La Cnil audite les 250 plus gros sites internet

cnilDans un communiqué de presse du 6 mai 2013, la Cnil a annoncé qu’elle effectuait, depuis ses bureaux, un audit des 250 plus importants sites internet.

Ces audits s’inscrivent dans le cadre de l’ « Internet Sweep Day », en français, la « Journée de balayage de l’internet » qui semble porter sur l’information des consommateurs sur le traitement de leurs données à caractère personnel.

Une vingtaine d’autorités mondiales équivalentes à la Cnil, membres du Global Privacy Enforcement Network (GPEN), vont auditer ce jour des sites internet. Il s’agit de la première action commune du GPEN. Pour rappel, le GPEN a été créé, en 2007, en vue de renforcer la protection de la vie privée dans un contexte mondial.

Les audits menés par la Cnil porteront sur l’information des internautes concernant :

  • les données collectées ;
  • la finalité de la collecte ;
  • la communication des données à des tiers ;
  • l’exercice du droit d’opposition.

La Cnil précise que ces audits pourront donner lieu à des missions de contrôle et à l’ouverture de procédures de sanction en cas de constatation de graves manquements à la loi Informatique et libertés. Elle annonce, par ailleurs, qu’un compte rendu sera prochainement publié.

Dans ce contexte, les éditeurs de sites auraient tout intérêt à procéder à ce même type d’audit afin de vérifier la conformité de leur site sur ces points.

Céline Avignon
Caroline Macé
Lexing Droit Marketing électronique




Les contrôles de la Cnil : bilan et tendances

ContrôleLa Cnil dresse son bilan des contrôles 2012 et fixe les tendances pour 2013. Elle projette ainsi 400 contrôles, ce qui doit amener les entreprises à se mettre en conformité avec la loi sur la protection des données à caractère personnel pour éviter tout risque de sanctions.
Ces contrôles porteront, en priorité, sur les traitements concernant des personnes fragiles ou vulnérables avec un appel à la coopération internationale entre les autorités européennes de protection des données.

Chloé Torres L’Usine nouvelle, le 18 avril 2013




La Cnil et cinq autres autorités européennes lancentuneactioncontre Google

Flag of European UnionLe groupe de l’article 29, qui regroupe les autorités de protection des données européenne dont la Cnil, a mené pendant plusieurs mois une étude de la conformité des règles de confidentialité publiées par Google avec les exigences découlant des réglementations européennes en matière de protection des données à caractère personnel. Les conclusions de cette étude ont été rendues publiques le 26 octobre 2012.

Le groupe de l’article 29 a, sur cette base, demandé à Google de se mettre en conformité dans un délai de 4 mois. Or, à l’issue de ce délai Google n’a adopté aucune mesure concrète de mise en conformité de ses règles de confidentialité avec la réglementation applicable. En conséquence, six autorités européennes de protection des données ont chacune lancé des actions contre Google.

La Cnil a, pour sa part, notifié à Google sa décision d’ouvrir une procédure de contrôle ainsi qu’une procédure de coopération internationale avec ses homologues européens. Google va se faire assisté, dans ce cadre, de spécialistes du domaine Informatique et libertés.

La Cnil avait d’ailleurs annoncée, le 19 mars dernier, lors de la publication de son plan de contrôle 2013, qu’elle mettrait l’accent sur la coopération internationale, en termes de contrôle, entre autorités de protection des données.

Chloé Torres
Lexing Droit Informatique et libertés

Actualité Cnil du 2-4-2013.




Les contrôles Cnil, deux ans après la Loppsi 2

Contrôles CnilContrôles Cnil – Pour Vidéosurveillance Infos, Me Alain Bensoussan répond aux questions d’Evelyne Guitard sur la vidéoprotection et les contrôles Cnil, ainsi que sur les perspectives 2013.

