Académique Documents
Professionnel Documents
Culture Documents
Introduction générale.
CC 29 juillet 2004 : le CC a validé les dispositions relatives au CIL en considérant que les
règles dans la loi de 2004 étaient suffisante pour garantir son indépendance. N’a pas pour
effet de transférer les compétences de la CNIL.
Les dispositions relatives au CIL se trouvent à l’article 22 LIL et 42 et suivants du décret
d’application de la loi du 20 octobre 2005.
Article 22 III LIL : III. - Les traitements pour lesquels le responsable a désigné un
correspondant à la protection des données à caractère personnel chargé d'assurer, d'une
manière indépendante, le respect des obligations prévues dans la présente loi sont dispensés
des formalités prévues aux articles 23 et 24, sauf lorsqu'un transfert de données à caractère
personnel à destination d'un Etat non membre de la Communauté européenne est envisagé.
Le correspondant est une personne bénéficiant des qualifications requises pour exercer ses
missions. Il tient une liste des traitements effectués immédiatement accessible à toute
personne en faisant la demande et ne peut faire l'objet d'aucune sanction de la part de
l'employeur du fait de l'accomplissement de ses missions. Il peut saisir la Commission
nationale de l'informatique et des libertés des difficultés qu'il rencontre dans l'exercice de ses
missions.
En cas de non-respect des dispositions de la loi, le responsable du traitement est enjoint par la
Commission nationale de l'informatique et des libertés de procéder aux formalités prévues aux
articles 23 et 24. En cas de manquement constaté à ses devoirs, le correspondant est déchargé
de ses fonctions sur demande, ou après consultation, de la Commission nationale de
l'informatique et des libertés.
3 types de CIL :
1
- CIL externe prestataire de service : consultants, avocats, experts.
Article 44 décret 2005 : Lorsque plus de cinquante personnes sont chargées de la mise en
oeuvre ou ont directement accès aux traitements ou catégories de traitements automatisés pour
lesquels le responsable entend désigner un correspondant à la protection des données à
caractère personnel, seul peut être désigné un correspondant exclusivement attaché au service
de la personne, de l'autorité publique ou de l'organisme, ou appartenant au service, qui met en
oeuvre ces traitements.
a)Lorsque le responsable des traitements est une société qui contrôle ou qui est contrôlée au
sens de l'article L. 233-3 du code de commerce, le correspondant peut être désigné parmi les
personnes au service de la société qui contrôle, ou de l'une des sociétés contrôlées par cette
dernière ;
b) Lorsque le responsable des traitements est membre d'un groupement d'intérêt économique
au sens du titre V du livre deuxième du code de commerce, le correspondant peut être désigné
parmi les personnes au service dudit groupement ;
c) Lorsque le responsable des traitements fait partie d'un organisme professionnel ou d'un
organisme regroupant des responsables de traitements d'un même secteur d'activités, il peut
désigner un correspondant mandaté à cette fin par cet organisme.
- CIL mutualisé : CIL salarié d’une entité juridique d’un groupe s’occupant de toutes les
entités. Pas de règle de seuil.
Cas pratique 1.
Mise en place du projet est-elle possible ? Les fichiers d’infractions sont interdits pour les
organismes privés. De manière générale fichier d’exclusion et d’interconnexion = mise en
œuvre compliquée. Enjeu sur l’info et consentement des clients edf. La collecte n’est pas
directe. Article 32 impose d’informer sur le destinataire du traitement.
Formalités : renforcée. Le traitement sera soumis à autorisation et n’étant pas pertinent risque
de ne pas l’obtenir. L’ONSS serait peut-être même soumise plutôt à l’avis.
Consentement : consentement que dans certains cas et pour la fraude la CNIL considère que
c’est incompatible avec la finalité. Même chose pour le droit d’opposition qui ne s’exerce pas
pour bénéficier de l’allocation.
Proportionnalité : variation du prix en fonction du revenu, race, temps passé sur wikipedia pas
forcément pertinent.
Une des obligations du CIL est la tenue du registre interne. Il faut y indiquer les formalités
déclaratives qui sont dispensées par la CNIL. Diverses formalités à accomplir auprès de la
CNIL.
Certains traitements sont considérés par la CNIL comme peu intrusifs et sont soumis à
formalités allégées : dispenses de déclarations, normes simplifiées. Si on respecte les NS, il
suffit pour le CIL de faire un engagement de conformité. Lorsqu’il n’y a pas de NS, relève de
la déclaration normale.
3
Méthodologie de recensement.
Il faut identifier les finalités de traitements pour l’inscription au registre.
Méthodologie de recensement :
- Déterminer si c’est une inscription au registre ou une formalité auprès de la CNIL
- Il faut déterminer pour chaque traitement le bon régime de déclaration car un cas de mauvais
choix cela équivaut à une absence de déclaration. Ex : société condamnée à 5000€ + affichage
public pour société ayant fait une NS48 pour gestion de relation client alors qu’il fallait une
autorisation (fichier d’exclusion) car ne répondait pas à tous les critères. Lorsqu’on fait une
déclaration on reçoit un récépissé mais pas une validation.
- le CIL doit se renseigner auprès des différents services et départements de la mise en œuvre
de traitements et faire en sorte de faire remonter l’info (mise en place de fiche de
recensement)
- le responsable de traitement doit apporter son aide au CIL. L’article 47 du décret de 2005
prévoit qu’il doit apporter au CIL tous les éléments nécessaires.
4
2. Mise en place du registre des traitements
b) Publicité du registre :
D’après l’article 22 LIL, le registre doit être accessible à toute personne qui en fait la
demande (copie). Le coût ne peut dépasser celui de la copie. Pas recommandé de le mettre à
disposition sur Internet. Aussi le contenu du registre n’est pas un outil de gestion de plan de
travail (identification de non-conformité, projet de traitements ne doivent pas figurer).
d) Contenu du registre.
