Formations et audits Informatique et Libertés

Des professionnels en conformité Informatique et Libertés : formation, audit, formalités cnil, contrôle cnil et l’application Data Privacy Manager dédiée au CIL

Dictionnaire juridique

En 2011, vidéoprotection, données de santé et traçage des consommateurs au programme des contrôles de la CNIL

Vidéoprotection - Données de santé - Données clients/prospects - Agences de recouvrement et détectives privés - Flux de données transfrontières

Vous êtes ici : Accueil > Actualités

mercredi 18 mai 2011

Le 26 avril dernier, la CNIL a publié son programme annuel des contrôles pour l’année 2011.

La Commission prévoit des contrôles relatifs aux systèmes de vidéoprotection, à la sécurité des données de santé, aux traçages des données clients/prospects, aux fichiers des agences de recouvrement et des détectives privés, et aux traitements comportant des flux de données transfrontières.

  • La vidéoprotection

A titre préliminaire, rappelons que la LOPPSI 2 [1], promulguée le 14 mars dernier, a précisé les pouvoirs de la CNIL en la matière, qui peut dorénavant contrôler tous les dispositifs de vidéoprotection.

La Commission a donc décidé de « mobiliser fortement ses ressources » en se fixant un objectif d’au moins 150 contrôles sur ces dispositifs.

Sur ces contrôles, il est utile de préciser qu’en 2010, ayant constaté que plusieurs salariés étaient filmés à leurs postes de travail de manière permanente par deux caméras situées chacune à une extrémité de leur bureau commun, la CNIL avait pour la première fois prononcé l’interruption en urgence d’un système de vidéosurveillance [2].

  • La sécurité des données de santé

L’intégration des technologies de l’information dans le domaine de la santé est aujourd’hui une réalité et va encore s’accroître significativement dans les années à venir : adoption du décret sur la télémédecine le 19 octobre 2010, déploiement depuis le début de l’année du DMP (Dossier Médical Personnel), réflexion sur un « décret cadre », pris après avis de la CNIL, pour autoriser les chercheurs et les autorités sanitaires à utiliser le NIR (n° de sécurité sociale), …

Ce développement, de la e-santé, a eu pour conséquence l’adoption d’une réglementation spécifique en matière de sécurité dans le domaine de la santé, notamment en imposant un agrément délivré par le ministre de la santé, après avis motivé d’un comité d’agrément et de la CNIL, pour les hébergeurs de données de santé.

En 2010, la CNIL a ainsi effectué des contrôles auprès de cinq hébergeurs de données de santé, dont quatre agréés. Une mise en demeure avait été prononcée à l’encontre de l’hébergeur non agréé. Depuis, la société s’est conformée aux injonctions de la Commission et a déposé une demande d’agrément.

Les enjeux de la e-santé et les constats effectués par la CNIL en 2010 l’ont donc conduit à cibler ses contrôles sur : la télémédecine, les hébergeurs de données de santé, l’utilisation des données du PMSI (Programme de Médicalisation des Systèmes d’Information) par certains cabinets de conseil, les registres [3] et les traitements mis en œuvre dans le cadre de la recherche médicale .

  • Le traçage des données clients/prospects

Ces contrôles porteront, notamment, sur les mesures d’audience (panneaux publicitaires et prospection par voie électronique), le profilage des personnes (sites web, réseaux sociaux, etc.), ainsi que sur les prestataires spécialisés dans la mise en œuvre de traitements de détection de la fraude sur le web, qui les conduisent à collecter de nombreuses données sur les personnes effectuant des achats sur internet.

  • Les agences de recouvrement et les détectives privés

Les investigations de la CNIL concerneront des manquements déjà constatés pour ce type de traitement : collecte déloyale, durée de conservation excessive, absence d’information des personnes visées par les enquêtes.

En 2007, la CNIL avait condamné une société de recouvrement à 5000 euros d’amende et à la publication de la sanction

  • Les flux de données transfrontières

Il s’agit des transferts de données personnelles de clients ou prospects de sociétés françaises vers des pays n’appartenant pas à l’Union européenne (par exemple dans le cadre de l’externalisation des centres d’appels).

Or, la plupart de ces pays ne disposent pas d’un niveau de protection des données personnelles équivalent à celui des pays de l’Union Europénne.

La CNIL va donc opérer des contrôles a posteriori afin de garantir aux citoyens français un niveau de protection maximal.

En 2011, la CNIL s’est fixée comme objectif la réalisation de 400 contrôles (270 contrôle en 2009) consacrés au programme annuel, mais aussi à l’instruction des plaintes dont elle est saisie et à la vérification des engagements pris par les responsables de traitement ayant fait l’objet d’une mise en demeure.

Nicolas Samarcq, Juriste – Consultant TIC/CNIL

[1Loi d’orientation et de programmation de la performance de la sécurité intérieure.

[2Délibération n°2010-112 du 22 avril 2010 de la formation restreinte décidant l’interruption d’un traitement mis en œuvre par la Société X…

[3Fichiers mis en œuvre à des fins de surveillance sanitaire de la population qui portent sur des données directement nominatives.

Nos partenaires

Réalisation : Clic Story ®

Plan du site