La Loppsi 2 qui est devenue le Code de la sécurité intérieure et dans lequel on retrouve la loi de 1995, est organisée avec une suma divisio assez simple, avec d’un coté le domaine public et de l’autre le domaine privé.

On s’est aperçu assez vite, avec la vidéoprotection, que ces critères n’étaient pas si évidents que cela. Au fond, aujourd’hui, on a trois zones…

L’interview vidéo a également été publié dans Vidéosurveillance Infos, Janv.Févr. 2013




La Cnil adopte son programme de contrôle pour 2013

programme de contrôleLa Cnil a fixé dans son programme de contrôle à 400 contrôles son objectif pour l’année 2013. Après avoir réalisé 458 contrôles en 2012, soit une augmentation de 19 % par rapport à 2011, la Cnil poursuit sa mission sur un rythme constant.

Elle continue les contrôles qu’elle a pu mener en 2012 sur les dispositifs de vidéoprotection/vidéosurveillance et évalue qu’un quart de ses contrôles porteront sur ces dispositifs. En 2012, 173 contrôles concernaient les dispositifs de vidéoprotection/vidéosurveillance, soit une augmentation de 14,5 % par rapport à 2011.

Les trois autres quarts de ses contrôles auront pour objet les fichiers relevant directement de la loi Informatique et libertés. En 2012, son programme de contrôle avait représenté 285 des contrôles. Enfin et suite aux nombreuses plaintes que la Cnil a pu recevoir en 2012, soit 6000 plaintes, elle compte dédier une part plus importante de ses contrôles s’inscrivant dans le cadre de l’instruction des plaintes reçues.

Dans son programme de contrôle, la Cnil s’est fixée deux axes majeurs pour 2013 : la protection des personnes vulnérables et la coopération internationale.

Si la coopération internationale a déjà été mise en œuvre sur certains dossiers, cette coopération avec les autres autorités européennes augmentera en 2013, et ce d’autant plus que la proposition de règlement européen met l’accent sur ce point.

En plus de ces deux axes prioritaires, elle a déterminé les thématiques prioritaires suivantes :

  • le traitement des données par les instituts de sondage ;
  • les données traitées dans le cadre de l’internet en libre accès ;
  • le traitement par les collectivités locales des données relatives aux difficultés sociales des personnes ;
  • les données des personnes détenues en établissements pénitentiaires ;
  • le contrôle des services opérationnels de police et de gendarmerie.

Concernant certains contrôles, et notamment celui des services opérationnels de police et de gendarmerie, ce dernier faisait déjà partie des contrôles prévus en 2012. Cependant, face à l’ampleur du contrôle STIC, c’est-à-dire du système de traitement des infractions constatées, pour lequel la Cnil avait déjà remis un rapport en 2009 et a mené un nouveau contrôle fin 2012, la Cnil n’a pas pu réaliser la mission prévue sur les services opérationnels de police et de gendarmerie et mènera donc ce contrôle en 2013.

Chloé Torres
Lexing Droit Informatique et libertés

Actualité Cnil du 19-3-2013.




Comment faire face à l’augmentation des contrôles Cnil ?

  • contrôles CnilLes contrôles Cnil sont en augmentation. En témoignent les chiffres phares qui ont marqués l’année 2011 :
  • +25% du nombre des contrôles Cnil par rapport à 2010, soit 385 contrôles sur l’ensemble de l’année ;
  • 85% des organismes contrôlés appartiennent au secteur privé ;
  • 15% relèvent du secteur public ;
  • 40% des contrôles ont été menés en suivant les principaux axes du programme annuel adopté par la formation plénière de la Cnil ;
  • une vingtaine de contrôles a concerné le traitement des données de santé (hôpitaux, cliniques etc.) mais aussi le traitement des données clients (sites de commerce en ligne, prestataires marketing) ;
  • une dizaine de contrôles a été effectué auprès d’agences de recherches privées et de recouvrement ;
  • une quinzaine de contrôles a concerné des multinationales basées en France et qui opèrent des flux de données transfrontières.

