un
motif légitime et discrétionnaire pour la prospection commerciale.
34
Nouveau droit consacré est celui de la portabilité des données. Permet par exemple de
transférer des données d’un réseau social à un autre.

Article 26 sur les sous-traitants. Les règles s’appliquent plus largement à eux. Pour l’instant
n’est pas responsable sauf pour la sécurité et confidentalité. Ils devront tenir un registre de
traitement et une extension de responsabilité mais pas autant que le responsable. Registre
accessible à la CNIL mais pas précisé si à toute personne. Le règlement précise que pour les
structures moins de 250 personnes pas besoin de registre sauf pour les traitement à risque.

Article 31 : obligation de notifier les failles de sécurité pour tous les responsable de
traitement.

Article 32 : notification auprès des personnes concernées

Article 33 : analyse d’impact relative à la protection des données (PIA) : traitement pouvant
présenter un risque doivent faire l’objet d’une analyse d’impact. Notamment :

a) l'évaluation systématique et approfondie d'aspects personnels propres à des

personnes physiques, qui est fondée sur un traitement automatisé, notamment le
profilage, et sur la base de laquelle sont prises des décisions produisant des effets
juridiques à l'égard d'une personne physique ou l'affectant de manière tout aussi
significative;
b) le traitement à grande échelle des catégories particulières de données visées à l'article 9,
paragraphe1, ou des données relatives aux condamnations ou aux infractions pénales visées à
l'article 9 bis
;
c) la surveillance systématique à grande échelle d'une zone accessible au public
L’autorité de contrôle publie un liste des traitements nécessitant un étude d’impact.

Article 34 : consultation préalable de l’autorité de contrôle. Pour les traitements soumis à
l’étude d’impact, le responsable de traitement devra consulter l’autorité de contrôle avant la
mise en œuvre du traitement. Avis de l’autorité de contrôle dans un délai de 4 mois, sauf dans
le secteur public. Dans ce dernier cas la législation des états membres peut demander à ce
qu’il y ait une autorisation de l’autorité dans le cadre d’une mission de service public y
compris pour le traitement des données dans le cadre de la protection social et de la santé
public.

Article 43 : La mise en place d’un BCR nécessite l’autorisation des autorités de contrôle. Ce
sera le seul cas en matière de transfert de données.

Article 38-39: agrément d’organismes privés

Article 51 bis : définition de l’autorité de contrôle chef de file pour les traitements pan-
européens : 1.l'autorité de contrôle de l'établissement principal ou de l'établissement unique du
responsable du traitement ou du sous-traitant est compétente pour agir en tant qu'autorité de
contrôle chef de file concernant le traitement transfrontière effectué par ce responsable du
traitement ou ce sous-traitant.

35
2. Par dérogation au paragraphe 1, chaque autorité de contrôle est compétente pour traiter une
réclamation introduite auprès d'elle ou une éventuelle infraction au présent règlement, si son
objet concerne uniquement un établissement dans son État membre ou affecte sensiblement
des personnes concernées dans son État membre uniquement. = intérêt de choisir un sous-
traitant dans le pays qui arrange

Par dérogation au paragraphe 1, chaque autorité de contrôle est compétente pour traiter une
réclamation introduite auprès d'elle ou une éventuelle infraction au présent règlement, si son
objet concerne uniquement un établissement dans son État membre ou affecte sensiblement
des personnes concernées dans son État membre uniquement. = on peut porter plainte dans
notre autorité de contrôle qui pourra faire des contrôle mais dès qu’il s’agit d’un traitement
transfrontière, la CNIL devra demander avis à l’autorité compétente avant de répondre à la
plainte.

3. L'autorité de contrôle chef de file est le seul interlocuteur du responsable du traitement ou

du sous-traitant pour leur traitement transfrontière.

Article 57 : Afin de contribuer à l'application cohérente du présent règlement dans l'ensemble
de l'Union, les autorités de contrôle coopèrent entre elles et, le cas échéant, avec la
Commission dans le cadre du mécanisme de contrôle de la cohérence établi dans la présente
section =consultation des autorités chef de file.

Article 58 : le Comité européen des données va remplacer le G29 et avoir un pouvoir
contraignant, émettre des avis notamment por harmoniser les décisions en matière de
traitement transfrontière. Elle va régler les litiges (58 bis)entre autorités locales. Il y aura un
représentant par autorité de contrôle et la gestion sera celle de la communauté européenne.

Article 61 : Procédure d’urgence

Article 86 : la Commission européenne pourra adopter des actes délégués (textes
d’application pour préciser le règlement)

Article 35 : Le délégué à la protection des données sera obligatoire.

