Comment la CNIL procède pour ses contrôles en ligne

Le dîner de contrôles 11
En bref
image dediée
Crédits : Federico Caputo/iStock/ThinkStock
Loi
Xavier Berne

Sécurité des données collectées, mentions d'informations à destination du public, modalités de recueil du consentement de l'internaute... La Commission nationale de l’informatique et des libertés (CNIL) peut désormais vérifier tous ces éléments à distance, sans que le responsable du site concerné n'en soit informé. Retour sur la mise en place de ce pouvoir de contrôle dévolu il y a peu à l’institution.

Depuis l’entrée en vigueur de la loi « Hamon » sur la consommation, en mars dernier, la CNIL dispose d’une nouvelle corde à son arc. Et pas n’importe laquelle. Alors que l’institution était jusqu’ici contrainte d’effectuer des contrôles sur place, avec tout ce que cela implique en termes d’effet de surprise et de discrétion, elle est désormais habilitée à mener des investigations à distance. Autrement dit, les agents de la Commission peuvent dorénavant consulter toutes les données librement accessibles sur le Net, et constater en bonne et due forme que le responsable d’un site est en conformité – ou non – avec la loi « Informatique et Libertés ».

« La différence majeure de ce nouveau pouvoir réside dans le fait que les constatations sont effectuées depuis les locaux de la CNIL sans la présence du responsable de traitement, qui n'en sera informé qu'une fois les vérifications effectuées » explique à cet égard la Commission. Si l’institution était restée jusqu’ici assez discrète sur la façon dont elle entendait mettre en œuvre ce nouveau pouvoir, elle a décrit il a quelques jours la « procédure type » pour ces investigations en ligne. Celles-ci se déroulent en plusieurs étapes :

  1. Sur décision de la présidente de la CNIL, un ordre de mission est rédigé, dans lequel sont désignés précisément les agents chargés de réaliser un contrôle.

  2. Un procès-verbal est établi, afin de décrire la méthodologie appliquée (l'environnement technique du contrôle et les éléments vérifiés sont notamment mentionnés).

  3. Une fois le contrôle réalisé, un « procès-verbal de constatations en ligne » est adressé au responsable du site opérant un traitement de données personnelles (dans un délai non précisé).  La personne contrôlée a alors la possibilité de faire part de ses observations à la CNIL.

  4. Si elle l’estime nécessaire, la CNIL peut compléter ses investigations en ligne par d’autres contrôles, sur place ou en convoquant le responsable du traitement.

À partir de tous ces éléments, la Commission décide des suites qu’elle entend donner à la procédure. Comme d’habitude en cas de manquement(s), elle peut demander aux responsables concernés de se mettre en conformité avec la législation applicable aux données personnelles – faute de quoi une procédure de sanction est en principe ouverte.

Pour cette année, la CNIL prévoit d’effectuer 200 contrôles en ligne. Il se pourrait d’ailleurs bien que les sites de rencontre en ligne soient parmi les premiers à faire l’objet d’une telle inspection à distance, puisque ceux-ci font partie des priorités affichées par l’institution s'agissant des contrôles pour l'année 2014. « Les acteurs de ce secteur collectent de nombreuses données, y compris des données sensibles (orientations sexuelles, origines ethniques, religion...) » expliquait ainsi la Commission en avril dernier.


chargement
Chargement des commentaires...