L’origine de ces contrôles Cnil :

  • 24% des contrôles ont été réalisés suite à l’instruction de plaintes ;
  • 11% dans le cadre de procédures de sanction ;
  • 25% pour des raisons liées à l’actualité et en particulier à la question des failles de sécurité ;
  • les partenariats existants entre la Cnil et certaines autorités administratives ont également conduits à des échanges d’informations permettant l’intervention de la Commission ;
  • les signalements effectués par l’Inspection du travail ou les saisines de la Cnil par le défenseur des droits sont aussi, pour partie, à l’origine de ces contrôles.

Au-delà de ces chiffres, l’année 2011 marque incontestablement une forte croissance dans l’activité de contrôle de la Cnil qui devrait encore amener les entreprises à se mettre rapidement en conformité avec la législation en vigueur. Cette tendance est appelée à se généraliser.

Il convient enfin d’observer que les entreprises contrôlées sont de plus en plus nombreuses à se faire assister d’un avocat expert du domaine. Le rôle de l’avocat est, en effet, déterminant notamment lors de la préparation du contrôle de la Cnil et au moment de la validation du procès-verbal présenté par les agents de la Commission.




Contrôles Cnil 2011 : bilan et tendances

Contrôles CnilL’année 2011 se présente comme une année charnière dans le cadre des contrôles Cnil, entre la LOPPSI 2 et le Défenseur des droits.

D’une part, la loi du 14 mars 2011 dite LOPPSI 2 a renforcé ses pouvoirs en lui octroyant le droit de procéder à la vérification des dispositifs de vidéoprotection.

D’autre part, la loi du 29 mars 2011 relative au Défenseur des droits a apporté des changements majeurs concernant les modalités d’exercice des pouvoirs de vérification de la Cnil.

En effet, depuis mars 2011, cette dernière est la seule autorité habilitée à diligenter des contrôles sur les dispositifs de vidéoprotection et de vidéosurveillance sur l’ensemble du territoire national. Près de 950 000 dispositifs sont donc aujourd’hui concernés.

De plus, la loi du 29 mars 2011 a introduit la possibilité, pour la Cnil, de saisir le juge des libertés et de la détention (JLD) compétent avant tout contrôle afin qu’il autorise la visite. Cette nouvelle faculté strictement encadrée par le contexte (urgence, gravité des faits, risque de destruction de documents etc.) permet ainsi d’éviter toute opposition au contrôle de la part du responsable de traitement.

L’année 2011 se caractérise par une augmentation de 25% du nombre des contrôles réalisés par la Cnil par rapport à 2010, soit 385 contrôles accomplis sur l’ensemble de l’année. Les organismes contrôlés appartiennent pour 85% au secteur privé et relèvent pour 15% du secteur public.

40% des contrôles ont été menés en suivant les principaux axes du programme annuel adopté par la formation plénière de la Cnil. Une vingtaine de contrôles a concerné le traitement des données de santé (hôpitaux, cliniques etc.) mais aussi le traitement des données clients (sites de commerce en ligne, prestataires marketing). Environ dix contrôles ont été effectués auprès d’agences de recherches privées et de recouvrement. Enfin, une quinzaine de contrôles concerne des multinationales basées en France et qui opèrent des flux de données transfrontières.

L’analyse de l’origine de ces contrôles est également significative. 24% des contrôles ont été réalisés suite à l’instruction de plaintes, 11% dans le cadre de procédures de sanction et 25% pour des raisons liées à l’actualité et en particulier à la question des failles de sécurité. Les partenariats existants entre la Cnil et certaines autorités administratives auront également conduits à des échanges d’informations permettant l’intervention de la Commission. Enfin, les signalements effectués par l’Inspection du travail ou les saisines de la Cnil par le défenseur des droits sont aussi, pour partie, à l’origine de ces contrôles.

