Sécurité des données collectées, mentions d'informations à destination du public, modalités de recueil du consentement de l'internaute... La Commission nationale de l’informatique et des libertés (CNIL) peut désormais vérifier tous ces éléments à distance, sans que le responsable du site concerné n'en soit informé. Retour sur la mise en place de ce pouvoir de contrôle dévolu il y a peu à l’institution.
Depuis l’entrée en vigueur de la loi « Hamon » sur la consommation, en mars dernier, la CNIL dispose d’une nouvelle corde à son arc. Et pas n’importe laquelle. Alors que l’institution était jusqu’ici contrainte d’effectuer des contrôles sur place, avec tout ce que cela implique en termes d’effet de surprise et de discrétion, elle est désormais habilitée à mener des investigations à distance. Autrement dit, les agents de la Commission peuvent dorénavant consulter toutes les données librement accessibles sur le Net, et constater en bonne et due forme que le responsable d’un site est en conformité – ou non – avec la loi « Informatique et Libertés ».
« La différence majeure de ce nouveau pouvoir réside dans le fait que les constatations sont effectuées depuis les locaux de la CNIL sans la présence du responsable de traitement, qui n'en sera informé qu'une fois les vérifications effectuées » explique à cet égard la Commission. Si l’institution était restée jusqu’ici assez discrète sur la façon dont elle entendait mettre en œuvre ce nouveau pouvoir, elle a décrit il a quelques jours la « procédure type » pour ces investigations en ligne. Celles-ci se déroulent en plusieurs étapes :
- Sur décision de la présidente de la CNIL, un ordre de mission est rédigé, dans lequel sont désignés précisément les agents chargés de réaliser un contrôle.
- Un procès-verbal est établi, afin de décrire la méthodologie appliquée (l'environnement technique du contrôle et les éléments vérifiés sont notamment mentionnés).
- Une fois le contrôle réalisé, un « procès-verbal de constatations en ligne » est adressé au responsable du site opérant un traitement de données personnelles (dans un délai non précisé). La personne contrôlée a alors la possibilité de faire part de ses observations à la CNIL.
- Si elle l’estime nécessaire, la CNIL peut compléter ses investigations en ligne par d’autres contrôles, sur place ou en convoquant le responsable du traitement.
À partir de tous ces éléments, la Commission décide des suites qu’elle entend donner à la procédure. Comme d’habitude en cas de manquement(s), elle peut demander aux responsables concernés de se mettre en conformité avec la législation applicable aux données personnelles – faute de quoi une procédure de sanction est en principe ouverte.
Pour cette année, la CNIL prévoit d’effectuer 200 contrôles en ligne. Il se pourrait d’ailleurs bien que les sites de rencontre en ligne soient parmi les premiers à faire l’objet d’une telle inspection à distance, puisque ceux-ci font partie des priorités affichées par l’institution s'agissant des contrôles pour l'année 2014. « Les acteurs de ce secteur collectent de nombreuses données, y compris des données sensibles (orientations sexuelles, origines ethniques, religion...) » expliquait ainsi la Commission en avril dernier.
Commentaires (11)
10 ans après la modification d’une loi inapplicable, la CNIL va quand même pouvoir tenter de l’appliquer. Ce n’est pas comme si on était à 10 ans près, vu la quantité de sites pas en règles ils ont déjà du boulot pour quelques millénaires.
« Cher propriétaire d’un site visité 100 fois par mois, vous êtes priés de vous payer un avocat qui s’occupera de vous rédiger une page de mentions légales 100% unique. Vous êtes aussi tenu d’informer vos visiteurs de l’utilisation d’un petit fichier appelé cookie dont ni vous ni vos visiteurs ne soupçonnent l’existence et dont 90% se fichent totalement. »
Au moins ils ont le mérite de tout bien expliquer sur leur site mais il n’empêche, ces règles qui s’appliquent à tout le monde sans exception sans tenir compte des infos collectées est parfaitement utopique et disproportionné.
J’ai déployé un PhpBB dans un coin pour bosser avec des collègues et d’autre connaissances en ligne…
Rien que de par cette action je suis coupable de violer 2 ou 3 lois… (Pas de mention légale, pas de déclaration CNIL, pas d’information sur la conservation des données, pas de message à l’intention des internautes concernant le cookie qui est nécessaire pour maintenir la session authentifié…)
Je sais que dis comme ça ça peut paraitre ridicule personne ne viendra m’embêter pour un forum fréquenté par 10 pèlerins…
Il n’empêche que le jour ou on veut me “criminaliser” pour d’autres raisons il est tout trouvé de me mettre sur le dos ce genre de loi impossible à respecter pour le commun des mortels, dans le seul but de pouvoir declencher des enquête sans aucun rapport avec la choucroute !
Enfin c’est pas comme si c’était une méthode vieille comme d’imposer son autorité par une foule de lois débiles qui permettent de considérer tout le monde comme “coupable de quelque chose”
+1 francois-battail. Quel est l’intérêt de dire qu’on n’est pas dans les clous alors qu’il n’est pas compliqué de s’y mettre ? Le site de la CNIL est très bien foutu quand on cherche des infos. Et les règles sont très facile à mettre en place… pour peu qu’on s’en donne un peu les moyens.
C’est de pire en pire la cnil, dans pas longtemps va falloir leur demander l’autorisation pour faire un site web.
Sous couverture de protection ca deviens une dictature, on est doucement en train de se la prendre bien profond et y a encore des gens pour les applaudire ( quand je vois certain commentaires ici ca fait peur ).
Ca me fait penser à l’histoire de la grenouille et la marmite qui monte doucement en température, faut être aveugle pour pas s’en rendre compte. Mais allez, continuez à fermer les yeux.