Connexion
Abonnez-vous

Comment la CNIL procède pour ses contrôles en ligne

Le dîner de contrôles

Comment la CNIL procède pour ses contrôles en ligne

Le 15 octobre 2014 à 13h15

Sécurité des données collectées, mentions d'informations à destination du public, modalités de recueil du consentement de l'internaute... La Commission nationale de l’informatique et des libertés (CNIL) peut désormais vérifier tous ces éléments à distance, sans que le responsable du site concerné n'en soit informé. Retour sur la mise en place de ce pouvoir de contrôle dévolu il y a peu à l’institution.

Depuis l’entrée en vigueur de la loi « Hamon » sur la consommation, en mars dernier, la CNIL dispose d’une nouvelle corde à son arc. Et pas n’importe laquelle. Alors que l’institution était jusqu’ici contrainte d’effectuer des contrôles sur place, avec tout ce que cela implique en termes d’effet de surprise et de discrétion, elle est désormais habilitée à mener des investigations à distance. Autrement dit, les agents de la Commission peuvent dorénavant consulter toutes les données librement accessibles sur le Net, et constater en bonne et due forme que le responsable d’un site est en conformité – ou non – avec la loi « Informatique et Libertés ».

 

« La différence majeure de ce nouveau pouvoir réside dans le fait que les constatations sont effectuées depuis les locaux de la CNIL sans la présence du responsable de traitement, qui n'en sera informé qu'une fois les vérifications effectuées » explique à cet égard la Commission. Si l’institution était restée jusqu’ici assez discrète sur la façon dont elle entendait mettre en œuvre ce nouveau pouvoir, elle a décrit il a quelques jours la « procédure type » pour ces investigations en ligne. Celles-ci se déroulent en plusieurs étapes :

  1. Sur décision de la présidente de la CNIL, un ordre de mission est rédigé, dans lequel sont désignés précisément les agents chargés de réaliser un contrôle.
  2. Un procès-verbal est établi, afin de décrire la méthodologie appliquée (l'environnement technique du contrôle et les éléments vérifiés sont notamment mentionnés).
  3. Une fois le contrôle réalisé, un « procès-verbal de constatations en ligne » est adressé au responsable du site opérant un traitement de données personnelles (dans un délai non précisé).  La personne contrôlée a alors la possibilité de faire part de ses observations à la CNIL.
  4. Si elle l’estime nécessaire, la CNIL peut compléter ses investigations en ligne par d’autres contrôles, sur place ou en convoquant le responsable du traitement.

À partir de tous ces éléments, la Commission décide des suites qu’elle entend donner à la procédure. Comme d’habitude en cas de manquement(s), elle peut demander aux responsables concernés de se mettre en conformité avec la législation applicable aux données personnelles – faute de quoi une procédure de sanction est en principe ouverte.

 

Pour cette année, la CNIL prévoit d’effectuer 200 contrôles en ligne. Il se pourrait d’ailleurs bien que les sites de rencontre en ligne soient parmi les premiers à faire l’objet d’une telle inspection à distance, puisque ceux-ci font partie des priorités affichées par l’institution s'agissant des contrôles pour l'année 2014. « Les acteurs de ce secteur collectent de nombreuses données, y compris des données sensibles (orientations sexuelles, origines ethniques, religion...) » expliquait ainsi la Commission en avril dernier.

Le 15 octobre 2014 à 13h15

Commentaires (11)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

10 ans après la modification d’une loi inapplicable, la CNIL va quand même pouvoir tenter de l’appliquer. Ce n’est pas comme si on était à 10 ans près, vu la quantité de sites pas en règles ils ont déjà du boulot pour quelques millénaires.



« Cher propriétaire d’un site visité 100 fois par mois, vous êtes priés de vous payer un avocat qui s’occupera de vous rédiger une page de mentions légales 100% unique. Vous êtes aussi tenu d’informer vos visiteurs de l’utilisation d’un petit fichier appelé cookie dont ni vous ni vos visiteurs ne soupçonnent l’existence et dont 90% se fichent totalement.  »



Au moins ils ont le mérite de tout bien expliquer sur leur site mais il n’empêche, ces règles qui s’appliquent à tout le monde sans exception sans tenir compte des infos collectées est parfaitement utopique et disproportionné.

votre avatar

J’ai déployé un PhpBB dans un coin pour bosser avec des collègues et d’autre connaissances en ligne…



Rien que de par cette action je suis coupable de violer 2 ou 3 lois… (Pas de mention légale, pas de déclaration CNIL, pas d’information sur la conservation des données, pas de message à l’intention des internautes concernant le cookie qui est nécessaire pour maintenir la session authentifié…)



Je sais que dis comme ça ça peut paraitre ridicule personne ne viendra m’embêter pour un forum fréquenté par 10 pèlerins…



Il n’empêche que le jour ou on veut me “criminaliser” pour d’autres raisons il est tout trouvé de me mettre sur le dos ce genre de loi impossible à respecter pour le commun des mortels, dans le seul but de pouvoir declencher des enquête sans aucun rapport avec la choucroute !



