23 Mar Contrôles CNIL: comment se déroule un contrôle en ligne ? – 23 mars 2017
Comme le prévoit la loi Informatique et Libertés du 6 janvier 1978, la CNIL dispose d’un important pouvoir d’investigation et de contrôle.
Depuis mars 2014, la CNIL dispose d’un nouveau pouvoir de constatations en ligne introduit par la loi Consommation à l’article 44 de la loi Informatique et Libertés :
« En dehors des contrôles sur place et sur convocation, ils (les membres de la CNIL) peuvent procéder à toute constatation utile; ils peuvent notamment, à partir d’un service de communication au public en ligne, consulter les données librement accessibles ou rendues accessibles, y compris par imprudence, par négligence ou par le fait d’un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données le temps nécessaire aux constatations, ils peuvent retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle. »
Ce nouveau pouvoir vient donc s’ajouter aux autres moyens d’enquêtes et mesures déjà existantes : auditions sur convocation de la CNIL, contrôles sur place et contrôles sur pièces.
Contrairement aux autres contrôles, les constatations sont effectuées depuis les locaux de la CNIL, sans la présence du responsable de traitement.La décision est de procéder à une mission de contrôle.
Cette décision est prise par la Présidente de la CNIL sur proposition des services. A noter que le responsable de traitement n’est pas prévenu en amont.
Les agents habilités à réaliser le contrôle en ligne sont désignés par un ordre de mission du secrétaire général.
Comment se déroule un contrôle en ligne ?
La durée du contrôle est variable mais cela prend généralement au moins plusieurs heures.
La méthodologie utilisée et les vérifications faites dans le cadre du contrôle sont portées dans un procès-verbal factuel.
Celui-ci, ainsi que ses annexes, sont adressés au responsable de traitement par CD ROM contenant des fichiers chiffrés. La clé de déchiffrement est obtenue en contactant le service des contrôles de la CNIL. Le responsable de traitement dispose d’un délai de réponse pour faire part de ses observations au service des contrôles de la CNIL.
Au sein du procès-verbal ou suite à l’envoi de celui-ci, il est souvent demandé à l’organisme contrôlé d’apporter des précisions ou compléments notamment s’agissant de la finalité des cookies, de leur durée de conservation, …
Si nécessaire, la CNIL peut décider de poursuivre ses investigations grâce aux autres moyens de contrôles dont elle dispose : audition, contrôles sur place et sur pièces.
D’autres contrôles en ligne peuvent également être réalisés afin de vérifier les réponses apportées par le responsable de traitement ou afin de compléter les constatations déjà réalisées.
Les contrôles en ligne peuvent également donner lieu à la mise en demeure du responsable de traitement de se mettre en conformité avec les exigences de la loi « Informatique et Libertés » ou, lorsque le manquement constaté ne peut faire l’objet d’une mise en conformité dans le cadre d’une mise en demeure, déboucher directement sur une procédure de sanction.
Si le responsable de traitement se met en conformité avec la mise en demeure alors celle-ci est clôturée. A défaut la CNIL peut ouvrir une procédure de sanction.
Sur quels éléments portent les vérifications ?
Les contrôles en ligne permettent principalement de vérifier :
– Le type de traceurs éventuellement utilisés et les conditions de leur mise en oeuvre (information, durée de conservation, etc.);
– la pertinence des données collectées ; – les mentions d’information à destination du public (notamment les durées de conservation qu’il est obligatoire d’afficher depuis l’entrée en vigueur de la loi Lemaire) et les modalités de recueil du consentement s’il y a lieu ;
-la sécurité des données collectées et traitées (notamment les modalités de gestion des mots de passe et l’utilisation ou non du HTTPS lors de la collecte de données personnelles) ;
-la réalité des formalités indiquées.
La CNIL vérifie notamment la conformité des acteurs du numérique avec sa recommandation du 5 décembre 2013 relative aux cookies et autres traceurs.