Cnil : davantage de (...)

Cnil : davantage de contrôles cette année

La Cnil va multiplier ses contrôles. Parmi ses priorités pour 2011, publiées le 26 avril dernier, les systèmes de vidéoprotection, la sécurité des données de santé, le traçage des données clients/prospects ou encore les flux de données transfrontières.

Vidéoprotection La loi sur la sécurité intérieure (LOPPSI 2), promulgée le 14 mars dernier, a précisé les pouvoirs de la Cnil en matière de vidéoprotection. La Commission nationale Informatique et Libertés peut dorénavant contrôler tous les dispositifs dédiés. Forte de ses compétences nouvelles, la Commission a donc décidé de « mobiliser fortement ses ressources » en se fixant un objectif d’au moins 150 contrôles sur ces systèmes. Pour la première fois, en 2010, elle avait prononcé l’interruption en urgence d’un système de vidéosurveillance, ayant constaté que plusieurs salariés étaient filmés à leurs postes de travail de manière permanente par deux caméras situées chacune à une extrémité de leur bureau commun.

Sécurité des données de santé L’intégration des technologies de l’information dans le domaine de la santé est aujourd’hui devenue réalité et va encore s’accroître significativement dans les années à venir : adoption du décret sur la télémédecine le 19 octobre 2010, déploiement depuis le début de l’année du Dossier médical personnel (DMP), réflexion sur un « décret cadre », pris après avis de la Cnil, pour autoriser les chercheurs et les autorités sanitaires à utiliser le NIR (n° de sécurité sociale) … Ce développement de la e-santé, a eu pour conséquence l’adoption d’une réglementation spécifique en matière de sécurité dans ce domaine, notamment en imposant un agrément délivré par le ministre de la Santé, après avis motivé d’un comité d’agrément et de la Cnil, pour les hébergeurs de données de santé. L’an dernier, l’organisme présidé par Alex Türk a déjà mené des contrôles auprès de cinq hébergeurs de données de santé, dont quatre agréés. Une mise en demeure avait été prononcée à l’encontre de l’hébergeur non agréé. Depuis, la société s’est conformée aux injonctions de la Commission et a déposé une demande d’agrément.

Les enjeux de la e-santé et les constats effectués l’an dernier ont donc conduit la Cnil à cibler ses contrôles sur la télémédecine, les hébergeurs de données de santé, l’utilisation des données du PMSI (Programme de médicalisation des systèmes d’information) par certains cabinets de conseil, les registres (pour la surveillance sanitaire de la population) et les traitements mis en œuvre dans le cadre de la recherche médicale.

Traçage des données clients/prospects. Les contrôles vont, notamment, porter sur les mesures d’audience (panneaux publicitaires et prospection par voie électronique), le profilage des personnes (sites web, réseaux sociaux, etc), ainsi que sur les prestataires spécialisés dans la mise en œuvre de traitements de détection de la fraude sur le Web (listes noires), qui les conduisent à collecter de nombreuses données sur les personnes effectuant des achats sur Internet.

Flux de données transfrontières. Il s’agit des transferts de données personnelles de clients ou prospects de sociétés françaises vers des pays n’appartenant pas à l’Union Européenne (par exemple, dans le cadre de l’externalisation des centres d’appels téléphoniques). Or, la plupart de ces pays ne disposent pas d’un niveau de protection des données personnelles équivalent à celui des pays de l’UE. La Cnil entend donc opérer des contrôles a posteriori « afin de garantir aux citoyens français un niveau de protection maximal ».

Enfin, les investigations de la Cnil concerneront également les agences de recouvrement et les détectives privés. Des manquements ont déjà été constatés sur les traitements de données effectués dans ces deux secteurs : collecte déloyale, durée de conservation excessive, absence d’information des personnes visées par les enquêtes. En 2007, la Cnil avait ainsi condamné une société de recouvrement à 5 000 euros d’amende et à la publication de la sanction.

La Cnil a prévu d ’augmenter le nombre de ses contrôles : son programme annuel pour 2011 prévoit un objectif de 400 ( contre 270 en 2009 et 300 annoncés en 2010). Elle entend aussi poursuivre l’instruction des plaintes dont elle est saisie et la vérification des engagements pris par les responsables de traitement ayant fait l’objet d’une mise en demeure.

deconnecte