Enfin c’est pas comme si c’était une méthode vieille comme d’imposer son autorité par une foule de lois débiles qui permettent de considérer tout le monde comme “coupable de quelque chose”

votre avatar







kypd a écrit :



J’ai déployé un PhpBB dans un coin pour bosser avec des collègues et d’autre connaissances en ligne…



Rien que de par cette action je suis coupable de violer 2 ou 3 lois… (Pas de mention légale, pas de déclaration CNIL, pas d’information sur la conservation des données, pas de message à l’intention des internautes concernant le cookie qui est nécessaire pour maintenir la session authentifié…)



Je sais que dis comme ça ça peut paraitre ridicule personne ne viendra m’embêter pour un forum fréquenté par 10 pèlerins…



Il n’empêche que le jour ou on veut me “criminaliser” pour d’autres raisons il est tout trouvé de me mettre sur le dos ce genre de loi impossible à respecter pour le commun des mortels, dans le seul but de pouvoir declencher des enquête sans aucun rapport avec la choucroute !



Enfin c’est pas comme si c’était une méthode vieille comme d’imposer son autorité par une foule de lois débiles qui permettent de considérer tout le monde comme “coupable de quelque chose”





En même temps si personne ne se pleint concernant ton forum, et que tu supprime les comptes utilisateurs quand on te le demande je vois pas pourquoi la CNIL viendrait subitement te chercher des noises Oo


votre avatar







kypd a écrit :



J’ai déployé un PhpBB dans un coin pour bosser avec des collègues et d’autre connaissances en ligne…



Rien que de par cette action je suis coupable de violer 2 ou 3 lois… (Pas de mention légale, pas de déclaration CNIL, pas d’information sur la conservation des données, pas de message à l’intention des internautes concernant le cookie qui est nécessaire pour maintenir la session authentifié…)



Je sais que dis comme ça ça peut paraitre ridicule personne ne viendra m’embêter pour un forum fréquenté par 10 pèlerins…



Il n’empêche que le jour ou on veut me “criminaliser” pour d’autres raisons il est tout trouvé de me mettre sur le dos ce genre de loi impossible à respecter pour le commun des mortels, dans le seul but de pouvoir declencher des enquête sans aucun rapport avec la choucroute !



Enfin c’est pas comme si c’était une méthode vieille comme d’imposer son autorité par une foule de lois débiles qui permettent de considérer tout le monde comme “coupable de quelque chose”







J’ai rien compris.

T’as juste oublié de parler de la cia, je pense que ca rentrerait bien dans ton délire.


votre avatar







kypd a écrit :



Rien que de par cette action je suis coupable de violer 2 ou 3 lois… (Pas de mention légale, pas de déclaration CNIL, pas d’information sur la conservation des données, pas de message à l’intention des internautes concernant le cookie qui est nécessaire pour maintenir la session authentifié…)





Déclaration CNIL uniquement nécessaire dans certains cas, déclaration simplifiée (10 minutes top chrono) dans la plupart des cas où il n’y a pas de traitement de données sensibles.

Mentions légales : nom et coordonnées de l’éditeur du service en ligne, nom du responsable de la publication, coordonnées de l’hébergeur, indication si des données privées sont collectées et moyen d’exercer son droit de communication et de rectification en vertu de la loi du 6 janvier 1978 modifiée.

Voilà maintenant tu sais presque tout <img data-src=" />


votre avatar







francois-battail a écrit :



Déclaration CNIL uniquement nécessaire dans certains cas, déclaration simplifiée (10 minutes top chrono) dans la plupart des cas où il n’y a pas de traitement de données sensibles.

Mentions légales : nom et coordonnées de l’éditeur du service en ligne, nom du responsable de la publication, coordonnées de l’hébergeur, indication si des données privées sont collectées et moyen d’exercer son droit de communication et de rectification en vertu de la loi du 6 janvier 1978 modifiée.

Voilà maintenant tu sais presque tout <img data-src=" />





Dans le cas d’un auto-hébergement les mentions légales peuvent poser problème vis à vis de la vie privée… (prendre l’exemple de Eolas qui a besoin de conserver un pseudonymat vis à vis des exigences de sa profession…)&nbsp;



La déclaration CNIL je vois pas trop dans quelles conditions on peu s’y soustraire, rien que récolter un pseudonyme pour s’identifier (voir une IP…) suffit à tomber dans la catégorie données personnelles…



&nbsp;Et toujours rien pour l’obligation d’afficher aux visiteurs français qu’un cookie est nécessaire pour l’usage du site… (j’ai pas vraiment envie de coder une espèce de pop-up pour coller à la loi alors que tout ce bouzin m’a pas couté un centime…)



