CNIL 27e RAPPORT D’ACTIVITÉ 2006
La CNIL effectue
des contrôles sur place
Les contrôles en 2006
n 127 organismes ont été contrôlés (soit une augmentation de 34,73 % par rapport à 2005).
n 135 déplacements ont été opérés par une délégation
de la CNIL (soit une augmentation de 40 % par rapport à
2005).
n 25 % des contrôles effectués ont pour origine des
plaintes de particuliers (plaintes adressées par courrier à
la Commission) ou des « signalements » déposés sur le site
Internet de la CNIL par les internautes.
Les principaux secteurs d’activités contrôlés en 2006 1
sont, compte tenu du programme de contrôles adopté en
séance plénière le 6 avril 2006 :
• Le marketing commercial :
– contrôles auprès de sociétés spécialisées dans la mise
à disposition de tiers de fichiers d’adresses postales ou
électroniques (modalités de collecte et de mise à jour des
données) ;
– contrôles opérés auprès de sociétés de vente par
correspondance, d’opérateurs de téléphonie fixe et
mobile, de fournisseurs d’accès à Internet (gestion de leurs
fichiers clients, des opérations de prospection, notamment
par Internet, etc.) ;
– contrôles de sociétés commerciales auprès desquelles
les personnes ont des difficultés à faire valoir leur droit
d’opposition à être démarchées ;
– contrôles opérés auprès des principaux constructeurs
automobiles implantés en France, afin de vérifier les
modalités d’information et d’opposition des personnes
quant à l’utilisation à des fins commerciales des données
permettant de procéder à l’immatriculation des véhicules
(fichier de l’Association auxiliaire de l’automobile).
• Les agents de recherches privés (gestion des
fichiers, principalement de débiteurs, et modalités de
collecte des données) ;
• L’application de télébillettique Navigo mise
en œuvre par la RATP (vérification des conditions de
mise en œuvre des traitements sur lesquels la Commission
s’est prononcée à différentes reprises, en particulier par une
délibération du 8 avril 2004, et de l’effectivité des engagements pris alors par les acteurs participant au dispositif) ;
• Le recrutement (vérification des données gérées afin
de s’assurer notamment de l’absence de toute politique de
discrimination).
1.Cf. Liste des organismes contrôlés en annexe.
36
Par ailleurs, afin de poursuivre certaines des politiques de
contrôles engagées en 2005, des vérifications sur place
ont été menées auprès de collectivités locales, auprès
d’organismes ayant installé des applications faisant appel
à des procédés biométriques (établissements scolaires,
hôtels ou foyers d’hébergement, clubs de sport, etc.) ou
des systèmes de vidéosurveillance.
Dans le cadre de la coopération internationale, des
contrôles sur pièces ont été conduits, à partir d’un
questionnaire-type établi au niveau européen, auprès
de dix organismes implantés en France proposant des
contrats d’assurance complémentaires en matière de
santé. Au vu des réponses adressées à la CNIL dans
ce cadre, l’un d’entre eux a fait l’objet d’une mise en
demeure. Il a été décidé, pour deux autres d’entre eux, de
vérifier, notamment d’un point de vue technique, que les
mesures décrites sont effectivement mises en œuvre.
Une série de contrôles a été effectuée auprès de chacun
des six hébergeurs participant à l’expérimentation du dossier
médical personnel (DMP). Les constats opérés lors des
missions de vérifications, auxquelles, pour la première fois
depuis l’entrée en vigueur des nouvelles dispositions de la
loi du 6 janvier 1978 modifiée le 6 août 2004 et de son
décret d’application du 20 octobre 2005, des médecins
inspecteurs de santé publique étaient associés, ont permis
à la CNIL d’être mieux informée du dispositif mis en œuvre
avant de se prononcer en 2007 sur sa généralisation 2.
De la même manière, pour la première fois depuis l’entrée
en vigueur de la loi modifiée, un contrôle a dû être opéré,
en raison du refus opposé dans un premier temps par le
responsable des lieux, sur autorisation du président du
tribunal de grande instance territorialement compétent
(Créteil) et, dans le cas d’espèce, en présence du commissaire de police local.
Enfin, la procédure de convocation prévue par l’article 44
de la loi a été utilisée par la Commission à la suite
d’un contrôle opéré en province auprès d’un service
déconcentré, dont il est apparu que les manquements
à la loi constatés relevaient en fait de la responsabilité
des instances centrales, seules en mesure d’apporter des
modifications au traitement mis en œuvre, de nature à ce
qu’il soit conforme à la loi informatique et libertés.
À propos des contrôles
Pratiquement un quart des contrôles ont donné lieu à une
délibération de la formation restreinte :
n 31 mises en demeure ;
n 5 sanctions financières ;
n 1 avertissement.
2.Cf. infra « Le dossier médical personnel », p. 63.