Zoom sur le programme des contrôles de la CNIL en 2011

La Commission vient d’adopter son programme annuel des contrôles pour l'année 2011. Elle prévoit d’en réaliser 400 dans les domaines de la vidéoprotection, la sécurité des données de santé, des agences de recouvrement et des détectives, de la collecte de fichiers clients/prospects et des flux de données transfrontières.

2011 sera marquée par l'extension des pouvoirs de la CNIL en matière de contrôle des dispositifs dits "de vidéoprotection". Rappelons que depuis l'adoption de la LOPPSI, elle  peut contrôler tous les dispositifs dits "de vidéoprotection". A ce titre, elle s'est fixé comme objectif la réalisation d'au moins 150 contrôles portant sur ces dispositifs.

Au-delà, la mission de la Cnil consiste aussi à protéger les droits et libertés des citoyens et cette année elle a également inscrit à son programme des contrôles prioritaires dans les domaines de :
 
• La sécurité des données de santé; ici les contrôles porteront notamment sur les thèmes suivants : la télémédecine, qui connaît un développement rapide ; les hébergeurs de données de santé ; l'utilisation des données du PMSI (Programme de Médicalisation des Systèmes d'Information) par certains cabinets de conseil ; les registres( il s'agit de fichiers mis en oeuvre à des fins de surveillance sanitaire de la population qui portent sur des données directement nominatives) ;les traitements mis en oeuvre dans le cadre de la recherche médicale .

• les agences de recouvrement / les détectives privés ; là les contrôles devraient porter sur les opérations de  collecte déloyale, la durée de conservation (excessive !), absence d'information des personnes visées par les enquêtes.

• Client / prospect : les contrôles notamment réalisés dans ce cadre concerneront les mesures d'audience (panneaux publicitaires et prospection par voie électronique) et le profilage des personnes (sites web, réseaux sociaux, etc.) ou encore contrôles des prestataires spécialisés dans la mise en oeuvre de traitements de détection de la fraude sur le web ("listes noires"), puisque ces entreprises  collectent  de très nombreuses données sur les personnes effectuant des achats sur Internet.

• Les flux de données transfrontières, notamment par le contrôle des sociétés adhérentes au safe harbor (ensemble de principes de protection des données personnelles, négociés entre les autorités américaines et la Commission européenne en 2001, qui les autorise à recevoir des données en provenance de l'UE). La CNIL souhaite vérifier que les entreprises américaines adhérentes au safe harbor respectent les principes de protection des données personnelles, pour les transferts de données en provenance de l'UE. De même, elle contrôlera les sociétés ayant recours à des clauses contractuelles afin d'utiliser les services des sociétés établies hors de l'UE (exemple : sociétés ayant externalisé leurs prestations de téléphonie) ainsi que les sociétés qui n'ont pas adopté de clauses alors même que, selon toute vraisemblance, elles procèdent à des transferts internationaux.

La CNIL contrôlera en outre les entreprises se prévalant des exceptions prévues par la loi, alors que ce recours devrait rester exceptionnel et ne pas concerner les transferts répétitifs, massifs ou structurels. Ces contrôles pourront s'effectuer chez les sociétés françaises qui exportent des données mais aussi, le cas échéant, au sein de sociétés, situées dans des États tiers, qui importent les données des ressortissants français.

Protecteur de l'intégrité, des données et des libertés individuelles,  la CNIL consacrera, comme chaque année, une part de ses contrôles à l'instruction des plaintes dont elle est saisie et à la vérification des engagements pris par les responsables de traitement ayant fait l'objet d'une mise en demeure.