Dans les trois mois de sa désignation, le correspondant à la protection des données à caractère
personnel dresse la liste mentionnée à l’article 47. La liste précise, pour chacun des
traitements automatisés :
1° Les nom et adresse du responsable du traitement et, le cas échéant, de son représentant ;
2° La ou les finalités de traitement ;
3° Le ou les services chargés de le mettre en oeuvre ;
4° La fonction de la personne ou le service auprès duquel s’exerce le droit d’accès et de
rectification ainsi que leurs coordonnées ;
5
5° Une description des catégories de données traitées, ainsi que les catégories de personnes
concernées par le traitement : clients, prospects…
6° Les destinataires ou catégories de destinataires habilités à recevoir communication des
données ;
7° La durée de conservation des données traitées.
La liste est actualisée en cas de modification substantielle des traitements en cause. Elle
comporte la date et l’objet de ces mises à jour au cours des trois dernières années.
Le correspondant tient la liste à la disposition de toute personne qui en fait la demande.
Une copie de la liste est délivrée à l’intéressé à sa demande. Le responsable des traitements
peut subordonner la délivrance de cette copie au paiement d’une somme qui ne peut excéder
le coût de la reproduction.
Lorsque la liste ne recense pas la totalité des traitements mis en oeuvre par le responsable, elle
mentionne que d’autres traitements relevant du même responsable figurent sur la liste
nationale mise à la disposition du public en application de l’article 31 de la loi du 6 janvier
1978 susvisée.
Exemple de fiches :
6
7
Pour l’établissement de la fiche, toujours suivre les recommandations de la CNIL par exemple
pour la durée de conservation des données.
Il faut limiter l’accès au registre mais pouvoir en permettre l’accès à toute personne et donner
accès à une fiche type à un responsable opérationnel avec un mode d’emploi sur les données
personnelles. Il faut reporter aux opérationnels et au RT les possibles non-conformité lors de
l’établissement de fiches (non proportionnalité, données sensibles etc).
Traitement hors registre. Concerne les autorisations ou avis. Ex : traitement de gestion des
incivilités : clients mécontents avec violence verbale / physique soumis à autorisation car peut
exclure une personne d’un bien ou d’un service et potentiellement données d’infraction. Les
délibération autorisant certains traitement sont accessibles su legifrance.
La CNIL vient d’établir une AU pour la gestion des contentieux.
Rôle du CIL dans la préparation et le suivi de ces autorisations varie selon la désignation.
Elles peuvent être faites par télé déclaration ou papier (formulaire CERFA).
8
CAS PRATIQUES SOPHIE REVOL :
Qui est responsable de traitement ? Le groupe allemand ou la société française ? C’est celui
qui en détermine les moyens et finalités. C’est la maison mère allemande qui a priori est
responsable (à l’initiative du traitement qui l’impose en France) mais la doctrine de la CNIL
et du G29 estime qu’il faut déterminer au cas par cas selon certains critères (appréciation in
concreto). En l’espèce, l’Allemagne est décideur mais cela concerne les français et dans l’avis
1-2010 / WP169 du G29 sur les notions de sous-traitants et responsable de traitement la nature
de responsable de traitement peut venir de la nature du contrôle notamment concernant les
salariés. On peut donc considérer en l’espèce que le responsable de traitement est plutôt
l’entité française.
C’est l’article 22-III qui prévoit l’indépendance du CIL par rapport à ses obligations. Le
décret de 2005 au articles 40 et suivants dédiés au CIL précisent qu’il ne reçoit aucune
instruction pour l’exercice de sa mission (article 46). Le CIL doit agir et exercer sa mission de
façon indépendante et autonome mais il n’est pas précisé dans les textes comment cette
indépendance est assurée. Ce vide juridique a eu pour effet pour le responsable de traitement
de voir le CIL comme un électron libre. Inversement ne rassure pas le CIL qui n’a pas
d’instruction et engage sa responsabilité. Mais il y a des éléments permettant de délimiter
l’indépendance.
Lorsque plus de cinquante personnes sont chargées de la mise en oeuvre ou ont directement
accès aux traitements ou catégories de traitements automatisés pour lesquels le responsable
entend désigner un correspondant à la protection des données à caractère personnel, seul peut
être désigné un correspondant exclusivement attaché au service de la personne, de l'autorité
publique ou de l'organisme, ou appartenant au service, qui met en oeuvre ces traitements.
a) Lorsque le responsable des traitements est une société qui contrôle ou qui est contrôlée au
sens de l'article L. 233-3 du code de commerce, le correspondant peut être désigné parmi les
personnes au service de la société qui contrôle, ou de l'une des sociétés contrôlées par cette
dernière ;
b) Lorsque le responsable des traitements est membre d'un groupement d'intérêt économique
au sens du titre V du livre deuxième du code de commerce, le correspondant peut être désigné
parmi les personnes au service dudit groupement ;
c) Lorsque le responsable des traitements fait partie d'un organisme professionnel ou d'un
organisme regroupant des responsables de traitements d'un même secteur d'activités, il peut
désigner un correspondant mandaté à cette fin par cet organisme.
- Article 22 LIL : « Le CIL ne peut faire l’objet d’aucune sanction de la part
de l’employeur du fait de l’accomplissement de ses missions. »
- Article 46 décret du 20 octobre 2005
- Sanctions pénales : article 226-16 et suivants du code pénal =
responsabilité pénale à la charge du RT. 5 ans d’emprisonnement et
300 000€ d’amende pour non respect des formalités et 1,5M€ pour une
PM. Article 226-20 : conserver des données personnelles au-delà de la
durée prévue est puni de cinq ans d'emprisonnement et de 300 000 euros
d'amende, sauf si cette conservation est effectuée à des fins historiques,
statistiques ou scientifiques dans les conditions prévues par la lo. Le fait
de procéder à un traitement sans l’autorisation notamment pour de la
prospection commerciale est également puni. De façon générale 5 ANS DE
PRISON ET 300 000€ D’AMENDE pour non-respect des obligations.
