Focus sur les contrôles sur audition par la Cnil

contrôles sur auditionLes contrôles sur audition sont l’une des formes de contrôle que peut exercer la Cnil avec les contrôles sur place, en ligne et sur pièces. 

Bien qu’encore peu usité, la tendance semble être à l’augmentation de cette pratique. En 2018, 4 des 310 contrôles effectués étaient des contrôles sur audition contre 18 sur 300 en 2019. Le régime des contrôles exercés par la Cnil prend assise à l’article 19 de la loi Informatique et libertés.

En outre, la Cnil a publié une Charte des contrôles de la Cnil (CCC) afin de préciser le déroulement et les suites non seulement des contrôles sur audition, mais quelle qu’en soit leur forme, ainsi que les principes de bonne conduite à suivre dans ce cadre.

Le déroulement des contrôles sur audition

Les représentants de l’organisme responsable de traitement (ou du sous-traitant) sont convoqués par courrier pour être entendus dans les locaux de la Cnil. La convocation est adressée à la personne auditionnée au moins huit jours avant le contrôle. Elle est informée de son droit d’être représentée par le conseil de son choix.

La convocation devra également mentionner : l’objet, la date, l’heure et le lieu de l’audition. Si les besoins du contrôle l’exigent, la convocation peut indiquer le matériel et la documentation nécessaires à l’audition.

Avant de débuter l’audition, les agents de la Cnil responsables du contrôle communiquent certaines informations au responsable de traitement :

  • l’identité et la qualité des agents de la délégation ;
  • la copie de la décision de contrôle de la présidente de la Cnil ;
  • l’objet du contrôle ;
  • la copie de l’ordre de mission désignant les agents de la Cnil compétents (CCC – page 14).

Par la suite, des entretiens des contrôles sur audition sont menés pour recueillir les informations nécessaires ; en particulier sur l’organisme contrôlé et sur les traitements mis en œuvre. Ces informations concernent par exemple, l’activité, la forme sociale, le fonctionnement des systèmes informatiques, les modalités de traitement, etc.

À cette occasion, le responsable de traitement pourra communiquer les informations et les documents pertinents dans le cadre du contrôle. « Ils peuvent recueillir, notamment sur place ou sur convocation, tout renseignement et toute justification utiles et nécessaires à l’accomplissement de leur mission » (art. 19, III, Loi I&L et art. L.253-3 du CSI). La délégation de la Cnil va alors procéder à l’examen de la conformité du traitement à la loi informatique et libertés et au RGPD.

À l’issue des contrôles sur audition

Enfin, à la fin du contrôle, un procès-verbal est établi. « Il est dressé procès-verbal des vérifications et visites menées en application du présent article. Ce procès-verbal est dressé contradictoirement lorsque les vérifications et visites sont effectuées sur place ou sur convocation » (art. 19, III, Loi I&L).

Ce dernier doit relater de manière factuelle les pièces et informations communiquées aux agents de la Cnil, avec leurs observations.

En outre, il peut mentionner : l’identité et la qualité des personnes auditionnées, les demandes de communication de pièces et leurs délais.

Ensuite, le représentant contrôlé doit lire et signer le PV du contrôle sur audition. Les agents de la Cnil le contresigne. Des observations écrites peuvent être faites et une copie du PV est remise au responsable de traitement.

Les précautions sanitaires nécessaires à la lutte contre la Covid-19 ont marqué l’année 2020. Les incertitudes quant à la sortie de cette crise laissent à penser que le nombre de contrôles sur audition, ainsi que les contrôles en ligne, vont augmenter en 2021.

Virginie Bensoussan Brulé
Marion Catier
Barthélémy Busse
Lexing Contentieux numérique




Comment se déroulent les contrôles de la Cnil ?

contrôles de la Cnil Les contrôles de la Cnil peuvent être effectués auprès de tout organisme public ou privé traitant des données personnelles. 

Ces investigations permettent à la Cnil de vérifier que les données sont traitées par l’organisme en conformité avec la réglementation applicable en matière de protection des données personnelles, et de le sanctionner en cas de non-conformité.

En septembre 2020, la Cnil a publié une Charte des contrôles afin d’assurer une plus grande transparence de cette activité et le bon déroulement de ses missions.

Les pouvoirs de contrôle de la Cnil

Les contrôles de la Cnil sont particulièrement encadrés.

Les missions de contrôle de la Cnil sont ainsi déclenchées sur décision de la Présidente de la Cnil à la suite d’une réclamation ou d’un signalement, d’une alerte parue dans la presse, ou de sa propre initiative.

Avant le début de la mission, la délégation notifie à l’organisme la décision de la Présidente de la Cnil.

Les contrôles de la Cnil peuvent être réalisés :

  • sur place (directement au sein des locaux d’un responsable de traitement ou d’un sous-traitant) ;
  • sur convocation (un courrier est adressé au responsable de traitement ou au sous-traitant afin que des représentants de l’organisme se présentent, à une date donnée, dans les locaux de la Cnil) ;
  • en ligne (la Cnil consulte des données librement accessibles ou rendues accessibles directement en ligne à partir d’un service de communication au public en ligne) ;
  • sur pièces (l’organisme visé par le contrôle doit communiquer à la Cnil ses réponses à un questionnaire adressé par elle, dans un délai déterminé en y joignant tout document utile permettant de les justifier).

Les modalité de contrôle

En 2019, la Cnil a procédé à 300 contrôles dont 169 contrôles sur place, 53 contrôles en ligne, 45 contrôles sur pièce et 18 auditions sur convocation.

Les agents de la Cnil font l’objet d’une habilitation et sont soumis au secret professionnel.

Par ailleurs, pour l’exercice de leurs missions, la délégation de contrôle peut accéder à tous locaux de 6 heures à 21 heures, sans informer au préalable l’organisme contrôlé. L’accès à des locaux affectés au domicile privé ne peut se faire que sur autorisation du juge des libertés et de la détention.

En outre, la délégation de contrôle de la Cnil peut demander communication de tous documents ou renseignements utiles à l’accomplissement de leur mission, à l’exception des informations protégées par l’un des secrets professionnels cités à l’article 19 (III) de la loi Informatique et libertés.

Enfin, les contrôleurs peuvent également accéder aux programmes informatiques et aux données ainsi qu’en demander la transcription mais doivent toutefois veiller à minimiser les données collectées, que celles-ci soient des données personnelles ou non.

Les droits et obligations des organismes contrôlés

A l’occasion de la publication de sa Charte des contrôles, la Cnil a rappelé qu’il est notamment essentiel que « les organismes concernés comprennent le déroulement de ces investigations et sachent comment elle peut intervenir ».

La Charte des contrôles a notamment pour objectif de rappeler les droits et obligations des organismes faisant l’objet d’un contrôle de la Cnil.

L’organisme contrôlé dispose du droit de s’assurer de la validité du contrôle, notamment en vérifiant l’habilitation des agents de la Cnil .

Cependant, en principe, l’organisme ne peut s’opposer à un contrôle de la Cnil. Au contraire, il est tenu à une obligation de coopération envers la Cnil et doit prendre toutes mesures utiles afin de faciliter le déroulement des opérations. Le délit d’entrave à l’action de la Cnil est passible d’une peine d’emprisonnement d’un an et d’une amende de 15 000 €.

L’organisme peut s’opposer à un contrôle sur place de la Cnil uniquement si la visite de ses locaux n’a pas fait l’objet d’une autorisation par le juge des libertés et de la détention.

L’organisme peut être assisté par un conseil.

Conformément à l’article 19, III de la loi Informatique et libertés, le secret ne peut être opposé à la Cnil, à l’occasion d’une mission de contrôle, sauf concernant les informations couvertes :

  • par le secret professionnel applicable aux relations entre un avocat et son client ;
  • par le secret des sources des traitements journalistiques ou ;
  • dans la limite du deuxième alinéa du même article, par le secret médical. Les données médicales individuelles peuvent être communiquées sous l’autorité et en présence d’un médecin accompagnant la délégation.

Lorsque le secret professionnel est opposé aux agents de la Cnil, il en est fait mention dans le procès-verbal qui sera dressé à la fin du contrôle.

Le déroulement et les suites d’un contrôle

La Charte des contrôles de la Cnil expose la procédure suivie pour chaque contrôle et détaille les principes de bonne conduite à suivre afin que le contrôle se passe au mieux.

Il est notamment attendu de l’organisme contrôlé qu’il :

  • réponde aux questions posées par les contrôleurs avec loyauté et coopère avec les contrôleurs ;
  • communique les pièces et explications demandées dans des délais raisonnables ;
  • conserve une attitude neutre, professionnelle et courtoise.

Les opérations de contrôle sont retranscrites dans un procès-verbal. Ce procès-verbal est signé par les agents de la Cnil et, dans le cas de contrôles sur place et sur convocation, par le représentant de l’organisme contrôlé qui peut formuler toutes observations qu’il juge utiles. Ces observations peuvent également être adressées après le contrôle. Le procès-verbal est notifié par lettre recommandée avec demande d’avis de réception au responsable du traitement, dans un délai de 15 jours à compter du contrôle.

À l’issue du contrôle, la Cnil procède à une analyse des éléments recueillis afin de déterminer le niveau de conformité de l’organisme aux dispositions du RGPD et de la loi Informatique et Libertés.

La procédure de contrôle peut être clôturée sans observations, en l’absence de manquement, ou avec observations dans le cas contraire.

La formation restreinte de la Cnil peut engager une procédure de sanction en cas :

  • d’absence de réponse à une mise en demeure ;
  • d’absence de mise en conformité dans le délai imparti par une mise en demeure ;
  • de manquements significatifs constatés

À l’issue de la procédure contradictoire, la Cnil peut prononcer une sanction (pécuniaire ou non) ou une relaxe.

Virginie Bensoussan-Brulé
Marion Catier
Alexandra Guermonprez
Lexing Contentieux numérique

Références

Charte des contrôles de la Cnil, Version du 5 août 2020.
Eric Bonnet, « La Cnil publie une Charte des contrôles », Alain-Bensoussan.com du 15-09-2020.
« La Cnil publie son rapport d’activité 2019 », Cnil.fr du 09-06-2020.
Eric Bonnet, « La Cnil publie son rapport annuel pour 2019 », Alain-Bensoussan.com du 10-06-2020.




La Cnil publie une Charte des contrôles

La Cnil publie une charte des contrôlesLa Commission Nationale de l’Informatique et des Libertés (Cnil) publie une charte des contrôles afin d’assurer le bon déroulement de ses missions.

Elle  dispose de pouvoirs de contrôle auprès de tout organisme public ou privé mettant en œuvre des traitements de données personnelles.

Afin d’assurer une plus grande transparence de cette activité et le bon déroulement de ces missions, elle vient ainsi de diffuser une charte des contrôles.

Favoriser le bon déroulement de ses investigations : c’est l’objectif de la publication de cette Charte des contrôles.

