Le 24 mars dernier, la Commission Nationale Informatique et Libertés (la « CNIL ») a adopté son programme annuel des contrôles pour 2011 pour lequel elle envisage de réaliser au moins 400 contrôles. (Il peut être trouvé sur son site www.cnil.fr/la-cnil/actu-cnil/article/article/programme-des-controles-2011-une-ambition-reaffirmee-des-competences-elargies
Les domaines identifiés sont les suivants :
• Les flux de données transfrontières :
Et plus particulièrement :
o Le respect des principes du Safe Harbor lorsque les données vont vers une entité américaine qui est certifiée Safe Harbor
o Le respect des clauses contractuelles types lorsqu’elles sont utilisées pour des transferts hors de l’Union européenne
o Mais aussi « le contrôle de sociétés qui n’ont pas adopté de clauses alors même que, selon toute vraisemblance, elles procèdent à des transferts internationaux » (il semblerait que les groupes internationaux soient tout particulièrement visés)
o Les sociétés se prévalant des exceptions prévues par la loi à l’article 69 (comme le consentement de la personne concernée), alors que ce recours devrait, selon la CNIL et le groupe de l’article 29, rester exceptionnel et ne pas concerner les transferts répétitifs, massifs ou structurels.
Il est important de noter que la CNIL a prévu de procéder aux contrôles de sociétés situées dans des États tiers qui importent les données des ressortissants français.
Il est probable qu’elle aura notamment recours au GPEN (« Global Privacy Enforcement Network ») par lequel un certain nombre d’ autorités nationales de protection des données en Europe mais aussi sur d’autres continents, dont les USA ont l’intention de coopérer dans le contrôle de l’application des législations protégeant la vie privée à l’échelle mondiale. (Le site web du GPEN est www.privacyenforcement.net).
Par ailleurs, il est aussi à noter que la nouvelle loi du 29 mars 2011 relative au Défenseur des droits à prévu à l’article 49 que la commission peut procéder à des vérifications à la demande d’une autorité d’un autre État membre de l’UE, voire prendre les décisions de sanction dans ce cadre à la demande de celle-ci.
• La vidéoprotection :
Depuis l’entrée en vigueur de la loi LOPPSI 2 , la CNIL peut désormais contrôler tous les dispositifs de vidéoprotection, à savoir ceux installés dans les lieux publics. Forte de sa nouvelle compétence, la CNIL a l’intention d’effectuer au moins 150 contrôles.
• La sécurité des données de santé
Et plus particulièrement :
o la télémédecine;
o les hébergeurs de données de santé ;
o l’utilisation des données du PMSI (Programme de Médicalisation des Systèmes d’Information) par certains cabinets de conseil ;
o les « registres» ;
o les traitements mis en œuvre dans le cadre de la recherche médicale.
• Le traçage des données client / prospect :
o les mesures d’audience (panneaux publicitaires et prospection par voie électronique) ;
o le profilage des personnes (sites web, réseaux sociaux, etc.) ;
o les prestataires spécialisés dans la mise en œuvre de traitements de détection de la fraude sur le web (problématique des « listes noires »).
• Les agences de recouvrement / les détectives privés :
La CNIL entend poursuivre les investigations déjà entreprises (collecte déloyale et la durée de conservation excessive de données personnelles, ainsi que l’absence d’information des personnes visées par les enquêtes).
Par ailleurs, la CNIL effectuera des contrôles dans le cadre de l’instruction des plaintes dont elle est saisie et la vérification des engagements pris par les responsables de traitement ayant fait l’objet d’une mise en demeure.