Au-delà de ces chiffres, l’année 2011 marque incontestablement une forte croissance dans l’activité de contrôle de la Cnil qui devrait encore amener les entreprises à se mettre rapidement en conformité avec la législation en vigueur.

32e rapport d’activité 2011




Impact du bilan d’activité de la Cnil sur les entreprises

Petit-déjeuner débat Petit-déjeuner débat du 26 septembre 2012 – Alain Bensoussan et Chloé Torres ont animé un petit-déjeuner débat portant sur l’activité de la Cnil durant l’année écoulée.

Parmi les sujets qui ont préoccupé la Cnil, figurent en bonne place :

  • le fichage et la surveillance en entreprise : les entreprises ont de plus en plus d’outils pour capter et stocker des données, mais elles ne s’en servent pas toujours dans les règles ;
  • le transfert des données personnelles à l’étranger par les entreprises : elles sont de plus en plus nombreuses à recourir à des « règles internes d’entreprise », dites BRC ;
  • les offres de Cloud computing au regard de la protection des données personnelles et de la sécurité : la Cnil a lancé une consultation auprès des professionnels qui a donné lieu à des recommandations ;
  • le lancement des premiers labels Cnil : procédures d’audit de traitements et formations ;
  • l’informatisation des dossiers médicaux : la Cnil a publié un guide à l’usage des professionnels de santé ;
  • l’adoption de l’ordonnance de transposition du Paquet télécoms : la Cnil est désormais compétente pour examiner les failles de sécurité;
  • l’examen du projet de règlement européen visant à réformer la directive 95/46/CE qui rendrait obligatoire l’approche « Privacy by Design » ;
  • la sécurité des données dans les systèmes d’information avec la publication par la Cnil de deux guides pour gérer les risques sur la vie privée.

L’année 2012-2013 s’annonce également riche en actions pour la Cnil, au vu du programme des contrôles annoncés. En effet, la Cnil entend augmenter encore le nombre de ses contrôles, puisqu’elle a décidé d’en effectuer 450 (contre 400 en 2011) sur les thèmes qu’elle juge prioritaires :

  • la vidéoprotection (dispositifs mis en œuvre par les communes et les établissements recevant un nombre très important de personnes) ;
  • la téléphonie (Smartphone et applications associées) ;
  • la santé (dossier médical personnel et hébergement sur le cloud) ;
  • la sécurité : FAI et failles de sécurité ; fusion des fichiers de police et de gendarmerie ;
  • les fichiers du quotidien tenus par les entreprises fournissant des services de première nécessité (eau, gaz, électricité, etc.).

Ce petit-déjeuner a été l’occasion d’aborder les plans de mise en conformité qui s’imposent aux entreprises au vu de l’activité de la Cnil.

Le petit-déjeuner débat a eut lieu le 26 septembre 2012 de 9 heures à 11 heures (accueil à partir de 8 heures 30), salle « Grand Equateur » du Club Forst Hill – Aquaboulevard (face à nos locaux : Plan d’accès)

Il a donné lieu à une interview d’Alain Bensoussan par l’agence AEF(www.aef.info).




Des contrôles en matière de failles de sécurité prévus par la Cnil en 2012

failles de sécuritéLe 19 février 2012, la Cnil a fait part de son intention d’effectuer durant l’année des contrôles sur les failles de sécurité.

Elle considère que cette question constitue un « enjeu central en matière de protection des données ». Il s’agit en effet d’un sujet d’actualité intéressant aussi bien la Cnil que le législateur.

Le 24 août 2011, une ordonnance a créé l’article 34 bis de la loi du 6 janvier 1978 obligeant les fournisseurs de services de communications électroniques à notifier les violations de données à caractère personnel.

Plus récemment, le décret n° 2012-436 du 30 mars 2012 a fixé les modalités pratiques de ces notifications à la Cnil et aux personnes concernées.

