Un contrôle peut en cacher un autre: Signature d’un protocole de coopération entre la CNIL et la DGCCRF
Publié le 13/02/2011 par Alice Guizard-Collin
Le 6 janvier dernier, le secrétaire d’État chargé de la Consommation, le Président de la CNIL et la Directrice Générale de la DGCCRF ont signé un protocole de coopération pour la protection des données personnelles des consommateurs sur internet, afin notamment, de permettre l’échange d’information entre la CNIL et la DGCCRF.
D’après le dossier de presse publié conjointement, les manquements à la Loi « Informatique et Libertés » constatés par les agents de Service national d’enquête (SNE) de la DGCCRF seront transmis à la Cnil dès lors qu’ils porteront sur des collectes illicites de données ou sur des collectes de données sensibles, un défaut de proportionnalité entre les données collectées et les finalités du traitement, un défaut de mesures propres à assurer la sécurité des données collectées ou l’absence d’information aux personnes dont les données sont collectées.
En effet, la loi Informatique et Libertés du 6 janvier 1978 prévoit des conditions de licéité des traitements de données à caractère personnel au nombre desquelles figurent les principes de licéité (« Les données sont collectées et traitées de manière loyale et licite »), de finalité (« Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités »), de proportionnalité et de pertinence (« Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs »), d’exactitude (« Elles sont exactes, complètes et, si nécessaire, mises à jour ») et de suppression (« Elles sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées »)[1].
En outre, la loi Informatique et Libertés fait également obligation au responsable du traitement de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.[2]
Sur la base des informations qui lui auront été transmises par le SNE, la CNIL pourra utiliser les pouvoirs de contrôle et de sanction qui lui sont attribués par la loi du 6 août 2004, modifiant la loi de 1978.
Pour mémoire, concernant les contrôles, la CNIL peut charger un ou plusieurs de ses membres ou des agents de ses services de procéder à des vérifications portant sur tous traitements et notamment recueillir, sur place ou sur convocation, tout renseignement et toute justification utiles pour les besoins du contrôle. Quant aux pouvoirs de sanction, il est à rappeler que la CNIL peut notamment prononcer un avertissement ou mettre en demeure le responsable du traitement de faire cesser le manquement constaté dans un délai qu’elle fixe, prononcer une sanction pécuniaire (jusqu’à 150.000 euros lors d’un premier manquement), mais également rendre publics les avertissements qu’elle prononce ou en cas de mauvaise foi du responsable du traitement, ordonner l’insertion des autres sanctions qu’elle prononce dans des publications, journaux et supports qu’elle désigne.
Cette dernière sanction est notamment la plus redoutée par nombre d’entreprises dans la mesure où elle peut nuire à l’image de marque vis-à-vis des consommateurs et du grand public. A titre d’exemple, en 2009, sur 9 sanctions prononcées, 6 ont été rendues publiques sur le site de la CNIL, et dès lors dans les autres médias (1 avertissement et 5 sanctions pécuniaires entre 5.000 euros et 40.000 euros)[3].
Ce nouvel accord de coopération va doncpermettre à la CNIL de renforcer ses contrôles relatifs aux sites marchands.
[1] Art. 6 Loi Informatique et Libertés.
[2] Art. 34 Loi Informatique et Libertés.
[3] Source : 30e RAPPORT D’ACTIVITÉ (2009) – Edition 2010