Les contrôles de la Cnil, une activité encadrée

La Cnil peut réaliser ses contrôles sur place, sur pièces, sur convocation ou en ligne (Loi 78-17, art.19). Ainsi, en 2019, la Cnil a procédé à 300 contrôles dont :

  • 169 contrôles sur place ;
  • 53 contrôles en ligne ;
  • 45 contrôles sur pièce ;
  • 18 auditions.

Les plaintes et réclamations sont aussi une source importante de contrôles (43 % en 2019).

En outre, la Cnil peut effectuer des investigations de sa propre initiative. Par exemple, en réponse à l’actualité.

Par ailleurs, elle établit chaque année un programme des thématiques prioritaires pour les contrôles à venir.

Les contrôles de la Cnil, une activité transparente

A l’occasion de la publication de sa Charte de contrôle, la Cnil rappelle qu’il est notamment essentiel que « les organismes concernés comprennent le déroulement de ces investigations et sachent comment elle peut intervenir ».

La Charte des contrôles a notamment pour objectif de rappeler les droits et obligations des organismes faisant l’objet d’un contrôle.

Les contrôles de la Cnil : les grandes lignes

La Cnil précise également le déroulement et les suites d’un contrôle. Notamment les principes de bonne conduite à suivre dans ce cadre.

L’occasion pour l’Autorité de protection des données de rappeler entre autres les points suivants :

  • les agents de la CNIL font l’objet d’une habilitation;
  • ils sont soumis au secret professionnel ;
  • ceux-ci peuvent accéder à tous locaux de 6 heures à 21 heures, sans informer au préalable l’organisme contrôlé ;
  • avant de débuter la mission, la délégation notifie à l’organisme la décision de la Présidente de la Cnil d’effectuer un contrôle ;
  • le responsable des lieux bénéficie d’un droit d’opposition à la visite ;
  • le déroulement des opérations de contrôle est retranscrit dans un P.-V. dressé à l’issue de la mission ;
  • l’organisme contrôlé doit coopérer avec la Cnil ;
  • il doit notamment prendre toutes mesures utiles afin de faciliter le déroulement des opérations ;
  • le délit d’entrave à l’action de la Cnil est passible d’une peine d’emprisonnement d’un an et d’une amende de 15 000 €.

Source : https://www.cnil.fr/fr/controles-de-la-cnil-une-charte-pour-tout-comprendre

Télécharger la Charte

Sur le même thème, Virginie Bensoussan-Brulé, « Guide des contrôles Cnil: comment s’y préparer ».

Eric Bonnet
Avocat
Directeur du département Communication Juridique

 




Formation au contentieux informatique et libertés

contentieux informatique et Le cabinet anime une formation sur le contentieux informatique et libertés pour Lamy Formation (Wolters Kluwer).

Le contentieux informatique et libertés

Cette formation est assurée par Virginie Bensoussan-Brulé, les 1er octobre et  29 novembre 2019 et abordera notamment :

  • Les infractions à la loi Informatiques et libertés (Panorama des infractions à la loi Informatique, fichiers et libertés, peines principales et peines complémentaires) ;
  • Pouvoir de sanction de la Cnil (sanctions administratives correctrices et financières) ;
  • La procédure devant la formation restreinte de la Cnil (Aspects procéduraux et mise en situation) ;
  • Les nouvelles règles de responsabilité issues du RGPD (régime de responsabilité et de réparation).

Dans cette formation au contentieux informatique et libertés, les objectifs sont triples :

  • premièrement : identifier les différentes infractions à la réglementation sur les données personnelles ;
  • deuxièmement : savoir se défendre devant la formation restreinte de la Cnil ;
  • troisièmement : anticiper le nouveau régime de responsabilité mis en place par le RGPD.

Programme détaillé.




Petit-déjeuner débat : la jurisprudence de la Cnil depuis le RGPD

jurisprudence de la CnilLe cabinet organise le 15 mai 2019 un petit-déjeuner débat intitulé : « La jurisprudence de la Cnil depuis l’entrée en application du RGPD », animé par Virginie Bensoussan-Brulé.

Avocate à la Cour d’appel de Paris, Virginie Bensoussan-Brulé dirige le pôle Contentieux numérique du cabinet Lexing Alain Bensoussan Avocats, elle intervient en conseil et contentieux dans les domaines du droit de la presse, droit pénal, ainsi qu’en contentieux en droit de l’internet et droit de la protection des données personnelles.

Le contentieux Cnil post RGPD

Depuis l’entrée en vigueur du RGPD le 15 mai 218, les pouvoirs de la Cnil se sont élargis. En effet, la Cnil peut effectuer des contrôles plus étendus et prononcer des sanctions plus sévères.

La Cnil a désormais le pouvoir d’effectuer des contrôles sur place, sur pièces, sur audition ou en ligne auprès de l’ensemble des responsables de traitement (entreprises, associations, collectivités territoriales, administrations) pour vérifier l’application de la réglementation sur les données personnelles.

A l’issue de missions de contrôles ou sur plaintes, la Cnil peut prononcer diverses sanctions à l’égard des responsables de traitements ou des sous-traitants qui auraient commis un manquement à l’application de la réglementation sur les données personnelles.

Notamment, la Cnil peut prononcer une sanction pécuniaire d’un montant pouvant aller jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffre d’affaires mondial, le montant le plus élevé étant retenu. Cette sanction peut être rendue publique.

Le 21 janvier 2019, la Cnil a prononcé une amende à l’encontre de la société Google LLC d’un montant de 50 millions d’euros.

Les objectifs du petit-déjeuner débat

Les objectifs du petit-déjeuner débat sont, par l’analyse de la jurisprudence de la Cnil, de :

  • connaître le pouvoir de contrôle et de sanction de la Cnil ;
  • savoir se défendre devant la formation restreinte de la Cnil ;
  • connaître l’actualité des décisions des autorités de contrôle européennes.

Le petit-déjeuner débat a lieu de 9h30 à 11h30 (accueil à partir de 9h00) dans nos locaux, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes.

 




Les contrôles en ligne de la Cnil sous une identité d’emprunt

contrôles en ligne

La Cnil devrait bientôt disposer d’un nouveau pouvoir : réaliser des contrôles en ligne sous une identité d’emprunt, c’est ce que prévoit le projet de loi relatif à la protection des données personnelles (1).

Ce pouvoir vient enrichir les pouvoirs de la Cnil déjà en sa possession.

Les contrôles de la Cnil

Afin de s’assurer de la conformité de la mise en œuvre d’un traitement de données à caractère personnel avec la loi Informatique et libertés (2), et, à compter du 25 mai 2018, du Règlement général sur la protection des données à caractère personnel (RGPD), la Cnil dispose de différents moyens de contrôler les responsables du traitement.

Ainsi, la Cnil peut effectuer quatre types de contrôle :

  • les contrôles sur place : ceux-ci se déroulent dans les locaux du responsable du traitement ;
  • les contrôles sur convocation : ils s’effectuent dans les locaux de la Cnil, après convocation du responsable du traitement ;
  • les contrôles sur pièces : qui consistent à demander la communication de tout renseignement ou document utile ;
  • les contrôles en ligne : qui permettent à un agent de la Cnil de contrôler les données disponibles sur un service de communication au public en ligne et de retranscrire ces données.

A la suite de ces contrôles, un procès-verbal est dressé et communiqué au responsable du traitement contrôlé.

Le RGPD prévoit que des opérations conjointes pourront être effectuées par plusieurs autorités européennes de protection des données.

Les contrôles en ligne

La loi n° 2014-344 du 17 mars 2014 relative à la consommation, dite « loi Hamon », créée la possibilité pour les agents de la Cnil de procéder à des contrôles en ligne. Les données contrôlées à cette occasion sont les données disponibles au public, mises à disposition par le responsable du traitement. Il s’agit de données accessibles à toute personne en se rendant sur un site internet.

Les contrôles en ligne permettent à la Cnil de s’assurer du respect des règles relatives à la protection des données personnelles par un hébergeur de données personnelles en ligne et à l’absence de faille de sécurité sur le site internet concerné.

En effet, en raison du nombre important de données à caractère personnel collectées à cette occasion et de la facilité qu’ont les responsables de traitement à obtenir ces données par ce biais, il était nécessaire d’adapter les pouvoirs de la Cnil.

Les internautes ne prenant pas toujours garde aux données personnelles qui leurs sont demandées de fournir en ligne et répondant favorablement aux demandes de collecte d’information qui ne sont pas toujours nécessaires à la finalité du traitement.

Néanmoins, les responsables du traitement avaient connaissance de ce contrôle et pouvaient identifier les agents de la Cnil. Ce ne sera bientôt plus le cas.

Des contrôles en ligne effectués sous un nom d’emprunt

Le projet de loi relatif à la protection des données personnelles modifie l’article 44 de la loi Informatique et libertés et permet aux agents de la Cnil d’effectuer des contrôles en ligne sous une identité d’emprunt, sans que celle-ci n’ait une incidence sur la régularité de la procédure.

Pour le contrôle de services de communication au public en ligne, les membres et agents mentionnés au premier alinéa du I peuvent réaliser toute opération nécessaire à leur mission sous une identité́ d’emprunt. L’utilisation d’une identité́ d’emprunt est sans incidence sur la régularité́ des constatations effectuées conformément à l’alinéa précédent. Un décret en Conseil d’État pris après avis de la Commission nationale de l’informatique et des libertés précise les conditions dans lesquelles ils procèdent dans ces cas à leurs constatations. »

En pratique, ils pourront donc utiliser une adresse électronique autre que celle de la Cnil ainsi qu’un pseudonyme pour effectuer des contrôles sur internet.

Un décret viendra préciser les conditions dans lesquelles se dérouleront ces contrôles.

Ce système n’est pas nouveau. Il est déjà mis en place par l’Autorité des marchés financiers (AMF) pour permettre aux agents chargés des enquêtes d’effectuer leur contrôle sous une identité d’emprunt (3) ainsi que pour les contrôles effectués par l’Autorité de la concurrence et la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) (4).

A la suite de ce contrôle, sera dressé un procès-verbal expliquant les éléments contrôlés, les modalités et le résultat. Le responsable du traitement est donc informé a posteriori de l’enquête.

Virginie Bensoussan Brulé
Debora Cohen
Lexing Contentieux numérique

(1) Projet de loi relatif à la protection des données personnelles (Texte adopté en 1ère lecture par l’Assemblée nationale le 13-02-2018).
(2) Loi 78-17 du 6-1-1978, art. 11.
(3) Code monétaire et financier, art. L.621-10-1.
(4) Code de commerce, art. L.450-3-2, II.




Informatique et libertés Bilan et perspectives

Informatique et libertés bilan et perspectivesPetit-déjeuner du 6 septembre 2017 « Informatique et libertés Bilan et perspectives » – Alain Bensoussan.

Informatique et libertés Bilan

Le dernier rapport d’activité de la Cnil montre que l’année 2016 a été marquée à la fois par des évolutions réglementaires majeures mais également par des condamnations importantes (Google Inc., Facebook, Microsoft, etc.). Ces condamnations montrent une volonté de la part de la Cnil de renforcer ses sanctions envers les entreprises.

