La CNIL peut désormais contrôler des sites web hors la présence de l’organisation concernée. Le responsable du traitement n’est informé qu’après coup. En octobre dernier, la CNIL a publié le mode d’emploi pour ce nouveau type de contrôle. Analyse de Bénédicte Querenet-Hahn, associée, et Grit Karg, collaborateur au sein du cabinet d’avocats GGV.
La loi du 17 mars 2014 relative à la consommation, également appelée loi Hamon, a introduit à l’article 44 de la loi Informatique et Libertés un nouveau mode de contrôle. Elle prévoit que la CNIL procède à toute constatation utile, en dehors des contrôles sur place et sur convocation.
Les données imprudemment accessibles
La CNIL peut à partir d’un service de communication au public en ligne, consulter les données librement accessibles ou rendues accessibles, y compris par imprudence, par négligence ou par le fait d’un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données le temps nécessaire aux constatations.
La CNIL n’a pas besoin de se déplacer pour effectuer le contrôle, qui peut être effectué sans que l’organisme contrôlé en ait connaissance, à tout moment, et sans que le responsable des locaux puisse s’y opposer.
Procès verbal
Une fois un contrôle effectué, la CNIL rédigera un procès-verbal factuel décrivant la méthodologie appliquée et précisant l’environnement technique du contrôle ainsi que les éléments vérifiés. Ce procès-verbal sera ensuite adressé au responsable du traitement qui disposera alors d’un délai fixé par la CNIL afin de faire part de ses observations.
Un contrôle à distance peut être combiné avec tout autre moyen dont dispose la CNIL, telles que les auditions ou visites. En cas d’infraction à la réglementation constatée, un contrôle en ligne peut donner lieu à une mise en demeure ou, le cas échéant, à l’ouverture d’une procédure de sanction.
Finalités de la collecte de données
Les vérifications en ligne portent notamment sur la pertinence des données collectées au regard des finalités pour lesquelles elles sont collectées, les mentions obligatoires relatives à la collecte de données à caractère personnel, la sécurité des données collectées et traitées, le respect des formalités déclaratives auprès de la CNIL.
Selon la CNIL, un accent est également mis sur la vérification du respect des règles relatives aux « cookies » et à d’autres traceurs. La CNIL vérifiera le nombre et la nature des cookies déposés sur le poste informatique de l’internaute, les modalités d’information à destination du public en matière de cookies, la qualité et la pertinence de l’information et les modalités de recueil du consentement de l’internaute.
Répression des fraudes
Par ailleurs, la loi Hamon renforce la coopération de la CNIL avec les agents de la DGCCRF (la direction générale de la concurrence, de la consommation et de la répression des fraudes). Tout manquement constaté par l’autorité sera en effet transmis à la CNIL pour qu’elle puisse prendre les mesures nécessaires.
La communication systématique d’informations entre la CNIL et la DGCCRF a déjà été mise en place dans le domaine du e-commerce par la signature, le 6.1.2011, d’un protocole de coopération afin d’améliorer l’échange d’informations relatif à la protection des données personnelles.
Eviter tout risque de sanction
Au regard de ce renforcement des moyens de contrôles et de la volonté affichée de la CNIL de vérifier systématiquement les sites web, il appartient aux marchands s’assurer de la conformité de leurs sites avec la réglementation en vigueur, afin d’éviter tout risque de sanction.
Pour en savoir plus, nous vous recommandons notre article « Nouvelles exigences de la loi Hamon – Comment mettre à jour votre site e-commerce » : http://www.francoallemand.com/fileadmin/ahk_frankreich/Dokumente/recht/publications-droit/DF/4-2014-F-D-Nouvelles-exigences-de-la-loi-Hamon.pdf.
Contrôles dans l’entreprise
Pour rappel, selon l’article 44 de la loi Informatique et Libertés, les agents de la CNIL sont habilités à effectuer des contrôles au sein des entreprises. Ces contrôles sont en général réalisés suite à une plainte auprès de la CNIL et en présence d’une personne responsable des locaux, éventuellement assisté d’un conseil.
Le responsable des locaux doit par ailleurs être informé de son droit d’opposition à la visite. En cas d’exercice de ce droit, la visite ne peut avoir lieu qu’avec l’autorisation du juge des libertés et de la détention du TGI (Tribunal de Grande Instance) compétent. En cas d’urgence toutefois ou de risque de destruction de documents, la CNIL peut procéder à la visite, sur l’autorisation du juge, sans que l’entreprise ne puisse s’y opposer.
Lors de tels contrôles, la CNIL peut demander la communication de tous les documents nécessaires, en prendre copie, recueillir tout renseignement utile, et accéder aux programmes informatiques et aux données.