11
- Le CIL peut-il être coupable des mêmes infractions ? NON en tant
qu’auteur principal. Rappelé dans « la responsabilité du CIL et la
délégation de pouvoir » CNIL.
Toutefois, il convient de préciser que la désignation d'un CIL ne saurait constituer une
délégation de pouvoir de la part du responsable des traitements vers le correspondant. En
effet, même si la désignation apparait satisfaire plusieurs des exigences précitées, il est
important de souligner qu'un des critères cumulatifs n'est pas rempli. Le CIL n'a pas de
pouvoir d'autorité et n'est pas en mesure de faire appliquer la réglementation «informatique et
libertés». Il ne dispose pas de pouvoir d'interdire ou de pouvoir disciplinaire. Il s'agit d'un
point essentiel qui ne permet pas, à lui seul, de considérer que les conditions de la délégation
de pouvoir sont réunies
Le CIL ne peut voir sa responsabilité engagé sauf s’il est complice de la commission
d’infraction au sens de l’article article 121-7 Code pénal. La simple désignation du CIL
n’est pas une délégation de pouvoir. Deux types de complicité sont à étudier, la
complicité active et la complicité dite «passive».
Il doit être souligné d’une part, que la complicité d’un délit est punissable même si le
texte d’incrimination ne le précise pas; d’autre part, qu’en vertu de la
jurisprudence,seule la complicité matérialisée par un acte positif (antérieur,
12
concomitant, voire postérieur à l’action délictueuse) est de nature à engagée la
responsabilité pénale de la personne
3La complicité active est le fait, pour le correspondant, d’inciter, d’aiderou d’assister
intentionnellement le responsable des traitements à enfreindre la législation
«informatique et libertés».Dans un tel contexte, la responsabilité pénale du CIL serait
très certainement retenue.
Quand bien même la preuve serait faite que le CIL a manqué en connaissance de cause à
ses obligations, cela ne suffirait pas juridiquement à engager sa responsabilité
pénaledevant les tribunaux. En revanche, la procédure de décharge prévue à l’article 52
du décret de 2005 devrait être initiée.
Il faut souligner qu’elle n’est pas spécifique au statut du CIL. La solution serait
identique si un salarié non CIL enfreint une disposition de la loi «informatique et
libertés»pénalement sanctionnable. Celui-ci serait susceptible d’engager sa
responsabilité pénale et civile.
Ce n’est pas le CIL qui doit signer les demandes d’autorisations et documents mais le
RT.
Cass. Crim. 14 mars 2006 : entreprise condamnée à 3000€ d’amende sur 226-18 Code
pénale. Elle aspirait des adresses mail sur internet pour faire de la prospection commerciale =
traitement frauduleux car collecte déloyale et illicite.
13
du salarié (non respect d’obligations de discrétion et loyauté, du règlement
intérieur ou notes de service interne etc).
Important de déterminer les fonctions confiées au CIL dans une lettre de mission
Parmi ses pouvoirs la CNIL peut prendre des sanctions financières à l’encontre des RT mais
elles ne sont pas prononcées à l’encontre du CIL. Pour l’instant c’est 150 000€ en cas de
manquement 300 000€ en cas de récidive. Va changer avec le nouveau règlement européen.
Elle peut également faire des avertissements publics. Avant sanction elle met en demeure de
remédier au manquement.
Exemples : CNIL, 7 aout 2014. Avertissement public pour Orange qui avait confié à un sous-
traitant une mission de prospection commerciale mais problème de sécurité et confidentialité
des données (coresponsabilité).
Autre cas avec Optical Center dont un téléconseiller a donné directement à une cliente par
téléphone son mp pour compte OC. 50 000€ d’amende avec publicité de la décision.
L’absence de conflit d’intérêt entre la fonction du CIL et d’autres fonctions qu’il exerce en
parallèle est une garantie de son indépendance. Article 46 du décret 2005 prévoit que :
La doctrine de la CNIL est limitée à ce sujet mais les IRP par exemple ne peuvent pas être
CIL. Appréciation au cas par cas. Situations visées :
Cas pratiques :
c) information : article 32 LIL. Chaque individu dont on traite les données doit être informé
du traitement. Peut être fait par tout moyen mais mieux par écrit. Peut être dans le mail,
affichage, mention sur le badge
d) conservation : la durée de conservation des données (article 6.5 LIL) ne peut être que celle
adéquate à l’objectif poursuivi. Au cas par cas donc. Discussion avec les opérationnels.
3 modalités de désignation :
- sur le site internet de la CNIL
- par lettre remis contre signature avec le formulaire
- à l’accueil de la CNIL contre reçu
En cas de télédéclaration le CIL ne fait que cocher une case pour consentir donc penser à
avoir une lettre tout de même pour prévenir tout contentieux.
Procédure administrative très encadrée avec la CNIL. Article 22-3 LIL et 52 à 55 du décret de
2005.
17
Différents cas de fins de fonctions :
- Hypothèse du manquement du RT
o Cas visé à l’article 55 du décret de 2005 : la CNIL enjoint le RT de
procéder aux formalités de l’article 23 et 24 LIL.
o Sanctions administratives possibles du RT par la CNIL
o Pas de conséquences pour le CIL
o Absence de précédents.
Existe une norme simplifiée 51 sur la géolocalisation qui détermine les conditions. Si la
finalité est détournée, plus possible de l’utiliser. Ne peut empêcher le respect de la vie privée
et pas de contrôle permanent. Possibilité pour le salarié de se désactiver. De plus information
du salarié (destinataires, droits d’accès, rectification, oppositions, transferts etc). La CNIL
rappelle également que pour suivre ses propres données c’est possible si accès par login. Il
faudrait également s’assurer que les données ne sont pas conservées ad vitam eternam. La
NS51 prévoit une durée de 2 mois. Peut être conservée 1 an dans certains cas, 5 ans pour le
suivi du temps de travail.
Pour constater un manquement abusif (luttre contre la fraude) c’est soumis à autorisation. Le
dossier risque de ne pas passer à la CNIL car contrôle au moment de la pause déjeuner.