La Cnil a également revu sa doctrine en matière de contrôle d’accès biométrique des dispositifs utilisés dans le cadre privé et pris position sur les enjeux du chiffrement et des « portes dérobées ». Elle s’est aussi fixée comme objectif d’élaborer un pack de conformité dédié à l’open data.

La loi pour une République numérique adoptée en octobre 2016 a renforcé les pouvoirs de la Cnil et crée de nouveaux droits pour les personnes concernées. La loi pour une république numérique constitue un premier pas vers l’implémentation du Règlement général de protection des données (RGPD) qui devra être appliqué en mai 2018.

Informatique et libertés perspectives

L’année 2017 s’annonce également riche en actions pour la Cnil qui a mis en place un plan d’action national pour accompagner les entreprises dans la mise en application du RGPD.

Les entreprises ont en effet jusqu’au 25 mai 2018 pour repenser la gouvernance qu’elles ont mis en place en matière de protection des données personnelles et déployer de nouvelles actions pour être en conformité dans les délais impartis.

Nous vous avons proposé, dans le cadre de ce petit-déjeuner débat, de préciser les actions à mettre en œuvre par les entreprises pour assurer la conformité de leur activité à la réglementation Informatique et libertés.

Le petit-déjeuner débat a eut lieu de 9h30 à 11h30 (accueil à partir de 9h00) dans nos locaux, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes.




Guide des contrôles Cnil : comment s’y préparer

Guide des contrôles Cnil – Entreprises, comment s’y préparerAfin de s’y préparer convenablement, ce guide des contrôles Cnil présente comment ceux-ci se déroulent, quels sont les pouvoirs de la Cnil et quels sont ses obligations vis-à-vis des personnes contrôlées.

Guide des contrôles Cnil : qui est concerné ?

Le contrôle porte sur tout traitement de données à caractère personnel mis en œuvre, en tout ou partie, sur le territoire français, même lorsque le responsable du traitement est établi sur le territoire d’un autre Etat membre de l’Union européenne (L. 78-17 du 6-1-1978 relative à l’informatique, aux fichiers et aux libertés, modifiée, art. 48).

Le responsable de traitement est le représentant légal de l’entreprise alors que le responsable des lieux est la personne habilitée, au sein des locaux contrôlés, à représenter l’organisme responsable du traitement, par exemple du fait d’une délégation de pouvoir.

Guide des contrôles Cnil : qui en a l’initiative ?

C’est la Cnil qui a l’initiative du contrôle, sur décision de son Président après proposition des services de contrôle, qui peut faire suite à :

  • Une déclaration, une demande d’avis ou d’autorisation de traitement.
  • Une plainte, une réclamation, une pétition, une alerte d’un tiers même pas lettre simple.
  • La demande d’une autorité exerçant des compétences analogues aux siennes dans un autre Etat membre de l’Union européenne.
  • La demande d’une autorité exerçant des compétences analogues aux siennes dans un Etat non membre de l’Union européenne dès lors que celui-ci offre un niveau de protection adéquat des données à caractère personnel.
  • Lorsque l’organisme en question est inscrit dans le programme annuel thématique des contrôles de la Cnil.
Guide des contrôles Cnil : que peut-elle vérifier ?

L’objectif de la Cnil est de vérifier que la règlementation Informatique et libertés et bien respectée par les entreprises contrôlées. Ces dernières sont passibles de sanctions administratives (prononcées directement par la Cnil) et pénales.

Guide des contrôles Cnil : comment se passent-ils ?

Selon l’article 44 de la loi du 6 janvier 1978, il existe trois types de contrôle :

Guide des contrôles Cnil : comment en être informé ?

Conformément aux articles 61 et suivants du décret n° 2005-1309 du 20 octobre 2005 (modifié) pris pour l’application de la loi n°78-17 du 6 janvier 1978, la Cnil doit informer de :

  1. L’objet du contrôle.
  2. L’identité et la qualité des personnes contrôlées.
  3. Le cas échéant le droit d’opposition.

La Cnil doit donner ces informations aux personnes suivantes :

  • Le Procureur de la République territorialement compté au plus tard 24h avant la date du contrôle sur place (D. 2005-1309, art. 61).
  • Le responsable du traitement au plus tard au début du contrôle sur place ou, en cas d’absence, dans les huit jours suivant le contrôle. L’information préalable du responsable du traitement est une décision prise en opportunité par la Cnil (D. 2005-1309, art. 62).
  • Le responsable du traitement, lorsque le contrôle se déroule sur audition, doit être convoqué au moins 8 jours avant la date du contrôle, par lettre remise contre signature ou remise en main propre contre récépissé ou acte d’huissier (D. 2005-1309, art. 66).
  • Lorsque le contrôle de la Cnil est effectué à la demande d’une autorité de contrôle d’un Etat membre de l’Union européenne, en application de l’article 49 de la loi de 1978, le responsable du traitement doit en être informé ainsi que du fait que les informations recueillies ou détenus par la Cnil sont susceptibles d’être communiquées à cette autorité (D. 2005-1309, art. 63).
  • Lorsque le Président de la Commission saisit le juge des libertés et de la détention, sur le fondement de l’article 44, II de la loi du 6 janvier 1978 afin que celui-ci autorise la visite sur place, le juge statue dans un délai de 48h. L’ordonnance, qui doit comporter l’adresse des lieux à visiter, le nom et la qualité de ou des agents habilités, ainsi que les heures auxquelles ils sont autorisés à se présenter, est notifiée sur place du moment de la visite au responsable des lieux ou à son représentant. En leur absence, l’ordonnance est notifiée, après la visite, par lettre recommandée avec demande d’avis de réception. A défaut de réception de la lettre recommandée, il est procédé à la signification de l’ordonnance par acte d’huissier de justice (D. 2005-1309, art. 62-1).

Il peut, en outre, être demandé au responsable du traitement visé par un contrôle de préparer tous documents de nature à faciliter son déroulement (Règlement intérieur de la Cnil, art. 54).

Guide des contrôles Cnil : peut-on s’y opposer ?

Droit d’opposition. Conformément à l’article 44, II de la loi du 6 janvier 1978, le responsable des lieux contrôlés est informé de son droit à s’apposer à ce contrôle. S’il exerce ce droit :

  • Les motifs de son opposition sont portés au procès-verbal dressé par les agents de la Cnil.
  • Les opérations de contrôle ne peuvent intervenir qu’après autorisation du juge des libertés et de la détention compétent, qui dispose de 48h pour accepter ou refuser la demande.

Opposabilité du secret professionnel. Le responsable des lieux peut s’opposer au contrôle sur le fondement du secret professionnel. Dans ce cas, il doit indiquer les dispositions législatives ou réglementaires sur lesquels il s’appuie, ainsi que la nature des données qu’il estime couvertes par le secret professionnel. Le secret professionnel ne peut concerner que les fichiers comportant des éléments confidentiels. La mention de l’opposition, son fondement textuel, ainsi que la nature des données couvertes par le secret professionnel figurent sur le procès-verbal (D. 2005-1309, art. 69).

Exception. En cas d’urgence, de risque de destruction ou de dissimulation de documents, ou lorsque la gravité des faits le nécessite, le contrôle peut intervenir sans information du responsable des lieux et sur autorisation préalable du juge des libertés et de la détention compétent. Le responsable des lieux n’est alors pas en mesure de s’opposer au contrôle.

Guide des contrôles Cnil : en cas d’autorisation judiciaire

Si le contrôle a dû être autorisé par le juge, il est placé sous son autorisation et contrôle. Il doit alors avoir lieu en présence de l’occupant des lieux ou de son représentant qui peut se faire assister d’un conseil de son choix ou, à défaut, en présence de deux témoins qui ne sont pas placés sous l’autorité des personnes chargées de procéder au contrôle (L. 78-17, art. 44, II). Attention, les personnes chargées du contrôle n’ont aucune obligation d’attendre l’arrivée de l’avocat pour effectuer les opérations de contrôle.

L’ordonnance ayant autorisé le contrôle mentionne que le juge peut être saisi à tout moment d’une demande de suspension ou d’arrêt de la visite. Elle indique également le délai et la voie de recours (appel devant le premier président de la Cour d’appel) (L. 78-17, art. 44, II).

Guide des contrôles Cnil : peut-on s’y opposer ?

Conformément à l’article 51 de la loi du 6 janvier 1978, le délit d’entrave à l’action de la Cnil est puni d’un an d’emprisonnement et de 15 000 euros d’amende. Ce délit est constitué par :

  • Le refus de se soumettre à l’exercice de vérifications malgré l’autorisation du juge des libertés et de la détention.
  • Le refus de communiquer aux membres et agents habilités de la Cnil les renseignements et documents utiles à leur mission en les dissimulant ou en les faisant disparaitre.
  • La communication d’informations non conformes au contenu des enregistrements tel qu’il était au moment où la demande a été formulée ou qui ne présentent pas ce contenu sous une forme directement accessible.
Guide des contrôles Cnil : où et quand ont-ils lieu ?

Conformément à l’article 44 de la loi du 6 janvier 1978, les membres et les agents habilités de la Cnil peuvent procéder à des opérations de contrôle de traitement dans les locaux du responsable entre 6 heures et 21 heures.

Toujours conformément à l’article précité, pour l’exercice de leurs missions, les membres et agents habilités de la Cnil ont accès aux lieux, locaux, enceintes, installations ou établissements servant à la mise en œuvre d’un traitement de données à caractère personnel et à usage professionnel, à l’exclusion des parties de ceux-ci affectées au domicile privé. Il en ressort qu’un local à usage professionnel situé dans un domicile peut faire l’objet d’un contrôle et que seuls les locaux à usage exclusivement privatif demeurent hors du champ d’intervention des membres et agents habilités de la Cnil.

Guide des contrôles Cnil : quelles sont les personnes habilitées ?

Par délibération, les membres et agents de la Cnil reçoivent habilitation pour procéder à des opérations de contrôle sur place (L. 78-17, art. 19). Une carte professionnelle leur est remise à cet effet et leur permet d’attester qu’ils ont été habilités à effectuer lesdits contrôles.

Cette habilitation est valable pour une durée de cinq ans renouvelable (D. 2005-1309, art. 57). Toutefois, elle peut faire l’objet d’une suspension pour une durée maximale de six mois, voire d’une suspension définitive lorsque la personne n’exerce plus les missions concernées (D. 2005-1309, art. 60).

L’habilitation et l’ordre de contrôle de mission des agents chargés de procéder aux opérations de contrôle sur place doivent pouvoir être présentés sur demande (D. 2005-1309, art. 62).

Guide des contrôles Cnil : quels pouvoirs ont les agents ?

Une mission de contrôle vise prioritairement à obtenir copie du maximum d’informations, techniques et juridiques, pour apprécier les conditions dans lesquelles sont mis en œuvre des traitements de données à caractère personnel.

