20 Mai 2014 Rapport CNIL 2013 : quels enseignements pratiques pour vous, entreprise ou organisation
(Cet article a été publié il y a 9 ans.)
Le rapport 2013 de la CNIL a été publié et il est riche d’enseignements. Il a donné lieu à un communiqué de presse qui permet de prendre connaissance de son résumé et des points sur lesquels la CNIL veut insister.
L’objectif de ce billet n’est pas de redire ce que la CNIL a indiqué, que ce soit dans son résumé ou le rapport lui-même.
Le but du billet est de mettre l’accent sur deux enseignements essentiels et trois enseignements opérationnels pour les entreprises et les organisations (collectivités territoriales, syndicats, etc.) qui gèrent des données personnelles.
Du côté des alertes, la CNIL a procédé à 414 contrôles en 2013. En plus, elle peut, depuis la loi Hamon de mars 2014 effectuer des contrôles à distance (article 44 de la loi de 1978). On peut donc prédire une augmentation d’au moins 30% du nombre de contrôles en 2014.
A côté du processus répressif, la CNIL veut développer l’auto-régulation avec des outils comme la nomination des correspondants informatique et libertés et la mise en place de règles internes (les « binding corporate rules »).
On peut proposer trois pistes d’action.
Investissez dans la conformité : ce n’est pas toujours simple, notamment lorsque votre système d’informations est l’héritage des fusions successives (par exemple chez les assureurs). On a parfois affaire à de vraies mille-feuilles technologiques. Par exemple, Pôle Emploi avait lancé en 2013 un appel d’offres pour se mettre en conformité avec la loi informatique et libertés, à la suite de la fusion ASSEDIC-ANPE. La liste des applications et des bases de données utilisées est impressionnante.
Mais c’est très souvent beaucoup moins compliqué qu’on ne le dit. Et pour connaître ce que ça coûte ? Faites un appel d’offres (public ou privé). Vous obtiendrez le meilleur prix…
A côté de la réglementation CNIL, pensez à la réglementation des données de santé. Cette réglementation concerne toutes les entreprises et organisations qui manipulent (on dit : traiter) des données de santé. La loi ne donne pas de définition de la donnée de santé (article L 1110-4 du code de la santé publique). Je risque une définition : toute donnée qui permet d’identifier directement ou indirectement un soin, un traitement, un médicament prescrit ou utilisé, une pathologie. Réfléchissez sur la base de cette définition. Je pense que beaucoup de mutuelles ne sont pas « dans les clous ». En cas de traitement de données de santé, on relève non seulement de la CNIL, mais aussi de l’ASIP (http://esante.gouv.fr/asip-sante).
En cas de contrôle de la CNIL, pensez à collaborer sans être naïf. La CNIL conduit une démarche forte d’accompagnement à la mise en conformité. Mais le contrôleur qui sonne chez vous avec une autorisation judiciaire n’est pas votre allié. Prétendre cela est aussi cohérent que de dire que le gendarme qui vous pose des questions est votre ami, même s’il vous soupçonne en fait de meurtre. On peut faire encore plus naïf : « j’ai répondu, parce que je n’avais rien à me reprocher ». En d’autres termes, gardez le numéro de téléphone de votre avocat sur vous (le nôtre : 01.84.17.66.22).