Possible de préciser dans la charte les conditions de stockage et les cas d’accès aux fichiers
considérés comme professionnels. Ce n’est pas parce que le fichier est identifié comme
personnel qu’on ne peut pas y accéder : c’est possible en présence du collaborateur et cas
d’évènement particuliers (sécurité) hors présence du salarié. Concernant la suppression :
bonne pratique de prévenir dans la charte informatique qu’au départ du collaborateur il est
demandé de supprimer les fichiers mails et dans le disque dur et si ce n’est pas fait dans un
délai raisonnable l’employeur supprimera les données. Du moment qu’il y a information,
annexation de la charte au règlement intérieur passé au CE ce qui la rend opposable c’est bon.
19
Séance 5 :
1) La prospection téléphonique.
Opt-out : le fait d’appeler des personnes pour du prospect est légal à partir du moment où les
données ont été collectées loyalement. Appeler des personnes grâce au botin est illégal car ce
n’est pas une collecte directe. Il faut vérifier que :
Loi Hamon du 17 mars 2014 pose 2 nouvelles règles en matière de prospection commerciale :
La prospection par téléphone (télémarketing) est possible à condition que la personne soit,
au moment de la collecte de son numéro de téléphone :
Législation applicable
20
informée de leur utilisation à des fins de prospection,
Législation applicable
Sanctions
dans le cas de l’utilisation des coordonnées des personnes inscrites sur la « Liste Orange », à
partir des annuaires téléphoniques. Contravention de la 4e classe prévue par l’article R.10-1
alinéa 1 du Code des Postes et des communications électroniques.
Sanction prononcée par la CNIL, prévue par l'article 47 de la loi informatique et libertés
modifiée
En application de règles issues d’une directive européenne 2009-136 e-privacy 2002 modifiée
le 25 novembre 2009. Concerne l’email et le SMS. On est parfois dans l’opt-in, parfois dans
l’opt-out.
Dans ces deux cas, la personne doit, au moment de la collecte de son adresse de messagerie
être informée que son adresse électronique sera utilisée à des fins de prospection,
être en mesure de s’opposer à cette utilisation de manière simple et gratuite.
être informée que son adresse électronique sera utilisée à des fins de prospection,
être en mesure de s’opposer à cette utilisation de manière simple et gratuite.
La CNIL recommande que le consentement préalable ou le droit d'opposition soit recueilli par
le biais d’une case à cocher. L'utilisation d'une case pré-cochée est à proscrire car contraire à
la loi.
Sanctions
Contravention de la 4e classe prévue par l’article R.10-1 du code des postes et des
communications électroniques
22
5 ans emprisonnement et 300 000 € amende
La publicité par SMS / MMS est possible à condition que les personnes aient explicitement
donné leur accord pour être démarchées, au moment de la collecte de leur numéro de
téléphone portable.
Dans ces deux cas, la personne doit, au moment de la collecte de son numéro de téléphone,
être informée que son numéro de téléphone portable sera utilisé à des fins de
prospection,
La CNIL recommande que le consentement préalable ou le droit d'opposition soit recueilli par
le biais d’une case à cocher. Le fait de pré-cocher la case par défaut est contraire à la loi. Le
spam correspond au non respect des règles d’opt-in.
5) Marketing ciblé
Utilisation de cookies pour connaître le consommateur et lui proposer des publicités. Encore
plus intrusif mais toujours même question. Revient à savoir si on est dans l’opt-in ou l’opt-
out. Par principe c’est de l’opt-in. Depuis directive de 2009 le marketing est soumis au
consentement préalable de la personne concernée. La LIL a été modifiée à l’article 32-II sur
l’information (transposition directive par ordonnance de 2011) :
:
23
- de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des
informations déjà stockées dans son équipement terminal de communications électroniques,
ou à inscrire des informations dans cet équipement ;
- des moyens dont il dispose pour s'y opposer. (Dans quel menu/options pour tel navigateur ou
case à cocher pour les cookies d’opt out permettant de ne plus recevoir de marketing ciblé)
Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne
utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de
paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous
son contrôle
(= PRINCIPE DE l’OPT IN : mais on parle d’accord pas de consentement, c’est une erreur
de transposition. A eu pour conséquence pour les sites de profiter de cet allègement. Aucun
site n’est véritablement passé à l’opt in même si c’est bien un régime d’opt in). La CNIL et
ses homologues ont constaté le problème. Pas de sanctions prises en raison de l’enjeu
économique mais jeu sur la notion d’accord pour dire que les entreprises sont limitées et ce
que la CNIL demande est un entre deux entre l’opt in et l’opt out. Recommandation du 5
décembre 2013 de la CNIL qui explique que dans certain cas l’accord est présumé.
Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans
l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement
terminal de l'utilisateur :
Article 1 : compte tenu des risques qu'ils entraînent sur la vie privée, les cookies nécessitant
une information et un consentement préalables de l'internaute sont notamment :
― les cookies liés aux opérations relatives à la publicité ciblée ;
― les cookies de mesure d'audience (à l'exclusion de ceux définis à l'article 6 de la présente
recommandation) ;
― les cookies traceurs de réseaux sociaux générés par les « boutons de partage de réseaux
sociaux ».
A l'inverse, certains cookies peuvent être déposés ou lus sans recueillir le consentement des
personnes. Ce sont :
― les cookies ayant pour finalité exclusive de permettre ou de faciliter la communication par
voie électronique ;
― les cookies strictement nécessaires à la fourniture d'un service expressément demandé par
l'utilisateur ;
― les cookies de mesure d'audience définis à l'article 6 de la présente recommandation.
Exemples : cookies d’identifiant de session, de panier d’achat, les cookies de sécurité, les
cookies utilisés à des fins techniques et non commerciales
24
L'internaute qui se rend sur le site d'un éditeur (page d'accueil ou page secondaire du site)
doit être informé, par l'apparition d'un bandeau :
― des finalités précises des cookies utilisés ;
― de la possibilité de s'opposer à ces cookies et de changer les paramètres en cliquant sur un
lien présent dans le bandeau ;
― du fait que la poursuite de sa navigation vaut accord au dépôt de cookies sur son terminal.