Cnil, rubrique Actualité, article du 19 février 2012
Décret n° 2012-436 du 30-3-2012




300 contrôles Cnil au programme 2010

La Cnil a adopté son programme des contrôles sur place qui seront effectués en 2010. L’objectif est d’effectuer plus de 300 contrôles sur l’ensemble du territoire national. Le programme 2010 se décline autour de deux grands thèmes :

  • les contrôles destinés à apprécier l’effectivité des décisions prises par la Cnil ;
  • l’attention particulière portée à quatre domaines : la vidéosurveillance, le droit au logement et les pratiques dans l’immobilier, la protection des mineurs et les conséquences d’un voyage aérien sur la vie privée.

Les contrôles seront ainsi répartis : 50% consacrés à la réalisation du programme annuel ; 25% effectués dans le cadre de l’instruction de plaintes ; 15% effectués dans le cadre de suites de décisions adoptées par la formation contentieuse (vérification du respect des mises en demeure ou des décisions de sanction) ; 10% des contrôles réservés à des initiatives en lien avec l’actualité. Il est donc nécessaire d’organiser une procédure interne permettant d’anticiper, prévenir et faire face à un contrôle de la Cnil en toute sécurité juridique.

Cette procédure pourra organiser :

  • la constitution de la cellule de crise ;
  • la détermination des personnes devant être présentes lors du contrôle ;
  • les réunions préalables aux opérations de contrôle ;
  • l’arrivée des agents de la Cnil : vérification des ordres de missions et habilitations ;
  • la coopération apportée aux agents de la Cnil ;
  • les documents à produire ;
  • le reporting par les membres des départements concernés par les opérations de contrôle à leurs directions respectives ;
  • la réunion bilan en fin de journée au sein de chaque département ;
  • la réunion bilan entre le Cil, les directions concernés et le directeur d’établissement ;
  • le dialogue avec la Cnil ;
  • la préparation d’une audition par la Cnil ;
  • la rédaction et signature du procès verbal ;
  • les actions à mener à la suite du contrôle.

Cnil, Communiqué du 17 mars 2010




Le droit d’opposition du responsable de locaux contrôlés par la Cnil

Dans son communiqué du 2 décembre dernier, la Cnil prend acte des récentes décisions du Conseil d’Etat et annonce qu’elle va désormais procéder à l’information des personnes faisant l’objet d’un contrôle sur place de l’ensemble des éléments prévus à l’article 44 de la loi Informatique et libertés. Il en est ainsi notamment de leur droit à s’opposer ce contrôle et dans cette hypothèse, de la possibilité pour le président de la Cnil de saisir le président du tribunal de grande instance compétent afin que celui-ci autorise, par ordonnance, la mission de contrôle, y compris en faisant appel à la force publique. En effet, on se rappelle que dans deux arrêts rendus le 6 novembre 2009, le Conseil d’Etat intervient et pose une condition à la régularité des contrôles réalisés par la Cnil : les responsables de locaux professionnels doivent être informés de leur droit de s’opposer aux visites de la Cnil. Les faits sont identiques dans les deux espèces et peuvent être synthétisés par étapes :

  • une société procédait à des opérations de prospection téléphonique ;
  • plusieurs personnes contactées ont exercé leur droit d’opposition, souhaitant à être radié des listings de prospects de cette société ;
  • en dépit de l’exercice de leur droit d’opposition, ces personnes étaient à plusieurs reprises recontactées par cette même société ;
  • de nombreuses plaintes ont alors été déposées auprès de la Cnil ;
  • la Cnil a procédé à une mission de contrôle dans les locaux professionnels de la société.

En effet, conformément à l’article 44 I de la loi Informatique et libertés, « Les membres de la Cnil (..) ont accès, de 6 heures à 21 heures, pour l’exercice de leurs missions, aux lieux, locaux, enceintes, installations ou établissements servant à la mise en oeuvre d’un traitement de données à caractère personnel et qui sont à usage professionnel, à l’exclusion des parties de ceux-ci affectées au domicile privé. Le procureur de la République territorialement compétent en est préalablement informé ».