Dans le cadre des opérations de contrôle, les membres et agents habilités (L. 78-17, art. 44, III) sont autorisés à :

  • Obtenir communication et copie de tout document, quel qu’en soit le support, leur permettant d’apprécier les conditions dans lesquelles des traitements automatisés de données à caractère personnel, notamment en termes de sécurité, d’information des personnes, de modalités de collecte des données, sont mis en œuvre. Il peut s’agir de :
    • Contrats (location de fichiers, sous-traitance informatique etc.),
    • Formulaires,
    • Dossiers papiers,
    • Bases de données informatiques, etc.
  • Accéder aux programmes informatiques et aux données.
  • Demander la transcription de tout document directement utilisable pour les besoins du contrôle.
  • Recueillir tout renseignement technique ou juridique ou toute justification utile à l’accomplissement de leur mission.

La Cnil peut également, dans le cadre de sa mission de contrôle, convoquer toute personne dont l’audition lui parait utile et nécessaire (dans les conditions fixées par l’article 66 du décret 2005-1309).

Sur autorisation du Président de la Cnil, les membres et agents habilités peuvent se faire adjoindre des experts (dans les conditions fixées par les articles 67 et suivants du décret 2005-1309).

Guide des contrôles Cnil : le nouveau contrôle en ligne

Enfin, la Cnil dispose, depuis la loi « Hamon » de mars 2004 (L. 2014-344 du 17-3-2014 relative à la consommation) d’un nouveau moyen de contrôle lui permettant de procéder à des constations en ligne depuis ses propres locaux, hors la présence du responsable du traitement. Ce nouveau pouvoir s’applique aux données librement accessibles ou rendues accessibles en ligne, y compris par imprudence, négligence ou par le fait d’un tiers (1) et peut-être complémentaire à un autre contrôle.

Guide des contrôles Cnil : le procès-verbal de constatation

Le procès-verbal de constatation est établi sur la base des éléments recueillis lors du contrôle et contient, conformément à l’article 64 du décret du 20 octobre 2005 :

  • L’objet de la mission de contrôle,
  • La nature du contrôle,
  • Le jour et l’heure des opérations de contrôle,
  • Le lieu de vérifications ou des contrôles effectués,
  • Les membres présents lors du contrôle,
  • Les personnes rencontrées,
  • Les contrôles effectués,
  • Les éventuelles difficultés rencontrées,
  • Le cas échéant, l’opposition au contrôle du responsable des locaux sur le fondement du secret professionnel, les dispositions législatives ou réglementaires sur lesquels il s’appuie, ainsi que la nature des données qu’il estime couvertes par le secret professionnel.

En annexe doit figurer l’inventaire des pièces et documents dont les personnes chargées du contrôle ont pris copie. S’agissant de la mise sous scellé des différents éléments saisis, la loi est silencieuse.

Guide des contrôles Cnil : la portée du procès-verbal

La loi prévoit que le procès-verbal doit être établi contradictoirement par les agents de la Cnil et le responsable des lieux. A cet égard, le responsable des lieux ou son représentant a la possibilité d’émettre des réserves et des commentaires.

Le procès-verbal est signé par les personnes chargées du contrôle qui y ont procédé et par le responsable des lieux ou son représentant. En cas de refus ou d’absence de celles-ci, mention en est portée au procès-verbal.

Le procès-verbal est notifié au responsable du traitement et au responsable des lieux par lettre recommandé avec accusé de réception.

La loi ne prévoit pas la nullité du procès-verbal en cas d’absence de l’une des informations précitées. En outre, elle ne prévoit aucune restitution des copies des documents et données. Toutefois, leur conservation ultérieure fait l’objet d’une procédure particulière définir par le service des contrôles afin d’en garantir la confidentialité, l’authenticité et la sécurité.

Pour finir, les membres et agents de la Cnil ayant procédé au contrôle sur place sont soumis à une obligation de confidentialité.

Guide des contrôles Cnil : que se passe-t-il ensuite ?

A la suite du contrôle, la Cnil examine les documents dont copie a été réalisée pour apprécier si les dispositions de la loi Informatique et libertés ont été respectées.

Lorsque l’examen n’appelle pas d’observations particulières, un courrier est adressé par le Président de la Cnil au responsable de traitement. Ce courrier peut contenir des recommandations telles que les modifications des durées de conservation ou des mesures de sécurité.

Lorsque l’examen fait ressortir des manquements sérieux, le dossier est transmis à la formation contentieuse de la Cnil, transmission non exclusive d’une dénonciation au parquet. En effet, conformément à l’article 40 du code de procédure pénale, la Cnil a le devoir d’informer sans délai le procureur de la République des infractions dont elle a connaissance suite au contrôle. A cet égard, le Conseil d’Etat a précisé que les faits devant être portés à la connaissance du procureur de la République devaient lui paraitre suffisamment établis et porter une atteinte caractérisée aux dispositions dont elle a pour mission d’assurer l’application (2).

Guide des contrôles Cnil : quelles sont les voies de recours ?

Selon l’article 62-3 du décret du 20 octobre 2005, le premier président de la Cour d’appel connait des recours contre le déroulement des opérations de visite autorisée par le juge des libertés et de la détention.

Il s’agira, dans les autres cas, d’un recours administratif contre la Cnil.

Guide des contrôles Cnil : quelques conseils

Les principaux conseils que l’on peut donner, à la fois en prévision et lors d’un contrôle Cnil :

  • Anticiper un contrôle en s’interrogeant sur le respect, par ses traitements, de la règlementation Informatique et libertés.
  • Mettre en place une procédure interne applicable en cas de contrôle de la Cnil, afin que ce dernier se déroule dans les meilleurs conditions possibles tant pour le responsable que pour les agents de la Cnil.
  • Former et informer son personnel.
  • Vérifier, lors du contrôle, que le cadre légal est respecté (information, conditions horaires du contrôle, habilitation des agents de contrôle, établissement du procès-verbal etc.).

Virginie Bensoussan-Brulé
Lexing Contentieux numérique

(1) « ils peuvent notamment, à partir d’un service de communication au public en ligne, consulter les données librement accessibles ou rendues accessibles, y compris par imprudence, par négligence ou par le fait d’un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données le temps nécessaire aux constatations ; ils peuvent retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle », selon le nouvel article 44, III de la loi 78-17.
(2) CE 27-10-1999 n°196306 : RJDA 4/00 n°498.




Cookies : la Cnil surveille les professionnels non éditeurs

Cookies : la Cnil surveille les professionnels non éditeurs

La Cnil étend ses contrôles aux partenaires publicitaires des éditeurs de sites émettant aussi des cookies.

Dans un article publié sur son site internet le 27 juillet 2016, la Cnil rappelle les principes clés du traitement des cookies et explique les motifs de l’extension de ses contrôles aux partenaires publicitaires, des éditeurs de sites webs.

Responsabilité des éditeurs de sites webs et des partenaires publicitaires émettant des cookies

Les règles en matière de dépôt de cookies imposent au responsable de traitement de recueillir le consentement libre et révocable des utilisateurs avant tout dépôt de cookies.

Jusqu’alors, les éditeurs étaient les principaux acteurs visés par les contrôles de la Cnil lorsqu’ils affichaient une publicité accompagnée d’un traçage ou d’un dépôt de cookies.

Cependant, la Cnil soulève la difficulté des éditeurs à assumer seuls la responsabilité du respect de ces obligations. Certains cookies sont issus de serveurs tiers et sont liés à l’activité de leurs partenaires. Les éditeurs n’ont dès lors aucune maîtrise sur le respect de règles relatives à ces traceurs.

A l’occasion de sa recommandation du 5 décembre 2013, la Cnil avait déjà affirmé que l’obligation d’information et de recueil du consentement s’imposait tant aux éditeurs de sites, systèmes d’exploitation et applications, qu’aux partenaires publicitaires, aux réseaux sociaux et aux éditeurs de solutions de mesures d’audience.

A cet égard, le Règlement européen sur la protection des données à caractère personnel confirme que « lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement » (1).

C’est à ce titre que la Cnil étend ses contrôles aux tiers et partenaires publicitaires des éditeurs de sites webs qui doivent également être considérés comme responsables de traitement. En effet, les données ne sont pas uniquement collectées et traitées pour les éditeurs de sites. Les partenaires traitent et exploitent eux-aussi ces données pour des finalités qui leur sont propres.

Les obligations des professionnels non éditeurs

Dès lors, les professionnels non éditeurs émettant des cookies doivent se conformer aux dispositions de la loi Informatique et libertés, ainsi qu’à celles du règlement européen applicables en 2018, au même titre que les éditeurs de sites.

La Cnil énonce quelques unes des obligations incombant tant aux partenaires qu’aux éditeurs webs :

  • limitation de la durée de conservation des données qui ne peut excéder 13 mois pour les cookies ;
  • collecte loyale des données : à cette fin, un certain nombre d’informations doivent être accessibles aux internautes, à savoir l’identité du partenaire, la finalité du traitement qu’il effectue, les destinataires ou les catégories de destinataires qui vont recevoir ces données, les droits dont les personnes concernées disposent (opposition, rectification, accès, etc.) ;
  • mise en place de moyens permettant aux personnes concernées d’exercer ces droits de manière effective.

La Cnil recommande la mise en place d’un système permettant de clarifier l’existence des divers acteurs intervenant dans le traitement des données des internautes. Elle conseille ainsi la tenue d’une liste des partenaires afin que soient rassemblées et facilement accessibles les informations de ces tiers émettant des cookies. Cette liste devrait comprendre un lien propre vers une page individuelle contenant les informations devant être portées à la connaissance des internautes.

Cependant, ce futur afflux d’informations ne doit pas noyer l’internaute. Ce dernier doit pouvoir accéder de façon transparente et claire aux informations nécessaires concernant chacun des traitements effectués, quel qu’en soit l’acteur.

Virginie Bensoussan – Brulé
Lexing Contentieux numérique

(1) Règlement (UE) 2016/679 du 27-4-2016 sur la protection des données à caractère personnel, art. 26.




Publication des thématiques des contrôles Cnil pour 2016

Publication des thématiques des contrôles Cnil pour 2016La Cnil a publié les thématiques qu’elle entend privilégier pour diligenter ses contrôles en 2016 (1).

Tous les ans, la Cnil mène de multiples contrôles sur place, sur audition, sur pièce ou encore en ligne.

Si une partie des contrôles est menée en fonction de l’actualité, des plaintes reçues et des vérifications à effectuer suite à des courriers, des mises en demeure ou des sanctions, 25 % des contrôles qu’elle mène sont, quant à eux, publiés à l’avance.

Thématiques retenues. L’année 2015 a été marquée par des contrôles dans le domaine du paiement sans contact ou le fichier national des permis de conduire. Pour 2016, la Cnil a prévu de mener des contrôles sur les thématiques suivantes :

  • le système national d’information inter-régimes de l’assurance maladie (SIIRAM) ;
  • le fichier API-PNR ;
  • les courtiers en données ou data brokers.