ça commence à faire un paquet d’obligations et de contraintes à respecter pour simplement avoir le droit de “communiquer”


votre avatar

+1 francois-battail. Quel est l’intérêt de dire qu’on n’est pas dans les clous alors qu’il n’est pas compliqué de s’y mettre ? Le site de la CNIL est très bien foutu quand on cherche des infos. Et les règles sont très facile à mettre en place… pour peu qu’on s’en donne un peu les moyens.

votre avatar







kypd a écrit :



Dans le cas d’un auto-hébergement les mentions légales peuvent poser problème vis à vis de la vie privée… (prendre l’exemple de Eolas qui a besoin de conserver un pseudonymat vis à vis des exigences de sa profession…)&nbsp;



La déclaration CNIL je vois pas trop dans quelles conditions on peu s’y soustraire, rien que récolter un pseudonyme pour s’identifier (voir une IP…) suffit à tomber dans la catégorie données personnelles…



&nbsp;Et toujours rien pour l’obligation d’afficher aux visiteurs français qu’un cookie est nécessaire pour l’usage du site… (j’ai pas vraiment envie de coder une espèce de pop-up pour coller à la loi alors que tout ce bouzin m’a pas couté un centime…)



ça commence à faire un paquet d'obligations et de contraintes à respecter pour simplement avoir le droit de "communiquer"









Quand le site est le fait d’un particulier il n’y a pas obligation de faire figurer ses coordonnées complètes, un formulaire de contact est toutefois recommandé .&nbsp; La CNIL a prévu des exceptions complètes de déclaration pour certaines formes courantes de sites (blogs, forum). Quant aux cookies, cela ne concerne pas les cookies techniques (id de session par exemple).

&nbsp;

Bref, il n’y a pas franchement de quoi fouetter un chat, même si un professionnel doit être nettement plus attentif mais ce n’est guère contraignant. Maintenant si le site est blindé de pub et d’autres joyeusetés pour collecter et livrer en pâture à des tiers des données privées sans s’être posé de question, ça risque de moins bien se passer.


votre avatar







kypd a écrit :









Comme je le disais, tout est clairement expliqué sur leur site :

Concernant les droits des utilisateurs

Concernant les obligations des responsables de sites découlant donc des droits des utilisateurs



Il y a tout pleins de pages explicatives comme celle pour la déclaration ou non d’un site utilisant des données persos.

&nbsp;

Pour les cookies tout dépend leur fonction, par exemple un cookie de connexion au site ou de personnalisation de l’interface, n’a pas à demander l’autorisation pour s’installer. Seuls ceux jouant avec la vie privée sont visés par la loi : les traceurs, Google Analytics, Google Ads et équivalents.



&nbsp;La Cnil propose un pdf et des explications sur cette page expliquant précisément comment configurer Piwik pour être conforme et aussi comment l’être avec Analytics.


votre avatar

C’est de pire en pire la cnil, dans pas longtemps va falloir leur demander l’autorisation pour faire un site web.

Sous couverture de protection ca deviens une dictature, on est doucement en train de se la prendre bien profond et y a encore des gens pour les applaudire ( quand je vois certain commentaires ici ca fait peur ).

Ca me fait penser à l’histoire de la grenouille et la marmite qui monte doucement en température, faut être aveugle pour pas s’en rendre compte. Mais allez, continuez à fermer les yeux.

votre avatar







Stel a écrit :



C’est de pire en pire la cnil, dans pas longtemps va falloir leur demander l’autorisation pour faire un site web.

Sous couverture de protection ca deviens une dictature, on est doucement en train de se la prendre bien profond et y a encore des gens pour les applaudire ( quand je vois certain commentaires ici ca fait peur ).

Ca me fait penser à l’histoire de la grenouille et la marmite qui monte doucement en température, faut être aveugle pour pas s’en rendre compte. Mais allez, continuez à fermer les yeux.





Attention à ne pas se tromper de cible : ce n’est pas la CNIL qui vote des lois débiles, elle est juste là pour tenter de les faire appliquer. Ses recommandations visant à améliorer des lois liberticides sont la plupart du temps totalement ignorées par l’exécutif parce qu’elle n’a aucun pouvoir. Quand on a quelque chose à reprocher le mieux c’est de se renseigner sur le coupable avant de se prendre pour un messie lanceur d’alerte.



D’ailleurs l’ensemble des sites sans distinction devaient théoriquement être déclarés à la CNIL à l’origine mais ils ont supprimé cette obligation en 2006. Seuls des sites spécifiques se doivent d’être déclarés. Ce que tu crains est déjà de l’histoire ancienne… Tu as 8 ans de retard.



Les responsables de fichiers ont des obligations pour le bien des utilisateurs. La CNIL est là pour veiller et éviter que toutes les données se fassent la malle au moindre piratage parce qu’une société n’a pas juger utile de bien sécuriser et chiffrer quoi que ce soit. Ce qui arrive tout les 4 matins. Les problèmes viennent des lois, pas de ceux qui les appliquent.


Comment la CNIL procède pour ses contrôles en ligne

Fermer