La Commission a adopté le 24 mars dernier son programme annuel des contrôles pour l'année 2011. Elle s'est fixée comme objectif la réalisation de 400 contrôles. Au-delà des thèmes jugés prioritaires par la CNIL, cette année sera marquée par l'extension de ses pouvoirs en matière de contrôle des dispositifs dits "de vidéoprotection".
Depuis l'adoption de la LOPPSI, la CNIL peut contrôler tous les dispositifs dits "de vidéoprotection". Cette nouvelle compétence était nécessaire afin que le déploiement de ces dispositifs s'effectue sous le contrôle d'une autorité indépendante garante des libertés et du développement homogène de la vidéoprotection sur l'ensemble du territoire. La Commission a décidé de mobiliser fortement ses ressources puisqu'elle s'est fixé comme objectif la réalisation d'au moins 150 contrôles portant sur ces dispositifs.
La CNIL a également inscrit à son programme des contrôles des thèmes jugés prioritaires pour protéger les droits et libertés des citoyens.
L 'actualité de ce sujet (relance du DMP-Dossier Médical Personnel), la sensibilité des données en jeu ainsi que les constats effectués précédemment par la CNIL l'ont conduit à poursuivre les contrôles dans ce domaine essentiel de la protection des données.
Les contrôles porteront notamment sur les thèmes suivants :
Les contrôles réalisés dans le cadre de cette thématique porteront, notamment, sur les mesures d'audience (panneaux publicitaires et prospection par voie électronique) et le profilage des personnes (sites web, réseaux sociaux, etc.).
Cette thématique sera également enrichie par le contrôle de prestataires spécialisés dans la mise en œuvre de traitements de détection de la fraude sur le web (problématique des "listes noires"), qui conduisent ces entreprises à collecter de très nombreuses données sur les personnes effectuant des achats sur Internet.
Les problématiques soulevées dans ce domaine sont bien connues de la CNIL : collecte déloyale, durée de conservation excessive, absence d'information des personnes visées par les enquêtes. Il semble utile de vérifier régulièrement auprès de cette profession le respect de la loi.
Le développement rapide depuis quelques années des flux de données transfrontières amène la CNIL à s'intéresser, au titre du contrôle a posteriori, à ces flux, afin de garantir aux citoyens français un niveau de protection maximal.
Ces contrôles porteront sur trois axes principaux :
1. le contrôle des sociétés adhérentes au "Safe Harbor" : les entreprises établies aux Etats-Unis peuvent adhérer au Safe Harbor. Il s'agit d'un ensemble de principes de protection des données personnelles, négociés entre les autorités américaines et la Commission européenne en 2001. Cette adhésion les autorise à recevoir des données en provenance de l'Union européenne.
La CNIL souhaite vérifier que les entreprises américaines qui ont adhéré au Safe Habor respectent les principes de protection des données personnelles, pour les transferts de données en provenance de l'Union européenne.
2. le contrôle des sociétés ayant recours à des clauses contractuelles afin d'utiliser les services des sociétés établies hors de l'Union européenne (par exemple pour des sociétés ayant externalisé leurs prestations de téléphonie) ainsi que le contrôle de sociétés qui n'ont pas adopté de clauses alors même que, selon toute vraisemblance, elles procèdent à des transferts internationaux
3. le contrôle d'entreprises se prévalant des exceptions prévues par la loi, alors que ce recours devrait rester exceptionnel et ne pas concerner les transferts répétitifs, massifs ou structurels.
Ces contrôles pourront s'effectuer chez les sociétés françaises qui exportent des données mais aussi, le cas échéant, au sein de sociétés, situées dans des Etats tiers, qui importent les données des ressortissants français.
Enfin, la CNIL entend consacrer, comme chaque année, une part de ses contrôles à l'instruction des plaintes dont elle est saisie et à la vérification des engagements pris par les responsables de traitement ayant fait l'objet d'une mise en demeure.