Le premier thème retenu pour les contrôles porte sur le domaine de la santé à travers l’analyse de la conformité du système national d’information inter-régimes de l’assurance maladie à la loi Informatique et libertés. Ce système SIIRAM se présente comme une base de données nationale contenant des millions d’enregistrements issus des demandes de remboursement de frais de santé. L’objectif de ce contrôle par la Cnil est de vérifier la sécurité des données et la réalité de la pseudonymisation des données à caractère personnel afin d’empêcher l’identification des patients concernés.

Le second thème porte sur le système API-PNR (Advance Passenger Information-Passenger Name Record) qui est un fichier de contrôle des déplacements aériens permettant de lutter contre le terrorisme et le trafic de drogue autorisé par la loi à titre expérimental en 2013. La Cnil avait publié deux avis en juillet 2014 (1) et juillet 2015 (2) en raison de la possible atteinte particulièrement grave au droit au respect de la vie privée et à la protection des données personnelles. Son contrôle aura pour objectif de vérifier le respect de la loi Informatique et libertés au regard de ces deux avis et de s’assurer de la bonne mise en œuvre des garanties prévues afin de réduire le risque d’atteinte portée à la vie privée et à la protection des données personnelles.

Le dernier thème est consacré aux intermédiaires dits Data Brokers dont le rôle est de collecter des données à caractère personnel, de les analyser et de déterminer des profils client sur la base des comportements des clients et de leurs centres d’intérêts puis de revendre ces données à des entreprises qui les utilisent dans le cadre de leur activité économique. L’objectif du contrôle de la Cnil consistera à veiller au respect des obligations de pertinence des données et d’information des personnes, de consentement, de respect des droits, comme celui du droit d’accès, et de sécurité.

Dispositifs de vidéosurveillance et de vidéoprotection. De plus, la Cnil prévoit que 20 % de ses contrôles sera consacré à la vérification des dispositifs de vidéosurveillance et de vidéoprotection.

On peut rappeler qu’en 2014, ces contrôles représentaient un tiers des contrôles effectués et un quart en 2015.

Sweep Day. L’année 2016 sera également marquée par un nouveau Sweep Day sur le thème des objets connectés et notamment les objets domotiques, de santé et de bien-être.

Ces Sweep Day ont pour objet, le temps d’une période donnée, pour la Cnil et ses homologues européens ou mondiaux de mener un audit des principaux sites internet et applications mobiles afin de dresser un état des lieux des pratiques européennes et mondiales en fonction d’une thématique déterminée.

Ainsi, ce nouveau Sweep Day est le quatrième volet d’une série qui a débuté en mai 2013 (4) par un « Internet Sweep Day » afin d’évaluer le niveau d’information des internautes sur les sites internet ou les applications mobiles les plus visités. Cela s’est ensuite poursuivi par un « Cookie Sweep Day » au niveau européen en septembre 2014 (5) concernant les cookies, puis par un nouvel « Internet Sweep Day » au niveau mondial relatifs aux sites internet et aux applications mobiles pour les enfants (6).

Il convient donc aux entreprises concernées par ce programme de contrôle de s’assurer d’ores et déjà de la bonne conformité de leurs traitements à la loi Informatique et libertés et de mettre en place une procédure interne permettant de se préparer à un éventuel contrôle de la Cnil.

Lexing Alain Bensoussan Avocats
Lexing, Droit Informatique et libertés

(1) Programme des contrôles Cnil 2016.
(2) Délib. Cnil 2014-308 du 17-7-2014.
(3) Délib. Cnil 2015-230 du 9-7-2015.
(4) Internet Sweep Day 2013.
(5) Cookie Sweep Day 2014.
(6) Internet Sweep Day 2015.




Directive PNR : un transfert de données sous contrôle

Directive PNRLa directive PNR sur l’échange des données personnelles des passagers aériens a été adoptée par le Parlement européen.

Alors que cette directive PNR faisait débat depuis cinq ans, les attentats survenus en Europe en 2015 et début 2016 ont précipité son vote par le Parlement européen. Cette directive doit encore faire l’objet d’un vote formel des Etats membres au sein du Conseil de l’Union Européenne.

L’objectif de la présente directive PNR est de prévenir et de détecter des infractions terroristes et des formes graves de criminalité (1) ainsi que d’identifier des personnes qui n’étaient pas soupçonnées de participation à des infractions terroristes ou à des formes graves de criminalité (2).

A cette fin, la directive PNR prévoit la collecte et le transfert par les transporteurs aériens, des données des passagers (Passenger Name Record) de vols extra-UE aux Etats membres (3), c’est-à-dire des vols en provenance d’un pays tiers et devant atterrir sur le territoire d’un État membre ou en provenance du territoire d’un État membre et devant atterrir dans un pays tiers, y compris, dans les deux cas, les vols comportant d’éventuelles escales sur le territoire d’États membres ou de pays tiers (4).

Les données des passagers aériens seront centralisées, non pas sur un fichier unique à l’échelle européenne, mais sur une unité d’information des passagers (UIP) au sein de chaque Etat membre. Les Etats membres seront cependant libres de mettre en place conjointement une seule unité d’information des passagers aériens. Tous les pays de l’UE sont concernés par la présente directive, à l’exception du Danemark (5).

L’unité d’information des passagers sera chargée, dans chaque Etat membre, de collecter et d’analyser les données transmises par les transporteurs aériens et de les transmettre dans certains cas à d’autres Etats membres ou à des Etats tiers.

Cette obligation ne concerne que les vols extra-européens mais la directive laisse la possibilité aux Etats membres de faire rentrer dans son champ d’application les vols intra-européens et les vols charters. Dans ce cas, l’Etat membre devra le notifier à la Commission par écrit (6).

Les données collectées ne pourront en aucun cas porter sur l’origine raciale ou ethnique, la religion ou les convictions, les opinions politiques ou toute autre opinion, l’appartenance à un syndicat, la santé, la vie sexuelle ou l’orientation sexuelle d’un passager (7).

Elles ne pourront être utilisées que pour empêcher ou détecter des infractions terroristes et un nombre limité d’autres infractions graves, comme la pédopornographie et la traite d’êtres humain.

Par ailleurs, aucune décision ne pourra être prise concernant un passager aérien sur le simple traitement automatique de ces données PNR. Les évaluations effectuées à partir des données devront être « réexaminées individuellement par des moyens non automatisés » (8). Plus généralement, les autorités compétentes ne pourront prendre aucune décision produisant des effets juridiques préjudiciables à un passager ou l’affectant de manière significative sur la seule base du traitement automatisé de données PNR (9).

La durée maximale de conservation des données est fixée à 5 ans. Cependant les informations relatives à un passager aérien doivent être dépersonnalisées au bout de 6 mois, par le masquage des données permettant de l’identifier directement, telles que son nom, prénom, son adresse postale (10).

Enfin, pour s’assurer que les transporteurs aériens respectent leurs obligations de collecte et de transfert des données PNR, les États membres pourront prévoir des sanctions effectives, proportionnées et dissuasives, y compris des sanctions financières.

Par conséquent, et afin d’éviter de telles sanctions, il est nécessaire que les transporteurs aériens mettent en place une organisation interne leur permettant de répondre à leurs obligations en matière de collecte et de transfert des données des passagers aériens tout en veillant au respect des exigences en matière de protection des données personnelles, notamment des futures obligations du Règlement européen relatif à la protection des données (11), adopté le même jour que la présente directive PNR.

Lexing Alain Bensoussan Selas
Lexing Informatique et libertés

(1) Directive PNR (UE) 2016/681 du Parlement européen et du Conseil du 27 avril 2016 relative à l’utilisation des données des dossiers passagers pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière (JOUE L 119 du 4.5.2016, p. 132–149) considérant 6.
(2) Ibid. considérant 7
(3) Ibid. art. 1
(4) Ibid. art. 3, 2
(5) Ibid. considérant 40
(6) Ibid. art. 2, 1°
(7) Ibid. considérant 15
(8) Ibid. art. 6, 5°
(9) Ibid. art. 7, 6°
(10) Ibid. art. 12, 2°
(11) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JOUE L 119 du 4.5.2016, p. 1–88)




Cookies : focus sur les contrôles Cnil 2015

Cookies : focus sur les contrôles Cnil 2015Céline Avignon revient, pour Ecommerce Magazine, sur les contrôles opérés par la Cnil en 2015 en matière de cookies.

La Commission, en vertu des moyens qu’elle a mis en œuvre pour aider les responsables de traitement, contrôle quasi systématiquement la conformité des cookies à la loi Informatique et libertés.

Force est de constater que la Cnil considère généralement comme un manquement à la loi des pratiques partagées par le plus grand nombre, des pratiques telles que :

  • l’absence de bandeau d’information ou une insuffisance des informations contenues dans le bandeau (absence des finalités de tous les cookies soumis au consentement, absence d’information sur le fait que la personne concernée a la possibilité de changer les paramètres des cookies en cliquant sur un lien présent dans le bandeau) ;
  • l’absence de moyen d’opposition valable (gestion par le navigateur alors que le site dépose des cookies techniques essentiels à son bon fonctionnement et/ ou des cookies first party soumis au consentement).

Pour éviter cela, il est nécessaire d’adopter une démarche permettant de s’assurer de la conformité des pratiques de la société. À cet effet, il doit être établi un référentiel ou une cartographie des cookies utilisés avec leurs finalités afin d’identifier ceux qui sont soumis au consentement et les autres. Le bandeau qui doit être visible, doit intégrer l’ensemble des finalités des cookies à consentement, contenir un lien vers une politique et préciser que la poursuite de la navigation vaut consentement. Il faut également s’assurer que ces traceurs ne s’installent pas avant que l’internaute ait poursuivi sa navigation et déterminer les actions qui ne sont pas considérées comme des actions de poursuite de sa navigation – comme l’activation du lien “en savoir plus”, à titre d’exemple.

Pour qu’en 2016, les entreprises ne commettent pas les manquements constatés par la Cnil, il est fortement recommandé de programmer une action de vérification des pratiques en la matière et, en fonction des résultats, de définir un plan de mise en conformité.

Céline Avignon, pour Ecommerce Magazine Mars – Avril 2016, n° 69.




Bilan 2015 : forte augmentation de l’activité de la Cnil

Bilan 2015 : forte augmentation de l’activité de la CnilAvec 7908 plaintes, la Cnil enregistre un nombre record dans son bilan d’activité de l’année 2015.

Si le bilan 2014 de la Cnil plaçait les données personnelles au « cœur du débat public et des préoccupations des Français », le bilan 2015 constate une augmentation et une diversification des demandes auprès de la Cnil et en particulier des plaintes.

En effet, le rapport de 2015 (1) recense au moins sept typologies différentes de plaintes :

  • internet et communications électroniques (36 %) ;
  • commerce et marketing (26 %) ;
  • travail et gestion des ressources humaines (16 %) ;
  • banque et crédit (10 %) ;
  • libertés publiques (5 %) ;
  • santé sociale (3 %) ;
  • police et justice (1 %).