Dans la mesure où le consentement ne doit pas être ambigu, ce bandeau ne doit pas
disparaître tant que la personne n'a pas poursuivi sa navigation, c'est-à-dire tant qu'elle ne
s'est pas rendue sur une autre page du site ou n'a pas cliqué sur un élément du site (image,
lien, bouton « rechercher »).
Article 6 : Un éditeur a besoin de mesurer l'audience de son site internet ou de son
application. Des cookies sont fréquemment utilisés pour cette finalité et ces dispositifs
peuvent, dans certains cas, être strictement nécessaires au service demandé par l'utilisateur et
ainsi être exemptés du recueil du consentement. En effet, les statistiques de fréquentation
permettent notamment aux éditeurs de détecter des problèmes de navigation dans leur site ou
leur application ou encore d'organiser certains contenus.
Dès lors, la commission recommande que, pour pouvoir bénéficier de cette exemption au
recueil du consentement, de tels traitements doivent respecter les conditions suivantes :
― la personne doit être informée ;
― elle doit disposer d'une faculté de s'y opposer par l'intermédiaire d'un mécanisme
d'opposition facilement utilisable sur l'ensemble des terminaux, des systèmes d'exploitation,
des applications et des navigateurs internet. Aucune information relative aux personnes ayant
décidé d'exercer leur droit d'opposition ne doit être collectée et transmise à l'éditeur de l'outil
d'analyse de fréquentation ;
― la finalité du dispositif doit être limitée à la mesure d'audience du contenu visualisé afin de
permettre une évaluation des contenus publiés et de l'ergonomie du site ou de l'application.
Les données collectées ne doivent pas être recoupées avec d'autres traitements (fichiers clients
ou statistiques de fréquentation d'autres sites, par exemple). L'utilisation du cookie déposé
doit également être strictement cantonnée à la production de statistiques anonymes. Sa portée
doit être limitée à un seul éditeur et ne doit pas permettre le suivi de la navigation de la
personne utilisant différentes applications ou naviguant sur différents sites internet ;
― l'utilisation de l'adresse IP pour géolocaliser l'internaute ne doit pas fournir une
information plus précise que la ville. Cette adresse IP doit également être supprimée ou
anonymisée une fois la géolocalisation effectuée, pour éviter toute autre utilisation de cette
donnée personnelle ou tout recoupement avec d'autres informations personnelles ;
― s'agissant des cookies, ils ne doivent pas avoir une durée de vie excédant treize mois et
cette durée ne doit pas être prorogée automatiquement lors des nouvelles visites. Les
informations collectées par l'intermédiaire des cookies doivent être conservées pendant une
durée de treize mois maximum.
25
Le rôle de la CNIL, les sanctions et les contentieux.
6000 plaintes à la CNIL par an, 550 contrôles, 38% qui viennent de plaintes, 70 mises en
demeure, 15 sanctions par an.
La CNIL peut s’auto-saisir. Le recueil des plaintes se fait majoritairement par dénonciation
(services RH, beaucoup en matière de surveillance). Il y a un service dédié avec une
téléprocédure. Les plaintes concernent le non-respects des droits et des obligations.
Le service des plaintes. Les agents sont sectorisés par thématique. L’agent prend la décision
de faire une sorte de médiation/conciliation et dans les cas graves préfère de faire un contrôle
sans écrire au responsable de traitement. Voir délibération 2013-175 CNIL
Article 47 D2013-175 : Est considérée comme une plainte toute demande formée par une
personne physique ou morale identifiée relative à des faits susceptibles d'être contraires aux
textes dont l'application est confiée à la commission. Les plaintes sont instruites par les
services de la commission
Article 48
Modalités de saisine : La commission peut être saisie par voie postale ou électronique. Le
plaignant indique son nom et ses coordonnées sur la plainte.
Article 50
Echanges entre la commission et le responsable de traitement
L'objet de la plainte est communiqué au responsable du traitement mis en cause ou, le cas
échéant, au correspondant, afin que celui-ci fournisse toutes les explications utiles. Ces
échanges peuvent avoir lieu par tout moyen.
Par dérogation à l'alinéa précédent, l'objet de la plainte peut ne pas être communiqué au
responsable de traitement si la commission estime nécessaire de procéder à un contrôle sur
place pour constater directement les faits rapportés.
Le prénom, le nom, la qualité et l'adresse administratives de l'agent chargé d'instruire la
plainte sont indiqués au responsable de traitement, à moins que des motifs intéressant sa
sécurité s'y opposent.
L'identité du plaignant n'est pas communiquée au responsable de traitement, à moins qu'elle
soit indispensable au traitement de la plainte. (
Tout courrier adressé au responsable de traitement mentionne le délai dans lequel le
responsable de traitement est appelé à y répondre.
Intéressant donc de demander à la délégation CNIL s’ils viennent sur plainte ou contrôle
inopiné pour savoir la délimitation du contrôle.
26
Les contrôles. 40 contrôles en 2004, 450 en 2012, 550 en 2015. Nouveau pouvoir en matière
de vidéo-protection (lieux ouverts au publics (loi de 1995) : la CNIL peut contrôler ces
dispositifs et faire des MED sans pouvoir la rendre public et pas de sanctions) et vidéo-
surveillance (lieux privés (LIL) :possibilité de contrôle, MED, sanctions)
La CNIL publie un rapport sur les grandes thématiques de contrôle annuel. 4 types de
contrôles :
Contrôle dure environ 1-2 jours. 1 PV par jour de contrôle. Il faut choisir un responsable des
lieux qui peut rester jusqu’au bout. Les agents donnent l’ordre de mission et la décision de
contrôle de la CNIL.