1. Le responsable du traitement et le sous-traitant désignent systématiquement un délégué à la
protection des données lorsque:

a) le traitement est effectué par une autorité publique ou un organisme public, à l'exception
des tribunaux dans l'exercice de leur fonction juridictionnelle; ou
b) les activités de base du responsable du traitement ou du sous
-traitant consistent en opérations de traitement qui, du fait de leur nature, de leur portée et/ou
de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes
concernées; ou
c) les activités de base du responsable du traitement ou du sous-traitant consistent en un
traitement à grande échelle des catégories particulières de données visées à l'article 9 et des
données relatives aux condamnations ou aux infractions pénales visées à l'article 9 bis

La loi locale peut prévoir d’autres cas .

3)Règles qui pourront être renforcée localement

36
Article 6.2 Traitements du secteur public le droit français pourra renforcer le dispositions du
règlement européen

Article 2 : le consentement aux données sensibles pourra être interdit (comme exception) au
niveau national

Article 9.5 : spécificités locale sur les données biométriques, génétiques et de santé.

Article 80 : Spécificités locales sur les traitements des journalistes.

Article 80 ter : traitement d’un numéro d’identification nationale (n° de sécu)

Article 82 : traitements de données en matière d’emploi.

CAS PRATIQUE :

L1225-65-2 : commencer par regarder l’article.

La doctrine de la CNIL est de demander l’autorisation au médecin du travail. Pour toute
question relative à la santé il faut demander au médecin conseil ou médecin du travail. Les
données de santé c’est le médecin qui les reçoit et qui certifie simplement qu’on rentre dans le
cadre d’application de la loi. Le consentement exprès n’est pas possible car le consentement
du salarié n’est pas libre et ne règle pas le problème des BDD avec des données de santé. Il
faut faire une déclaration normale. En l’espèce pas de disposition précise sur la protection de
ces données dans le code du travail.

2) on peut prévenir la CNIL des difficultés qu’on rencontre. Il faut identifier la conformité,
documenter l’identification et la transmettre au responsable de traitement pour se protéger.
Pas de transfert de responsabilité au CIL sauf complicité (absence au registre)

Séance 9 : (voir rapport public et rapport annuel des contrôles)

LA CNIL a rendu son rapport public 2015. Voir page 46 à 51.

Les procédures permettent de documenter la conformité. Accueillir la délégation, prévoir une

salle, apporter toute la documentation.

Note de procédure pour aiguiller les opérationnels sur la rétention de données. La durée de
conservation doit correspondre à la finalité du traitement. Le principe qui guide la collecte de
donnée est la proportionnalité. Ne pas oublier les mentions d’information (article 32 LIL)
connaître les éléments. Intéressant de mettre à disposition un glosier pour les opérationnels.
La durée de conservation n’est pas une mention obligatoire.

Formulaire de collecte : Données personnelles

Les informations recueillies à partir de ce formulaire font l’objet d’un traitement informatique
destiné à :

[responsable_de_traitement]

37
Pour la ou les finalité(s) suivante(s) : 

[finalites_du_traitement]

Le ou les destinataire(s) des données sont :

[destinataires_des_donnees]

Conformément à la loi « informatique et libertés » du 6 janvier 1978 modifiée, vous disposez

d’un droit d’accès et de rectification aux informations qui vous concernent. 

Vous pouvez accèder aux informations vous concernant en vous adressant à :

[service_charge_du_droit_dacces]
 Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données
vous concernant.

Pour en savoir plus, consultez vos droits sur le site de la CNIL.

Ex de panneau de mention d’info : Etablissement sous vidéosurveillance. Nous vous

informons que l’établissement est placé sous vidéoprotection. Le ou les finalités sont les
suivantes. Pour tout renseignement s’adresser à (nom, contact du droit d’accès) auprès duquel
vous pouvez exercer vos droits d’accès conformément à la LIL. Conformément à la LIL vous
disposez d’un droit d’accès et de rectification des informations qui vous concernent. Vous
pouvez accéder aux infos qui vous concernent en vous adressant à … vous pouvez également
vous opposer aux traitements des infos vous concernant, pour plus d’infos consultez vos
droits sur le site de la CNIL.

Mention géolocalisation : peut se trouver dans le véhicule, le CT ou avenant.

Préciser qu’il y a un bouton de désactivation.
L’information des personnes

[responsable_de_traitement]

Nous vous informons que nous avons installé, dans les véhicules, un système permettant de
les localiser en temps réel.

Ce nouveau service va nous servir à :

[finalites_du_traitement]

Nous aurons connaissance de l’itinéraire que vous suivez ainsi que des arrêts que vous
effectuez.

Les données relatives à vos déplacements sont conservées au

maximum [temps_de_concervation]. Au-delà, toutes les données sont rendues anonymes et
ont pour seul objet la réalisation de statistiques. (pas obligatoire dans l’art 32)

Seuls les services suivants sont destinataires de ces

informations : [destinataires_des_donnees]
38
Conformément à la loi « informatique et libertés » du 6 janvier 1978 modifiée, vous disposez
d’un droit d’accès et de rectification aux informations qui vous concernent. 