Ce « nombre record » s’explique en partie par la mise en place en mars 2015, d’un service de dépôt de plaintes en ligne directement sur le site de la Cnil. Ainsi, 65 % des demandes ont été effectuées en ligne.

La e-réputation inquiète de plus en plus les internautes, notamment à la suite de l’affaire Maximillian Schrems (2). Pour autant, les demandes de déréférencement adressées directement à la Cnil ne se limitent pas au contexte de cette décision, qui ne visait que les particuliers. En effet, le bilan 2015 constate que les plaintes proviennent de personnes physiques, mais aussi de personnes morales.

Les demandes de droit d’accès indirect ont également augmenté de 12 % avec 5890 demandes et portent notamment sur les fichiers de police, de gendarmerie, de renseignement et sur le fichier national des comptes bancaires et assimilés (Ficoba).

Si le Ficoba représente une part importante des demandes d’accès indirect, le bilan 2015 met en avant le contexte actuel d’état d’urgence et de risques terroristes qui a grandement contribué à leur hausse. Avec le profiling, la surveillance et la collecte de données à caractère personnel, les particuliers veulent davantage connaître et contrôler les informations les concernant.

De même, le bilan 2015 rappelle que la Cnil a été fortement sollicitée pour contrôler les dispositions législatives et réglementaires d’urgence afin de vérifier la proportionnalité entre les mesures de traitement ou de blocage et le but recherché.

Enfin, avec 501 contrôles, la Cnil a suivi de près la mise en conformité des organismes avec la loi Informatique et libertés. Malgré cela, elle a tout de même constaté une augmentation de ses mises en demeure, 93 en 2015 contre 62 en 2014, et a prononcé une dizaine de sanctions définitives.

Avec ce bilan, la Cnil s’est fixée de nouveaux objectifs pour l’année 2016. Elle sera déjà chargée de garantir la mise en place effective du Règlement européen sur la protection des données personnelles pour tous les acteurs nationaux concernés.

De plus, la Cnil va continuer d’aider les différents acteurs privés et publics à s’adapter au Big data et aux différents outils permettant de garantir la protection des données.

Enfin, en matière de chiffrement, la Cnil ne compte pas l’empêcher mais l’encadrer rigoureusement, son but étant de favoriser la coopération des personnes concernées avec les autorités et de s’assurer que le chiffrement n’est mis en œuvre que lorsque toutes les autres voies possibles ont été épuisées.

Avec le projet de loi pour une République numérique et le règlement européen sur la protection des données personnelles, le champ d’action de la Cnil va aller en grandissant, ainsi que les plaintes et les réclamations du grand public.

Anne Renard
Lexing Publicité et marketing électronique

(1) Cnil, Bilan d’activité 2015 de la Cnil
(2) CJUE, 6-10-2015, Aff. C-362/14, Maximillian S. c/ Data Protection Commissioner




RGPD, projet de loi numérique : pouvoirs accrus pour la Cnil

RGPD, projet de loi numérique : pouvoirs accrus pour la CnilDes pouvoirs accrus pour la Cnil sont en discussion à la fois au parlement français et au parlement européen.

Principe de proportionnalité et caractère dissuasif des sanctions du RGPD

Le RGPD (1) impose aux autorités de contrôle de prononcer des amendes administratives qui dépendent des circonstances de chaque cas individuels, tout en étant proportionnées et dissuasives, donnant ainsi des pouvoirs accrus pour la Cnil.

Les amendes administratives doivent être imposées en supplément ou à la place des mesures prévues au point a à fa et h du paragraphe 1b de l’article 53.

Les éléments à prendre en compte pour définir le montant de l’amende administrative sont les suivants :

Art 79, 2 bis, RGPD 28-1-2016

Les cas d’amendes administratives du RGPD

L’article 79 de la proposition de règlement européen définit trois cas d’amendes administratives. Il faut appliquer le plus haut montant entre le montant et le pourcentage de chiffre d’affaires.

Premier cas : Amende administrative pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel de l’exercice précédent, en cas de non-respect (2) :

  • des articles 8 (consentement des enfants),
    10 (traitements ne nécessitant pas d’identification),
    23 (privacy by design / privacy by default),
    24 (responsables conjoints de traitement),
    25 (représentants des responsables de traitement établis hors UE),
    26 (sous-traitants),
    27 (traitements effectués sous l’autorité du responsable de traitement et du sous-traitant),
    28 (registre des activités du traitement),
    29 (coopération avec l’autorité de contrôle),
    30 (sécurité du traitement),
    31 (notification à l’autorité de contrôle d’une violation de données),
    32 (communication à la personne concernée d’une violation de données),
    33 (analyse d’impact),
    34 (consultation préalable),
    35 (délégué à la protection des données),
    36 (fonction du délégué à la protection des données),
    37 (missions du délégué à la protection des données),
    39 (certification),
    39 bis (organisme et procédure de certification) ;
  • des obligations de certification prévue aux articles 39 et 39 bis du RGPD ;
  • des obligations incombant à l’organisme chargé du suivi des codes de conduite en vertu de l’article 38 bis du RGPD.

Deuxième cas : Amende administrative pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires total annuel mondial de l’exercice précédent, en cas de non-respect :

  • des principes de traitement définis aux articles 5, 6, 7 et 9 du RGPD ;
  • des droits des personnes concernées prévues aux articles 12 à 20 du RGPD ;
  • des obligations relatives aux transferts de données à destination d’un pays tiers ou une organisation internationale prévues aux articles 40 à 44 du RGPD ;
  • de toutes les obligations adoptées par l’État membre au titre du chapitre IX du RGPD ;
  • d’un ordre de limitation temporaire ou définitive d’un traitement ou la suspension de flux transfrontières visés aux articles 53 1 ter ou ne pas permettre un accès en violation de l’article 53 1 du RGPD ;

Troisième cas : Amende administrative de maximum 20 000 000 € ou 4 % du chiffre d’affaires annuel mondial en cas de non-respect d’un ordre de l’autorité de contrôle conformément à l’article 53 1 ter du RGPD.

Il convient de noter que les Etats membres doivent déterminer des sanctions pénales applicables en cas de manquement aux dispositions du RGPD en particulier pour les manquements qui ne sont pas l’objet d’amendes financières.

Pouvoirs accrus pour la Cnil dans le projet de loi pour une République numérique

Si la proposition du RGPD devrait être votée au printemps 2016, il convient de noter que l’Assemblée nationale a récemment adopté en première lecture le projet de loi pour une République numérique (4).

Cette petite loi anticipe l’adoption prochaine du RGPD, et participe ainsi à réaliser les objectifs du futur règlement de renforcement des pouvoirs des autorités.

La finalité affichée des mesures envisagées par le projet de loi pour une République numérique est effectivement clairement d’améliorer l’efficacité et la crédibilité du processus répressif, en renforçant les procédures et les sanctions pouvant être prononcées par la Cnil.

Les mesures destinées à accroître les pouvoirs de la Cnil prévus dans le projet de loi pour une République numérique consistent notamment à :

  • permettre à la Cnil de fixer le délai imparti à un responsable de traitement pour se mettre en conformité avec la loi à 24 heures en cas d’extrême urgence, au lieu de cinq jours au moins actuellement ;
  • autoriser la Cnil à prononcer une sanction pécuniaire sans mise en demeure préalable dans certaines circonstances alors qu’aujourd’hui la sanction financière ne peut intervenir qu’après mise en demeure ;
  • élargir le champ du référé judiciaire ;
  • autoriser la Cnil à ordonner qu’une personne sanctionnée informe de cette sanction l’ensemble des personnes concernées ;
  • permettre à la Cnil de prononcer une sanction qui ne peut excéder 20 millions d’euros ou, dans le cas d’une entreprise, 4 % du chiffre d’affaires annuel total au niveau mondial réalisé lors de l’exercice précédant l’exercice au cours duquel le manquement a été commis, si ce montant est plus élevé. Toutefois, pour la méconnaissance du chapitre IV ainsi que des articles 34 (respect de la confidentialité des correspondances électroniques privées) à 35 (compétences et organisation du territoire concernant l’offre numérique) de la loi, le montant maximal est de 10 millions d’euros ou, s’agissant d’une entreprise, de 2 % du chiffre d’affaires annuel total au niveau mondial réalisé lors de l’exercice précédant l’exercice au cours duquel le manquement a été commis, si ce montant est plus élevé.

Il convient de noter que le projet de loi pour une République numérique intègre, comme le RGPD, le principe de proportionnalité du montant de la sanction pécuniaire par rapport à la gravité des manquements commis et aux avantages tirés de ces manquements. A cet effet, les éléments pouvant être pris en considération par la formation restreinte, sont ceux prévus par la proposition de règlement européen à savoir le caractère intentionnel ou de négligence du manquement, les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées, le degré de coopération avec la Commission afin de remédier au manquement et d’atténuer ses effets négatifs éventuels, les catégories de données à caractère personnel concernées et la manière dont le manquement a été porté à la connaissance de la Commission.

Compte tenu du caractère accéléré de la procédure retenue pour l’adoption de la loi pour une République numérique, des pouvoirs accrus pour la Cnil pourraient être mis en place avant l’adoption du RGPD.

Lexing Alain Bensoussan Avocats
Lexing Publicité et Marketing électronique

(1) Proposition de règlement général sur la protection des données, Doc. n°5455/16 du 28-1-2016, Dossier 2012/0011 (COD).
(2) Art. 79, 2 bis, de la proposition de règlement du 28-1-2016.
(3) Art. 79, 3, de la proposition de règlement du 28-1-2016.
(4) Projet de loi pour une République numérique, Doc. Sénat n° 325 (2015-2016). Texte adopté par l’Assemblée nationale le 26-1-2016 et transmis au Sénat.




Informatique et libertés : Bilan d’activité de la Cnil (2e session)

Informatique et libertés : Bilan d’activité de la Cnil (2ème session)Petit-déjeuner du 16 septembre 2015 « Informatique et libertés : Bilan d’activité Cnil » 2ème session Alain Bensoussan.

L’année 2014 a confirmé la tendance observée depuis quelques années quant à l’augmentation des activités de contrôle et de sanction de la Cnil. Pour 2015, la Commission se fixe un objectif d’environ 550 contrôles se décomposant de la façon suivante :

  • environ 350 vérifications sur place, dont un quart sur les dispositifs de vidéoprotection ;
  • 200 contrôles en ligne.

Parmi les thématiques prioritaires des contrôles figurent les « Binding Corporate Rules » (BCR). Ce qui permettra à la Commission d’avoir un éclairage sur l’impact du dispositif au regard de la protection des données et du respect de la vie privée au sein des groupes concernés.

De plus, le nombre de plaintes est toujours aussi important : 5800 plaintes enregistrées en 2014.

Au-delà de ces chiffres, l’année 2014 se caractérise par les initiatives de la Cnil pour accompagner les entreprises dans leur démarche de conformité à la réglementation Informatique et libertés :

  • publication du label « Gouvernance Informatique et Libertés ;
  • élaboration du pack de conformité assurance.