Au cours d’une première visite dans les locaux professionnels de la société, la Cnil a pu constater des infractions à la loi Informatique et libertés. Elle a ensuite mis en demeure la société de se conformer aux exigences de loi Informatique et libertés. Par courrier du 2 janvier 2006, la société a déclaré se conformer à cette mise en demeure. La Cnil a alors effectué un second contrôle le 9 février 2006 dans les locaux de la société mais cette dernière persistait à mettre en œuvre des traitements de données à caractère personnel sans se conformer à la loi Informatique et libertés. Dans le cadre d’une procédure contradictoire, une réunion a été organisée le 14 décembre 2006 pour que la société puisse s’expliquer et certains points ont ainsi pu être améliorés. Mais l’effectivité du droit d’opposition, fondé sur l’article 38 alinéa 2 de la loi Informatique et libertés, n’était toujours pas garantie.

Or, l’article 45-I de la loi Informatique et libertés prévoit que « si le responsable d’un traitement ne se conforme pas à la mise en demeure qui lui est adressée, la commission peut prononcer à son encontre, après une procédure contradictoire, les sanctions suivantes :

  • une sanction pécuniaire, dans les conditions prévues par l’article 47, à l’exception des cas où le traitement est mis en oeuvre par l’État ;
  • une injonction de cesser le traitement, lorsque celui-ci relève des dispositions de l’article 22, ou un retrait de l’autorisation accordée en application de l’article 25.

Dans ce contexte, la Cnil a prononcé une sanction pécuniaire de 30 000 euros à l’encontre de la société et enjoint la société de cesser la mise en œuvre du traitement de prospection commerciale. Aux fins de voir annuler cette sanction, la société a saisi le Conseil d’Etat aux motifs que la sanction repose sur des faits issus d’une procédure irrégulière. En effet, si la Cnil a le pouvoir de réaliser des missions de contrôle conformément à l’article 44-I de la loi Informatique et libertés, le responsable des locaux peut s’y opposer (article 44-II de la loi Informatique et libertés). Or, pour que l’exercice de ce droit d’opposition soit effectif, le responsable des locaux doit en être informé préalablement. A ce titre, le Conseil d’Etat a ajouté que :

  • la seule mention que le contrôle était effectué en application de l’article 44 de la loi du 6 janvier 1978 modifiée ne saurait tenir lieu de l’information requise ;
  • que, par suite, la société est fondée à soutenir que la sanction qui lui a été infligée, dès lors qu’elle reposait sur les faits constatés lors des contrôles effectués, a été prise au terme d’une procédure irrégulière ;
  • et qu’elle doit pour ce motif être annulée.

A ce jour, la Cnil prend acte de ces décisions et procède à l’information des personnes faisant l’objet d’un contrôle sur place tout en affirmant « solennellement son intention de saisir systématiquement l’autorité judiciaire en cas d’opposition afin de permettre la vérification de la conformité des fichiers à la loi ». En effet, s’opposer à l’action de la Cnil peut être constitutif d’un délit d’entrave puni d’1 an de prison et 15 000 euros d’amende (art. 51 de la loi I&L). On se souvient que le tribunal correctionnel de Paris a condamné pour délit d’entrave, le 29 janvier 2009, le directeur général d’une société s’étant opposé au contrôle de la Cnil sans avoir qualité pour le faire. Le devoir d’information désormais imposé par les décisions du Conseil d’Etat du 6 novembre et la disposition de la loi réprimant le délit d’entrave présentent donc certaines difficultés d’articulation que seule la loi peut résoudre. C’est pourquoi la Cnil a saisi le Premier Ministre et la Chancellerie afin d’éclaircir ce point en envisageant une modification de la loi Informatique et libertés.

CE 6-11-2009 n° 304301

CE 6-11-2009 n° 304300

Cnil, rubrique Actualité, article du 2 décembre 2009.