Vous pouvez accèder aux informations vous concernant en vous adressant à :

[service_charge_du_droit_dacces]

Mentions transferts en dehors UE : Données personnelles

[responsable_de_traitement] dispose de moyens informatiques destinés

à : [finalites_du_traitement]

Les informations enregistrées sont réservées à l’usage du (ou des) service(s) concerné(s) et ne
peuvent être communiquées qu’aux destinataires suivants :

[destinataires_des_donnees]

Certains de ces destinataires sont situés en dehors de l’Union Européenne, et en particulier les
destinataires suivants :

[pays_destinataire]

Ces destinataires auront communication des données suivantes :

[donnees_transferees]

La transmission de ces données aux destinataires situés en dehors de l’Union Européenne est
destinée à :

[finalites_du_transfert]

Les garanties suivantes ont été prises pour s’assurer d’un niveau de protection suffisant des
données personnelles :

[type_de_garantie]   [reference]

Conformément à la loi « informatique et libertés » du 6 janvier 1978 modifiée, vous disposez

d’un droit d’accès et de rectification aux informations qui vous concernent. 

Vous pouvez accèder aux informations vous concernant en vous adressant à :

[service_charge_du_droit_dacces]

Les audits permettent de voir si la documentation / information permet de savoir si cela a été
efficace sur le terrain. Permet aussi de valoriser son travail auprès des opérationnels.
Déterminer le périmètre géographique et matériel. Nature des traitements audités, avec niveau
de risque fort. Entretien avec les directeurs pour identifier les opérationnels. Voir le label
audit de la CNIL. Délibération du 11 octobre 2012. Utile pour déterminer la check-list de

39
l’audit. Définition de l’audit, du périmètre. Dans le contrat de sous-traitant il faut prévoir une
clause pour permettre un audit + mention article 34 sur la sécurité /confidentialité.

L’opération de lancement de l’audit doit se faire dans le cadre de la lettre de mission, sinon il
faut l’accord du RT et des opérationnels.

Présentation des objectifs de la mission et de la durée.

Récupérer les données par questionnaires, extraction de données.
Analyse des informations collectée
Rédaction du rapport d’audit : constate les conformités et inconformités, mesures de
conformité à prendre pour régler les problèmes.
cartographie des risques et plan d’action : engager pour chaque zone de non-conformité un
niveau de risque et de priorité et pour les mesures correspondantes. On peut prévoir un plan
d’action avec accompagnement.
Rédiger un tableau de synthèse qui intègre le tableau de priorité et des actions de conformité.
Penser à la restitution des résultats de l’audit au RT et aux opérationnels dans le but d’une
action commune.

Cas pratique :

1) Mon établissement souhaite organiser un tirage au sort à l'occasion de

l'inauguration d'un nouveau site en vue de créer du flux et faire connaitre ce
nouveau site.
 
Le principe du tirage au sort est le suivant : les participants sont pris en photo avec un appareil
polaroid par un animateur sur le site. Les participants inscrivent au dos de leur photo leur
nom, prénom et un numéro de téléphone qui permettra de leur signaler leur éventuel gain.
 
Les photos sont ensuite affichées dans l'enceinte du site pendant le durée du jeu soit 3 jours au
maximum.
 
À l'issue des trois jours, toutes les photos sont mises dans une urne et un tirage au sort est
effectué en présence d'un huissier.
Les gagnants sont informés par téléphone de leur gain.
 
À l'issue du tirage au sort, toutes les photos sont détruites sauf demande des intéressés qui
pourront récupérer leur photo.
Aucune conservation du jeu n'est envisagée puisque la seule finalité est de faire venir des
visiteurs sur le nouveau site pendant les trois jours d'animation.
 
Mon analyse est qu'il ne s'agit pas d'un traitement de données à caractère personnel, mais
j'aimerais être conforté dans cette analyse, quel est votre point de vue.

Notion de traitement large donc a priori il y a un traitement. Y-a-t-il un fichier ? Il y a une

photo faite donc il faut un consentement. Déclaration normale sauf à voir si cela peut rentrer
dans une NS ou une déclaration déjà faite (promotion). Comme il s’agit d’un traitement il
faudra bien sûre informer.

40
2) Je suis une entreprise, j'ai trouvé sur un site d'une organisation d'entrepreneurs des
coordonnées d'entrepreneurs (nom, email, interlocuteur, téléphone..).

Je souhaite contacter chaque personne pour proposer mes services, je sais que je n'ai pas le
droit de créer un fichier selon ces données car ce serait une collecte déloyale.

Je décide donc de contacter ces personnes sans créer un fichier et en direct : j'appel les
contact 1 par 1 sans traiter les données (sauf dans le cas ou j'obtient une vente et dans ce cas
je précise au client que je l'enregistre dans mon fichier qui lui sera déclaré à la CNIL).

Article 32 : l’enregistrement des données suppose information sur comment cela a été
collecté. Ce sont des données publiques. La finalité est-elle la même que celle pour laquelle
elle a été collectée donc peut avoir un détournement de finalité. Voir exception de l’article 13
de la loi CADA.

41