L’année 2015-2016 s’annonce également riche en actions pour la Cnil, au vu du programme des contrôles annoncés.

Nous vous proposons, dans le cadre de ce petit-déjeuner débat, de préciser les actions à mettre en œuvre par les entreprises pour assurer la conformité de leur activité à la réglementation Informatique et libertés et anticiper l’adoption du projet de règlement européen en matière de protection des données qui devrait être adopté fin 2015.

Le petit-déjeuner débat a lieu de 9h30 à 12h00 (accueil à partir de 9h00) dans nos locaux, 58 bd Gouvion-Saint-Cyr, 75017 Paris.

La diffusion a eu lieu sur notre chaîne YouTube Lexing Alain Bensoussan Avocats lors de la première session du petit-déjeuner débat, qui s’est déroulée le 9 septembre 2015.




Informatique et libertés : Bilan d’activité de la Cnil (1ère session)

Informatique et libertés : Bilan d’activité de la CnilPetit-déjeuner du 9 septembre 2015 « Informatique et libertés : Bilan d’activité de la Cnil » – Alain Bensoussan.

L’année 2014 a confirmé la tendance observée depuis quelques années quant à l’augmentation des activités de contrôle et de sanction de la Cnil. Pour 2015, la Commission se fixe un objectif d’environ 550 contrôles se décomposant de la façon suivante :

  • environ 350 vérifications sur place, dont un quart sur les dispositifs de vidéoprotection ;
  • 200 contrôles en ligne.

Parmi les thématiques prioritaires des contrôles figurent les « Binding Corporate Rules » (BCR). Ce qui permettra à la Commission d’avoir un éclairage sur l’impact du dispositif au regard de la protection des données et du respect de la vie privée au sein des groupes concernés.

De plus, le nombre de plaintes est toujours aussi important : 5800 plaintes enregistrées en 2014.

Au-delà de ces chiffres, l’année 2014 se caractérise par les initiatives de la Cnil pour accompagner les entreprises dans leur démarche de conformité à la réglementation Informatique et libertés :

  • publication du label « Gouvernance Informatique et Libertés ;
  • élaboration du pack de conformité assurance.

L’année 2015-2016 s’annonce également riche en actions pour la Cnil, au vu du programme des contrôles annoncés.

Nous vous proposons, dans le cadre de ce petit-déjeuner débat, de préciser les actions à mettre en œuvre par les entreprises pour assurer la conformité de leur activité à la réglementation Informatique et libertés et anticiper l’adoption du projet de règlement européen en matière de protection des données qui devrait être adopté fin 2015.

La session du 9 septembre étant complète, une seconde session a eu lieu le 16 septembre 2015.

Vous pouvez également le revoir sur notre chaîne YouTube : Lexing Alain Bensoussan Avocats  (lien vers la vidéo).




La Cnil contrôle en ligne les sites web destinés aux enfants

La Cnil contrôle en ligne les sites web destinés aux enfantsLa Cnil a annoncé sa nouvelle campagne de contrôles en ligne débutant le 12 mai, sur les sites web destinés aux enfants. 

Cet audit s’inscrit dans le cadre des Internet Sweep Day, organisés par les 29 autorités de protection des données dans le monde, rassemblées au sein du GPEN (Global Privacy Enforcement Network).

La Cnil a participé à plusieurs « sweep days » au cours des derniers mois. Toutefois, le bilan des dernières opérations ont révélé que de nombreux sites web et applications mobiles collectaient un nombre important de données tout en délivrant une information souvent insuffisante aux personnes concernées.

Après les sites internet, les applications mobiles et les cookies, les sites web à destination des enfants représentent la nouvelle cible des contrôles de la Cnil.

Dans ce cadre, chaque autorité mènera, entre le 11 et le 15 mai, sur son territoire national des opérations d’audit.

Partant du constat qu’en France, « les enfants de 7 à 12 ans passent chaque semaine 5 heures sur internet et plus de 11 heures pour les adolescents de 13 à 19 ans », la Cnil a choisi le 12 mai pour examiner le respect de la vie privée par 50 sites web à destination des enfants.

Les sites web concernés sont principalement « des sites de jeux, de réseaux sociaux, ainsi que de sites offrant des services éducatifs ou de soutien scolaire ». La Cnil considère que ces sites web nécessitent une attention particulière quant aux données collectées et aux mesures de protection mises en place.

Exerçant ses récents pouvoirs de contrôle sur Internet, la Cnil a précisé dans son communiqué qu’elle vérifiera notamment :

  • la mise en œuvre du recueil d’un accord parental avant l’utilisation des services et la collecte de données personnelles ;
  • la sensibilisation du public aux enjeux de vie privée,
  • la fourniture d’une information relative à la protection des données adaptée au jeune public visé (langage clair, animations,…) ;
  • la simplification de la suppression des informations personnelles qui seraient transmises par des enfants.

L’objectif annoncé de cette opération est triple :

  • sensibiliser le public, et notamment les parents d’enfants utilisateurs de services en ligne ;
  • promouvoir les bonnes pratiques auprès des acteurs du secteur ;
    dresser « un panorama mondial des pratiques des sites à destination des enfants, ainsi que des spécificités nationales ».

Les résultats seront publiés par la Cnil à l’automne 2015. A cet égard, la Cnil rappelle qu’en fonction des manquements constatés, des contrôles sur place pourraient être effectués et des sanctions pourraient être encourues.

Dans ce cadre, chaque éditeur de site web à destination du jeune public doit rapidement procéder à un audit Informatique et libertés de son site Internet afin de pouvoir identifier les éventuels manquements et de mettre en œuvre immédiatement les actions correctrices.

Céline Avignon
Raouf Saada
Lexing Droit Marketing électronique




Les contrôles Cnil à distance vont se multiplier

Les contrôles Cnil à distance vont se multiplier
Les contrôles Cnil à distance vont se multiplier en 2015. Céline Avignon apporte quelques recommandations dans sa chronique mensuelle pour E-commerce Magazine. Depuis le mois de septembre, la Cnil peut en effet effectuer des contrôles à distance afin de vérifier la conformité des plateformes à la loi Informatique, fichiers et libertés.

La Loi dite “Hamon” regorge de dispositions contraignant les entreprises à modifier leurs pratiques ou à revoir leurs documents contractuels. À côté de ces dispositions placées sous les feux des projecteurs, d’autres sont restées dans l’ombre. Pour autant, ces dispositions ont octroyé à la Cnil des pouvoirs lui permettant de rendre plus efficace son action en faveur de la protection des données.

Le législateur a en effet doté la Cnil d’un nouveau pouvoir de contrôle à distance, qui va lui permettre de balayer depuis ses locaux les sites et applications mobiles.

Depuis l’entrée en vigueur de la loi relative à la consommation en mars 2014 (loi 2014-344), elle détient une nouvelle prérogative lui permettant de procéder à des contrôles et constatations en ligne. A n’en pas douter, la Cnil effectuera des contrôles en ligne pour vérifier que ses préconisations sont bien mises en œuvre, notamment celles qui sont issues de sa délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs.

Avec ces nouveaux pouvoirs, les éditeurs de sites internet d’applications mobiles pourront à tout moment faire l’objet de contrôles à distance. En conséquence, la conformité à la loi informatique, fichiers et libertés doit faire partie intégrante de la stratégie digitale d’une entreprise.

Céline Avignon apporte des recommandations sur la rédaction d’une politique de cookies, d’une politique de confidentialité ou encore de mentions d’information conformes aux exigences de la loi sont des mesures indispensables du plan d’action à mettre en œuvre dans la démarche de la mise en conformité.

Céline Avignon, « Les nouveaux pouvoirs de la Cnil », E-commerce Magazine, Janvier 2015.




Cookies sweep days : un prélude à des contrôles Cnil

Cookies sweep days : un prélude à des contrôles CnilCookies sweep days. Katharina Berbett revient pour Stratégie internet sur l’opération d’audit en ligne de sites internet très fréquentés, encore appelée « Cookies sweep days », diligentée par la Cnil du 15 au 19 septembre 2014, aux côtés d’autres autorités européennes de protection des données, en vue d’évaluer le respect des dispositions légales.

Cette opération a pu servir de « répétition générale » en vue des contrôles que la Cnil a annoncé lancer au mois d’octobre, dans le cadre de ses pouvoirs de vérification sur place et de ses nouveaux pouvoirs de contrôle en ligne instaurés par la loi Hamon.

Pour mémoire, depuis 2011, la loi Informatique et libertés prévoit que les cookies ou autres traceurs, à l’exception de certains cookies techniques, ne peuvent être déposés ou lus sur le terminal d’un internaute, tant que celui-ci n’a pas donné son consentement après avoir été préalablement informé.

Le 5 décembre 2013, la Cnil a émis, par délibération n°2013-378, une recommandation (1), ainsi que des fiches pratiques pour la mise en conformité des sites internet avec la loi.

La mise en conformité de son site n’est pas à prendre à la légère, la Cnil ayant annoncé des mises en demeure, voire des sanctions, à l’égard des éditeurs de sites et d’applications à l’encontre desquels des manquements auront été constatés. L’amende encourue en cas d’infraction peut atteindre 150.000 euros et être assortie de mesures de publication ayant un impact désastreux sur la confiance des internautes.

Katharina Berbett, « Cookies sweep days : répétition générale avant le lancement de contrôles par la Cnil » , Stratégie internet, n°186, Octobre-Novembre 2014

(1) Lire un précédent Post du 20-12-2013.




Cnil : nouveau pouvoir de contrôle en ligne

Cnil : nouveau pouvoir de contrôle en ligneCnil – La loi Informatique et libertés octroie à la Cnil un pouvoir de contrôle de la mise en œuvre des traitements (Loi 78-17, art. 44). Dans ce cadre, la Cnil peut exercer des contrôles sur place au sein des organismes, procéder à des auditions au sein de la Commission et effectuer des contrôles sur pièces.

Depuis l’entrée en vigueur de la loi relative à la consommation en mars 2014 (Loi 2014-344), la Cnil détient une nouvelle prérogative : la constatation en ligne.

Le nouvel article 44 de la loi Informatique et libertés prévoit ainsi qu’en dehors des contrôles sur place et sur convocation, les membres de la Cnil et agents de ses services habilités peuvent procéder à toute constatation utile et notamment : « à partir d’un service de communication au public en ligne, consulter les données librement accessibles ou rendues accessibles, y compris par imprudence, par négligence ou par le fait d’un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données le temps nécessaire aux constatations ».

Désormais, la Cnil peut ainsi exercer son pouvoir de constatation depuis ses locaux et en dehors de la présence du responsable du traitement, qui en sera toutefois informé à l’issue des constatations.

Procédure. En pratique, la procédure de contrôle en ligne reste assez similaire à la procédure de contrôle sur place avec une décision de contrôle prise par la Présidente, un ordre de mission désignant les personnes chargées de réaliser le contrôle et la rédaction d’un procès-verbal.