La CNIL prend des copies des BDD. Le PV est signé par le responsable des lieux. Il est
possible d’y faire des observations. Le responsable de traitement le reçoit dans les 8 jours.
Les contrôles sous forme d’audition ont lorsque le lieu de traitement est un domicile privé ou
après un contrôle sur place. Le responsable est prévu 8 jours avant par LRAR ou porteur
contre signature. Le responsable peut se faire assister/conseiller. Le PV est signé par le
responsable de traitement et un double lui est remis.
1. La mise en demeure
Il faut une MED pour faire une injonction, retrait d’autorisation ou sanction pécuniaire
Il existe ensuite des procédures d’urgence prévues à l’article 45 LIL. Très rare !
MED sont prononcées par la Présidente. Les sanction par la formation restreinte. Les
avertissements publics sont prononcés par le bureau de la CNIL (président + 2 vices
présidents). Il y a donc dans ce cas une décision de présidente pour la MED puis une décision
du bureau si elle souhaite la rendre publique.
27
Pour prononcer une MED il faut un manquement continu ! Par contre un avertissement peut
avoir lieu sur fait passés ou continus.
Doit avoir lieu dans les 3 mois. Il faut des preuves de l’avancée de l’instruction. Peut être
prorogé une fois. Suite de l’instruction :
3. Le rapport de sanction
La présidente de la CNIL désigne un rapporteur parmi ses commissaires. Le rapport peut faire
des auditions des représentants des organismes. Le rapport mentionne les faits, les
manquements, les propositions de sanctions (sanction pécuniaire ou injonction de cesser le
traitement). Le rapporteur est forcément un membre de la plénière qui ne siège pas à la
restreinte. Les sanctions sont à l’article 45 et suivants de la LIL, 73 et suivants du décret et
voir également le RI. Attention : la mise en demeure a cristallisé la liste des manquements
qui ne peut être allongée par la suite.
Les audiences sont publiques. Le responsable peut demander le huis-clos dans deux cas :
secret des affaires ou risque de menace à l’ordre public.
AVERTISSEMENTS = faits passés ou faits continus. Dans le cas de faits passés on ne peut
prononcer d’un avertissement sans mise en demeure ni avant ni après. Dans le cas de faits
continus on peut prononcer avertissements + MED mais seulement après. (article 73 du
décret)
Cas pratique : 5 à 10- (12) pages (grand) maximum ( !). Date de dépôt : 4 juillet maximum.
Première préparation avant le 27 avril pour poser des questions à Sophie Revol si besoin.
1) Note de service servant à informer sur les droits et devoirs des contrôles de la
CNIL, pour ne pas faire d’impair et protéger ses droits. Les personnes qui font
des contrôles à la CNIL il y a des choses à vérifier (badge bleu blanc rouge) et
préciser les recos pour savoir comment ça doit se passer (briefer les équipes, la
standardiste), définir son propre rôle en tant que CIL (sachant qu’en tant que
28
groupe bancaire il peut y avoir un contrôle à Créteil alors que je suis à Paris),
prévoir la suite des contrôles, construire un plan ergonomique pour qu’il soit lu
par les collaborateurs. La CNIL fait des contrôles inopinés mais parfois elle
prévient la veille à 17h donc suppose que le CIL prévoie au moins 2 jours libre
par la suite. Il faut aussi désigner un responsable des lieux qui restera dans les
locaux. Penser à vérifier les recos des banques car thèmes possibles de
contrôle.voir fiche 16 et 17 du guide CIL. Regarder le programme de contrôle
2015.
2) Gestion d’un contentieux : réception d’une MED, rédiger une lettre de réponse.
Suppose de connaitre à quelle stade de la lettre de sanction on se trouve. Eviter
la poursuite de la procédure de sanction.
3) Rédaction d’une consultation juridique : le cil doit faire des reco ponctuelle,
sur des projets, des incidents. Réponse à une faille de sécurité (plus compliqué
et technique !). Concerne les obligations de sécurités et les règles en matière de
notification de failles de sécurité et savoir si elles s’appliquent et comment. SI
s’applique pas n’est il pas utile de s’en inspirer. Il faudra aller voir les reco de
la CNIL en matière de sécurité informatique (guides) Rappeler les règles,
évaluer les risques, déterminer les actions à court et moyens termes et proposer
des bonnes pratiques en matière de projet informatique.
4) Rédiger un plan d’audit c-a-d une méthodologie d’audit avec un budget limité
(40 000€) Comment cet audit est mis en place. Qui fait l’audit, un prestataire ?
qu’est-ce qui est audité ? Les thèmes, les lieux d’audit. Regarder la doctrine de
la CNIL en matière de banque. Préciser les intervenants, décrire la démarche
d’audit. Construire un référentiel.
Ex : audit des zones blocs notes. Regarder la doctrine de la CNIL, dégager les
pratiques. Si sujets sur la biométrie, vérifier les éléments juridiques, points de
contrôle de la CNIL pour autoriser un traitement.
5) Sujet en lien avec la mise en place du règlement européen. Note sur ce qui
devra être fait pour se mettre en conformité au niveau européen. Sujet doit être
validé.
Séances 7
Article 49 : Le correspondant veille au respect des obligations prévues par la loi du 6 janvier
1978 susvisée pour les traitements au titre desquels il a été désigné.
Il est consulté, préalablement à leur mise en oeuvre, sur l'ensemble des nouveaux traitements
appelés à figurer sur la liste prévue par l'article 47.
29
Il reçoit les demandes et les réclamations des personnes intéressées relatives aux traitements
figurant sur la liste prévue par l'article 47. Lorsqu'elles ne relèvent pas de sa responsabilité, il
les transmet au responsable des traitements et en avise les intéressés.
Il informe le responsable des traitements des manquements constatés avant toute saisine de la
Commission nationale de l'informatique et des libertés.
Il établit un bilan annuel de ses activités qu'il présente au responsable des traitements et qu'il
tient à la disposition de la commission.
Attention aux conflits d’intérêts par exemple un CIL informaticien est en conflit d’intérêt et
toute sa documentation est entachée de nullité.
