WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Certifier la conformité aux autorisations uniques de la CNIL

( Télécharger le fichier original )
par Eric Lachaud
Institut Supérieure d'Electronique de Paris - Master management des données à caractère personnel 2010
   Télécharger le fichier original

précédent sommaire suivant

1.11 Existe t-il des sanctions spécifiques aux Autorisations uniques ?

L'Article 226-16-1-A du code pénal33 précise que « lorsqu'il a été procédé ou fait procéder à un traitement de données à caractère personnel dans les conditions prévues par le I ou le II de l'article 24 de la loi n° 78-17 du 6 janvier 1978 précitée, le fait de ne pas respecter, y compris par négligence, les normes simplifiées ou d'exonération établies à cet effet par la Commission nationale de l'informatique et des libertés est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende. »

Bien que cet article s'adresse plus spécifiquement aux « normes simplifiées », il nous semble que les Autorisations uniques pourraient être considérées comme les «normes d'éxonération» évoqué par l'article 226-16-1 et donc entrer dans son champ d'application.

Dans la pratique, la CNIL nous a confirmé ne pas effectuer de contrôles spécifiques dans ce domaine et ne tient pas de statistiques sur la non conformité par rapport aux Autorisations uniques.

Pourtant, l'exemple médiatisé en 2009 de la société exploitante du transport public Rennais indique que les cas de non conformité existent34.

1.12 Les limites des Autorisations uniques

1.12.1 Des déclarations de conformité sans contrôle

23

Le formalisme des déclarations de conformité volontaire aux Autorisations uniques est assez sommaire et vient d'être encore simplifié avec la possibilité de pouvoir être effectuée à partir d'un simple formulaire disponible sur internet. Cette déclaration repose entièrement sur la bonne foi du déclarant et aucun contrôle de ces déclarations n'est effectué par la CNIL durant ou après la déclaration de conformité.

On peut s'interroger sur ce qui se passerait si quelqu'un de mal intentionné déclarait une entreprise conforme alors qu'elle ne l'est pas et la dénonçait aussitôt à la CNIL dans l'espoir de déclencher un contrôle pour faire interrompre un traitement qui par exemple le concurrence.

1.12.2 Une procédure uniquement déclarative

L'examen des demandes d'autorisation préalable pour les traitements relevant de l'article 25.1 se fonde également sur du déclaratif. De ce fait, l'inexistence de contrôle sur les déclarations de conformité aux Autorisations uniques n'a donc pas fondamentalement entamé le pouvoir de contrôle limité de la CNIL dans le cadre de ces deux procédures.

33 Article 226-16-1-A du code pénal - version en vigueur depuis le 7 août 2004 Créé par Loi n°2004-801 du 6 août 2004 - art. 14 () JORF 7 août 2004

http://www.legifrance.gouv.fr/affichCode.do?

idSectionTA=LEGISCTA000006165313&cidTexte=LEGITEXT000006070719&dateTexte=20090326

34 Délibération n°2009-002 du 20 janvier 2009 de la formation restreinte à prononcé un avertissement à l'encontre de la société KEOLIS RENNES

La délibération n° 2008-161 du 3 juin 2008 portant Autorisation unique (AU n°015) de mise en oeuvre de traitements automatisés de données à caractère personnel relatifs à la gestion des applications billettiques par les exploitants et les autorités organisatrices de transports public, s'inspirant, ainsi, de l'article premier de la loi du 6 janvier 1978 précité, prévoit, dans son préambule, que « la possibilité de circuler de façon anonyme doit, dans tous les cas, être préservée : chaque responsable de traitement qui met à disposition des usagers des titres nominatifs de transport doit également prévoir de leur laisser le choix d'utiliser des titres de transport anonymes ». La société a souscrit un engagement de conformité à l'Autorisation unique n° 15 le 7 novembre 2008.

«Le rapporteur a constaté qu'il existe de véritables obstacles à souscrire un passe KORRIGO anonyme. En effet, l'abonnement avec ce passe n'offre que la possibilité de le charger à l'unité, ce qui est très contraignant et très coûteux pour un utilisateur régulier. En outre, à l'inverse du passe nominatif, le passe anonyme est payant et d'une valeur de cinq euros. Ainsi, le passe anonyme coûterait entre 2,5 et 4 fois plus cher que le passe nominatif, selon l'âge de l'utilisateur.»

http://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000020753405&fastReqId=1444520633&fastPos=1

24

En revanche, l'introduction de cette facilité a modifié l'étendue au moins théorique de ce contrôle. La procédure de déclaration de conformité volontaire dans le cadre de l'Autorisation unique laisse en effet au seul déclarant le soin d'apprécier la conformité de son traitement.

Dans le cadre de l'autorisation préalable, la CNIL est appelée à apprécier le degré de conformité du traitement à partir des déclarations faites par le demandeur. On peut imaginer que le demandeur aura, préalablement à l'introduction de sa demande, pris soin de faire en sorte que ses déclarations répondent aux exigences de la réglementation. Ce qui constitue selon nous déjà une certaine forme de contrôle.

Il existe de ce fait un double niveau de contrôle dans le cadre de la demande d'autorisation préalable (demandeur puis CNIL) qui est réduit à un seul (déclarant) dans le cadre de la déclaration volontaire de conformité à une Autorisation unique.

Le risque de refus d'autorisation qui pèse sur le demandeur dans le cadre de la procédure d'autorisation préalable et qui l'invite à s'assurer de sa conformité, au moins dans ces déclarations, avant d'introduire sa demande n'existe plus dans celui de la déclaration de conformité volontaire à une Autorisation unique.

On peut craindre que cette procédure d'auto-certification n'encourage certaines entreprises à se déclarer conforme alors qu'elles ne le sont en réalité que de manière fort approximative. Il n'existe malheureusement pas de statistiques disponibles sur ce type de manquement constaté lors des contrôles sur place de la CNIL.

On peut néanmoins évoquer à ce titre la récente dénonciation M. Thilo Weichert, Commissaire à la protection des données du Schleswig-Holstein concernant la procédure d'auto-certification des entreprises américaines au programme de « Safe Harbour »35.

Les entreprises américaines qui le souhaitent peuvent se déclarer par elles-mêmes conformes à certain nombre de principes généraux, les « Safe Harbour principles », concernant la protection des données à caractère personnel.

Cette auto-certification validée sans vérification par le Federal Trade Commission (FTC) américaine permet aux entreprises américaines qui s'y soumettent d'être reconnues comme assurant un« niveau de protection adéquat » au sens de l'article 25 alinéa 1 de la Directive 95/46/CE ; reconnaissance indispensable pour être destinataire de flux de données à caractère personnel en provenance d'Europe.

Dix ans après la décision de la Commission européenne de reconnaitre les adhérents aux principes du Safe Harbor comme offrant un niveau de protection adéquat, cette auto certification serait, selon l'autorité de contrôle allemande, très mal respectée par les entreprises américaines adhérentes36.

précédent sommaire suivant