54
RAPPoRT D’ACTIVITÉ 2012
Informer et éduquer / Conseiller et réglementer / Accompagner la conformité / Protéger les citoyens /
les contrôles
L’année 2012 a confirmé la tendance amorcée depuis plusieurs années, qui consiste à faire
des contrôles sur place un moyen d’action privilégié de la Commission. Ainsi, le nombre de
contrôles réalisés a encore notablement augmenté, qu’ils portent sur les fichiers soumis
à la loi « Informatique et Libertés » ou sur les dispositifs de vidéoprotection relevant de
la loi du 21 janvier 1995.
L
a CNIL a effectué 458 contrôles
au cours de l’année 2012, ce qui
représente une augmentation de
19 % par rapport à l’année précédente.
Cette augmentation illustre une nouvelle
fois la volonté de la Commission de vérifier, par ses contrôles sur place, le respect
des textes dont elle est chargée d’assurer
l’application.
L’activité de contrôle de la CNIL se
répartit comme suit : 285 contrôles
portant sur des dispositifs relevant de
la loi « Informatique et Libertés » et
173 contrôles portant sur des dispositifs
de vidéoprotection / vidéosurveillance.
Dans le premier cas, 23 % des
contrôles ont été effectués dans le cadre
de l’instruction de plaintes, 11 % dans le
cadre de la procédure de sanction (par
exemple, afin de vérifier le respect des
engagements pris par un responsable
de traitement mis en demeure par la
Présidente de la CNIL) et 26 % au regard
de l’actualité.
458
contrôles en 2012
dont 285
portant sur des dispositifs
relevant de la loi
« informatique et libertés »
et 173
portant sur des dispositifs
de vidéoprotection/
vidéosurveillance
une augmentation de 19 %
par rapport à 2011
évolution du nombre de contrôles depuis 2009
500
450
458
400
385
350
300
250
308
270
200
150
100
50
0
2009
2010
2011
2012
40 % des contrôles réalisés se sont
inscrits dans les thématiques issues
du programme annuel décidé par la
Commission.
Ces contrôles ont donné lieu à l’adoption d’une vingtaine de mises en demeure
par la Présidente de la CNIL et 4 avertissements par la formation restreinte. Pour
autant, on doit constater que les courriers
adressés à la suite de ces contrôles ont
conduit, dans la quasi-totalité des cas,
à ce que les organismes adoptent une
démarche de mise en conformité vis-àvis de la loi du 6 janvier 1978 modifiée,
y compris parfois en désignant des correspondants à la protection des données.
Ce programme annuel était structuré
autour des thèmes suivants :
« la sécurité des données de santé » :
une vingtaine de contrôles ont été réalisés dans ce cadre ; ils ont porté sur les
conditions de traitement des données
par des organismes aussi divers que les
hébergeurs agréés, les centres d’étude et
de conservation des œufs et du sperme
humains (CECOS), les pharmacies (dossier
pharmaceutique), un groupe hospitalier
d’importance nationale, des laboratoires
d’analyse médicale et des prestataires
développant des logiciels ou produits
destinés à traiter des données de santé.
« les failles de sécurité » : de nombreux
contrôles ont porté sur les conditions de
sécurité de traitement des données à
caractère personnel. Ces contrôles ont
pu être réalisés dans le cadre d’alertes
adressées à la CNIL ou dans le cadre de
notification de violations de données à
caractère personnel (article 34 bis de la
loi voir pages 52-53).
« sport et vie privée » : une vingtaine de
contrôles ont également été menés auprès