Le Bilan annuel
Article 49 du décret prévoit que le CIL fait un bilan annuel de ses activités présenté au
responsable de traitement et qu’il tient à disposition de la CNIL. Le CIL le tient à disposition
de la CNIL. Il la communique que si la CNIL le demande.
La loi ne prévoit pas de périodicité, de forme ni de fond, sur la contenu du rapport annuel. La
CADA a rappelé que la bilan annuel est un document administratif. Document de
communication et de valorisation mais ne listant pas les difficultés.Organisation du bilan :
La feuille de route correspond à l’agenda des missions du CIL à court terme ( 3 mois, 6 mois,
1 an) et les moyens mis en œuvre (voir document).
3) Ce qui change
a) à l'offre de biens ou de services à ces personnes concernées dans l'Union (onéreux ou
non); ou
a) les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été
collectées ou traitées d'une autre manière;
32
b) la personne concernée retire le consentement sur lequel est fondé le traitement,
conformément à l'article
e) les données doivent être effacées pour respecter une obligation légale qui est prévue par le
droit de l'Union ou la législation d'un État membre et àlaquelle le responsable du traitement
est soumis;
f) les données ont été collectées dans le cadre de l'offre de services de la société de
l'information visée à l'article8, paragraphe1.
Définition de la donnée de santé : aujourd’hui elle n’est pas définie dans la LIL. C’est la
CNIL qui détermine et c’est très liée à une pathologie précise. Ex : je porte des lunettes n’est
pas une donnée de santé, j’ai été vaccinée, mais par contre je suis atteinte de telle maladie oui.
Le règlement définit désormais de façon plus large : « les données à caractère personnel
relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de
services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne »
- Article 24 : la personne concernée peut exercer les droits que lui confère le règlement à
l’égard de tout responsable de traitement. Vis-à-vis des personnes fichées tous les
responsables seront tenus d’exercer les droits.
Aujourd’hui il suffit de prouver que c’est proportionné alors que maintenant il faut collecter le
minimum.
33
Article 5.2 PCP d’ACCOUNTABILITY : Le responsable du traitement est responsable du
respect des dispositions figurant au paragraphe1 et est en mesure de démontrer que ces
dispositions sont respectées (responsabilité) = Il faut documenter sa conformité. Lié au fait
que les formalités sont supprimées.
Article 23 : principe de protection des données dès la conception et protection des données par
défaut par des mesures techniques et organisationnelles adaptées.
Article 9 : données interdites. Il y a de nouvelles données parmi les données sensibles :
données génétiques et biométriques. Il y a également de nouvelles exceptions : en matière de
droit du travail, dans certains cas on peut collecter des données sensibles notamment pour la
lutte contre la discrimination. A voir si le CC acceptera (discrimination positive). Aussi
exception si le traitement est nécessaire pour des motifs d'intérêt public dans le domaine de la
santé publique, tels que la protection contre les menaces transfrontières graves pesant sur la
santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et
des médicaments ou des dispositifs médicaux, sur la base du droit de l'Union ou de la
législation d'un État membre prévoyant des mesures appropriées et spécifiques en vue de
sauvegarder les droits et libertés de la personne concernée, notamment le secret
professionnel;
Exceptions en matière d’archivage dans l’intérêt publique.
Article 14 : information des personnes. La liste de l’article 32 LIL change complètement. Il
faut indiquer la base juridique du traitement (texte de loi ou intérêt légitime du responsable),
la durée de conservation ou les critères utilisés pour la déterminer, l'existence du droit de
demander au responsable du traitement l'accès aux données à caractère personnel relatives à la
personne concernée, la rectification ou l'effacement de celles-ci, ou une limitation de leur
traitement, ou du droitde s'opposer au traitement de ces données et du droit à la portabilité des
données, ; les pratiques de profilage.
Article 26 sur les sous-traitants. Les règles s’appliquent plus largement à eux. Pour l’instant
n’est pas responsable sauf pour la sécurité et confidentalité. Ils devront tenir un registre de
traitement et une extension de responsabilité mais pas autant que le responsable. Registre
accessible à la CNIL mais pas précisé si à toute personne. Le règlement précise que pour les
structures moins de 250 personnes pas besoin de registre sauf pour les traitement à risque.
Article 31 : obligation de notifier les failles de sécurité pour tous les responsable de
traitement.
Article 33 : analyse d’impact relative à la protection des données (PIA) : traitement pouvant
présenter un risque doivent faire l’objet d’une analyse d’impact. Notamment :
Article 34 : consultation préalable de l’autorité de contrôle. Pour les traitements soumis à
l’étude d’impact, le responsable de traitement devra consulter l’autorité de contrôle avant la
mise en œuvre du traitement. Avis de l’autorité de contrôle dans un délai de 4 mois, sauf dans
le secteur public. Dans ce dernier cas la législation des états membres peut demander à ce
qu’il y ait une autorisation de l’autorité dans le cadre d’une mission de service public y
compris pour le traitement des données dans le cadre de la protection social et de la santé
public.
Article 43 : La mise en place d’un BCR nécessite l’autorisation des autorités de contrôle. Ce
sera le seul cas en matière de transfert de données.
Article 51 bis : définition de l’autorité de contrôle chef de file pour les traitements pan-
européens : 1.l'autorité de contrôle de l'établissement principal ou de l'établissement unique du
responsable du traitement ou du sous-traitant est compétente pour agir en tant qu'autorité de
contrôle chef de file concernant le traitement transfrontière effectué par ce responsable du
traitement ou ce sous-traitant.