Néanmoins, contrairement à la procédure de contrôle sur place, les opérations de contrôle et le procès-verbal de constatation ne sont pas effectués de manière contradictoire. Le procès-verbal, ainsi que ses annexes, sont adressés au responsable du traitement contrôlé à l’issue des opérations de contrôle afin que ce dernier puisse présenter ses observations dans un délai imparti.

A l’issue des opérations de contrôle en ligne, la Cnil aura la possibilité de poursuivre ses investigations par les autres moyens de contrôle dont elle dispose, envoyer des mises en demeure ou engager une procédure de sanction.

Périmètre. Cette nouvelle prérogative permet à la Cnil de contrôler le respect de certaines obligations prévues par la loi et notamment la pertinence des données, les mentions d’information du public, la sécurité des données ainsi que la réalisation des formalités indiquées.

Ce pouvoir de contrôle en ligne permet par ailleurs de vérifier la mise en œuvre des préconisations issues de sa délibération n°2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs.

Avec ces nouveaux pouvoirs, les éditeurs de sites internet d’applications mobiles pourront à tout moment faire l’objet de contrôle à distance par la Cnil.

En conséquence, la conformité Informatique et libertés doit faire partie intégrante de la stratégie de développement des sites internet et applications mobiles. A ce titre, la rédaction d’une politique cookies, d’une politique de confidentialité ou encore de mentions d’information conformes aux exigences de la loi sont des mesures indispensables du plan d’actions à mettre en œuvre dans la démarche de la mise en conformité.

Céline Avignon
Raouf Saada
Lexing Droit Marketing électronique




Cnil : impact du bilan d’activité sur les entreprises (2e session)

Petit-déjeuner Informatique et libertés du 23 septembre 2014 – Alain Bensoussan a animé la seconde session du petit-déjeuner débat consacré au 34e rapport d’activité de la Cnil et aux plans de mise en conformité qui s’imposent aux entreprises pour anticiper le projet de Règlement européen en voie d’adoption.

L’année 2013 a confirmé la tendance observée depuis quelques années quant à l’augmentation des activités de contrôle et de sanction de la Cnil. Ainsi 414 contrôles ont été effectués en 2013 dont 134 ont porté sur les dispositifs de vidéoprotection. De plus, le nombre de plaintes est toujours aussi important puisque 5640 plaintes ont été enregistrées (près de 2000 concernant l’e-réputation).

Au-delà de ces chiffres, l’année 2013 se caractérise par de nombreuses initiatives de la Cnil pour accompagner les entreprises dans leur démarche de conformité avec les exigences issues de la réglementation Informatique et libertés :

  • délivrance de labels ;
  • élaboration de packs de conformité sectoriels ;
  • recommandations sur les cookies et autres traceurs, la conservation des cartes bancaires par les commerçants et les coffres forts numériques.

La Cnil a également formulé plusieurs propositions d’évolution législative qui pourraient être envisagées dans la perspective du projet de loi sur le numérique ; propositions qui devront s’articuler avec la proposition de règlement européen sur la protection des données, actuellement en cours de discussion.

L’année 2014-2015 s’annonce également riche en actions pour la Cnil, au vu du programme des contrôles annoncés.

Nous vous proposons, dans le cadre de ce petit-déjeuner débat, de préciser les actions à mettre en oeuvre par les entreprises pour assurer la conformité de leur activité à la réglementation Informatique et libertés et anticiper l’adoption du projet de règlement européen en matière de protection des données qui devrait être adopté dans le courant du premier trimestre 2015.

Le petit-déjeuner a eut lieu de 9h30 à 12h00 (accueil à partir de 9h00) dans nos locaux, 58 boulevard Gouvion-Saint-Cyr, 75017 Paris.

Vous pouvez suivre la présentation de Me Bensoussan sur notre chaîne YouTube : Lexing Alain Bensoussan Avocats.




Applications mobiles Sweep Day : l’opacité de l’information

Applications mobiles Sweep Day : l’opacité de l’informationApplications mobiles – L’opération Sweep Day des applications mobiles menée le 13 mai 2014 (1) par la Cnil et 26 de ses homologues dans le monde a permis d’analyser 1211 applications mobiles. Il s’agissait de la seconde opération Sweep Day portant sur des applications mobiles, la première ayant été menée le 6 mai 2013 (2).


L’échantillon d’applications mobiles examiné c’est voulu représentatif : des applications gratuites et payantes provenant de tous secteurs confondus, allant d’application mobile de gestion de compte bancaire, aux jeux en passant par le quantified self (3).
Au niveau mondial, les constats sont les suivants :

  • une collecte généralisée des données personnelles des utilisateurs : 75 % des applications auditées collectent des données de façon généralisée sans que la finalité de l’application le justifie telles que la localisation, l’identifiant du terminal mobile, ainsi que les données d’accès à des comptes utilisateurs sont collectées ;
  • une information insuffisamment claire des internautes sur les conditions de traitement de leurs données personnelles : 50 % des applications auditées ont une information difficilement accessible ou illisible.

Au niveau national, les constats décrits au niveau mondial se retrouvent. Ainsi, concernant la collecte généralisée des données personnelles des utilisateurs, il a été constaté que les 10 données les plus collectées sans que la finalité de l’application le justifie sont par ordre de priorité : la localisation, l’identification de l’appareil, le stockage, la galerie photo et appareil photo, les contacts, les autres comptes utilisateurs, le microphone, les SMS/MMS, le calendrier, le journal d’appel.

Dans ce contexte, la Cnil recommande aux éditeurs d’applications mobiles d’améliorer la qualité de l’information et la transparence de leur utilisation des données personnelles qu’ils collectent (4).

Aussi, à tous les éditeurs d’applications mobiles, il est recommandé de prendre en compte dès la conception de l’application mobile, les contraintes juridiques relatives à la protection des données à caractère personnel par la définition des données qu’ils souhaitent collecter afin d’identifier précisément les contraintes juridiques existantes et les développements que cela implique tout en définissant et rendant accessible une politique de protection des données de l’application.

Une telle démarche permettra en plus de se prémunir contre d’éventuelles sanctions de la Cnil pour non-respect de la loi Informatique et libertés.

Elle constituera un atout concurrentiel et permettra d’instaurer un climat de confiance avec leurs utilisateurs, sans laquelle il sera difficile de pérenniser le succès des applications mobiles).

Céline Avignon
Anais Gimbert-Bonnal
Lexing Droit Marketing électronique

(1) Cf. notre post du 13-5-2014.
(2) Cf notre post du 6-5-2013.
(3) Cf. notre post du 4-7-2014.
(4) Cnil, actualité du 16-9-2014.




Cnil : impact du bilan d’activité sur les entreprises

Impact du bilan d’activité de la Cnil sur les entreprises (1re session close)Petit-déjeuner Informatique et libertés du 10 septembre 2014 – Alain Bensoussan a animé un petit-déjeuner débat consacré au 34e rapport d’activité de la Cnil et aux plans de mise en conformité qui s’imposent aux entreprises pour anticiper le projet de Règlement européen en voie d’adoption.

L’année 2013 a confirmé la tendance observée depuis quelques années quant à l’augmentation des activités de contrôle et de sanction de la Cnil. Ainsi 414 contrôles ont été effectués en 2013 dont 134 ont porté sur les dispositifs de vidéoprotection. De plus, le nombre de plaintes est toujours aussi important puisque 5640 plaintes ont été enregistrées (près de 2000 concernant l’e-réputation).

Au-delà de ces chiffres, l’année 2013 se caractérise par de nombreuses initiatives de la Cnil pour accompagner les entreprises dans leur démarche de conformité avec les exigences issues de la réglementation Informatique et libertés :

  • délivrance de labels ;
  • élaboration de packs de conformité sectoriels ;
  • recommandations sur les cookies et autres traceurs, la conservation des cartes bancaires par les commerçants et les coffres forts numériques.

La Cnil a également formulé plusieurs propositions d’évolution législative qui pourraient être envisagées dans la perspective du projet de loi sur le numérique ; propositions qui devront s’articuler avec la proposition de règlement européen sur la protection des données, actuellement en cours de discussion.

L’année 2014-2015 s’annonce également riche en actions pour la Cnil, au vu du programme des contrôles annoncés.

Nous vous proposons, dans le cadre de ce petit-déjeuner débat, de préciser les actions à mettre en oeuvre par les entreprises pour assurer la conformité de leur activité à la réglementation Informatique et libertés et anticiper l’adoption du projet de règlement européen en matière de protection des données qui devrait être adopté dans le courant du premier trimestre 2015.

Le petit-déjeuner a eu lieu de 9h30 à 12h00 (accueil à partir de 9h00) dans nos locaux, 58 boulevard Gouvion-Saint-Cyr, 75017 Paris.

Suivez-le sur notre chaîne YouTube : Lexing Alain Bensoussan Avocats en cliquant ici

Une seconde session a eu lieu le 23 septembre 2014.

 




Prêt pour l’opération « Cookies sweep day » de la Cnil (sessionclose)

Prêt pour l’opération Cookies sweep day de la CnilPetit-déjeuner du 3 septembre 2014 « Opération Cookies sweep day » – Céline Avignon a animé un petit-déjeuner débat consacré à l’opération « Cookies sweep day » du 15 au 19 septembre 2014 annonçant des contrôles Cnil pour octobre dans le but de vérifier le respect des dispositions par les éditeurs.

Le 5 décembre 2013, la Cnil a publié une recommandation relative aux cookies et autres traceurs, ainsi que des fiches pratiques à destination des responsables de traitement afin de les épauler dans la mise en conformité de leur site internet. un outils cookieviz a également été développé et mis gratuitement à disposition par la Cnil.

9 mois après, la Cnil entend contrôler le respect de l’ensemble de ses préconisations, dans le cadre de ces nouveaux pouvoirs de contrôle à distance. A cette fin elle a analysé :

  • les types de cookies utilisés par le site web, leurs finalités et la connaissance par les éditeurs de site de la finalité de tous les cookies déposés ou lus depuis leur  site ;
  • les finalités des cookies utilisés, et l’existence  de cookies sans finalité ;
  • les modalités de recueil du consentement dans le cas où la finalité du cookie utilisé l’impose ;
  • la visibilité, la qualité et la simplicité de l’information relative aux cookies ;
  • les conséquences, en cas de refus de l’internaute d’accepter le dépôt des cookies nécessitant un consentement ;
  • l’existence de la possibilité pour l’internaute de retirer son consentement à tout moment ;
  • le respect de la durée de vie maximale des cookies et de la validité du consentement de l’internaute à 13 mois ;
  • la sécurité des données, la présence de données sensibles, etc.

Céline Avignon est revenu sur l’ensemble de ces obligations et sur les mesures à mettre en œuvre d’urgence pour être en conformité.

Le petit-déjeuner a eu lieu de 9h30 à 12h00 (accueil à partir de 9h00) dans nos locaux, 58 boulevard Gouvion-Saint-Cyr, 75017 Paris.

Session close