35
2. Par dérogation au paragraphe 1, chaque autorité de contrôle est compétente pour traiter une
réclamation introduite auprès d'elle ou une éventuelle infraction au présent règlement, si son
objet concerne uniquement un établissement dans son État membre ou affecte sensiblement
des personnes concernées dans son État membre uniquement. = intérêt de choisir un sous-
traitant dans le pays qui arrange
Par dérogation au paragraphe 1, chaque autorité de contrôle est compétente pour traiter une
réclamation introduite auprès d'elle ou une éventuelle infraction au présent règlement, si son
objet concerne uniquement un établissement dans son État membre ou affecte sensiblement
des personnes concernées dans son État membre uniquement. = on peut porter plainte dans
notre autorité de contrôle qui pourra faire des contrôle mais dès qu’il s’agit d’un traitement
transfrontière, la CNIL devra demander avis à l’autorité compétente avant de répondre à la
plainte.
Article 57 : Afin de contribuer à l'application cohérente du présent règlement dans l'ensemble
de l'Union, les autorités de contrôle coopèrent entre elles et, le cas échéant, avec la
Commission dans le cadre du mécanisme de contrôle de la cohérence établi dans la présente
section =consultation des autorités chef de file.
Article 58 : le Comité européen des données va remplacer le G29 et avoir un pouvoir
contraignant, émettre des avis notamment por harmoniser les décisions en matière de
traitement transfrontière. Elle va régler les litiges (58 bis)entre autorités locales. Il y aura un
représentant par autorité de contrôle et la gestion sera celle de la communauté européenne.
Article 86 : la Commission européenne pourra adopter des actes délégués (textes
d’application pour préciser le règlement)
a) le traitement est effectué par une autorité publique ou un organisme public, à l'exception
des tribunaux dans l'exercice de leur fonction juridictionnelle; ou
b) les activités de base du responsable du traitement ou du sous
-traitant consistent en opérations de traitement qui, du fait de leur nature, de leur portée et/ou
de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes
concernées; ou
c) les activités de base du responsable du traitement ou du sous-traitant consistent en un
traitement à grande échelle des catégories particulières de données visées à l'article 9 et des
données relatives aux condamnations ou aux infractions pénales visées à l'article 9 bis
36
Article 6.2 Traitements du secteur public le droit français pourra renforcer le dispositions du
règlement européen
Article 2 : le consentement aux données sensibles pourra être interdit (comme exception) au
niveau national
Article 9.5 : spécificités locale sur les données biométriques, génétiques et de santé.
CAS PRATIQUE :
2) on peut prévenir la CNIL des difficultés qu’on rencontre. Il faut identifier la conformité,
documenter l’identification et la transmettre au responsable de traitement pour se protéger.
Pas de transfert de responsabilité au CIL sauf complicité (absence au registre)
Note de procédure pour aiguiller les opérationnels sur la rétention de données. La durée de
conservation doit correspondre à la finalité du traitement. Le principe qui guide la collecte de
donnée est la proportionnalité. Ne pas oublier les mentions d’information (article 32 LIL)
connaître les éléments. Intéressant de mettre à disposition un glosier pour les opérationnels.
La durée de conservation n’est pas une mention obligatoire.
Les informations recueillies à partir de ce formulaire font l’objet d’un traitement informatique
destiné à :
[responsable_de_traitement]
37
Pour la ou les finalité(s) suivante(s) :
[finalites_du_traitement]
[destinataires_des_donnees]
Vous pouvez accèder aux informations vous concernant en vous adressant à :
[service_charge_du_droit_dacces]
Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données
vous concernant.
[responsable_de_traitement]
Nous vous informons que nous avons installé, dans les véhicules, un système permettant de
les localiser en temps réel.
[finalites_du_traitement]
Nous aurons connaissance de l’itinéraire que vous suivez ainsi que des arrêts que vous
effectuez.
Vous pouvez accèder aux informations vous concernant en vous adressant à :
[service_charge_du_droit_dacces]
Les informations enregistrées sont réservées à l’usage du (ou des) service(s) concerné(s) et ne
peuvent être communiquées qu’aux destinataires suivants :
[destinataires_des_donnees]
Certains de ces destinataires sont situés en dehors de l’Union Européenne, et en particulier les
destinataires suivants :
[pays_destinataire]
[donnees_transferees]
La transmission de ces données aux destinataires situés en dehors de l’Union Européenne est
destinée à :
[finalites_du_transfert]
Les garanties suivantes ont été prises pour s’assurer d’un niveau de protection suffisant des
données personnelles :
[type_de_garantie] [reference]
Vous pouvez accèder aux informations vous concernant en vous adressant à :
[service_charge_du_droit_dacces]
Les audits permettent de voir si la documentation / information permet de savoir si cela a été
efficace sur le terrain. Permet aussi de valoriser son travail auprès des opérationnels.
Déterminer le périmètre géographique et matériel. Nature des traitements audités, avec niveau
de risque fort. Entretien avec les directeurs pour identifier les opérationnels. Voir le label
audit de la CNIL. Délibération du 11 octobre 2012. Utile pour déterminer la check-list de
39
l’audit. Définition de l’audit, du périmètre. Dans le contrat de sous-traitant il faut prévoir une
clause pour permettre un audit + mention article 34 sur la sécurité /confidentialité.
L’opération de lancement de l’audit doit se faire dans le cadre de la lettre de mission, sinon il
faut l’accord du RT et des opérationnels.
Cas pratique :
40
2) Je suis une entreprise, j'ai trouvé sur un site d'une organisation d'entrepreneurs des
coordonnées d'entrepreneurs (nom, email, interlocuteur, téléphone..).
Je souhaite contacter chaque personne pour proposer mes services, je sais que je n'ai pas le
droit de créer un fichier selon ces données car ce serait une collecte déloyale.
Je décide donc de contacter ces personnes sans créer un fichier et en direct : j'appel les
contact 1 par 1 sans traiter les données (sauf dans le cas ou j'obtient une vente et dans ce cas
je précise au client que je l'enregistre dans mon fichier qui lui sera déclaré à la CNIL).
Article 32 : l’enregistrement des données suppose information sur comment cela a été
collecté. Ce sont des données publiques. La finalité est-elle la même que celle pour laquelle
elle a été collectée donc peut avoir un détournement de finalité. Voir exception de l’article 13
de la loi CADA.
41