Se préparer à un contrôle de la CNIL


la CNIL vient de mettre en ligne une charte des contrôles dans laquelle vous trouverez un grand nombre d’informations utiles.

le document complet peut être téléchargé sur le site de la CNIL en cliquant ici

 

1. Les caractéristiques d’un contrôle

 Objectifs

S’assurer que le traitement ne porte pas atteinte aux droits et libertés des personnes
S’assurer que les organismes répondent au principe de responsabilisationla CNIL s’intéressera notamment

  • à la finalité du traitement
  • à la nature des données collectées
  • aux modalités d’information des personnes
  • aux durées de conservation
  • aux destinataires des données personnelles
  • aux moyens de sécurité mis en oeuvre
  • aux transferts des données personnes le cas échéant

Qui peut être contrôlé ?

Tout organisme traitant des données personnelles

Ses prestataires sous-traitants (hébergement, maintenance, etc.)

Comment la CNIL décide-t-elle de procéder à un contrôle ?

Selon ses thématiques annuelles de contrôle (en 2020 : données de santé, géolocalisation, cookies)

Suite à une réclamation ou une plainte

A son initiative

Les dispositifs de vidéoprotection

A la suite d’une procédure de contrôle clôturée

Quelles sont les différentes formes de contrôle ?

 Contrôle sur place

Contrôle sur convocation

Contrôle en ligne

Contrôle sur pièces

2. Les pouvoirs des agents de contrôle

Pouvoir d’accès aux locaux

 Accès entre 6h et 21h

Pouvoir de se faire communiquer tous renseignements ou documents utiles

Obligations des agents de contrôle

 Secret professionnel

Ils ne peuvent participer au contrôle d’un organisme dès lors qu’ils y ont détenu un intérêt direct ou indirect dans les 3 années précédent le contrôle, qu’ils y exercent ou y ont exercé une activité professionnelle, qu’ils détiennent ou ont détenu un mandat.

3. Les droits des organismes contrôlés

Identité des contrôleurs et information sur l’objet du contrôle

Peut-on refuser le contrôle de la CNIL ?

 Cela n’est pas possible

Peut-on opposer le secret professionnel ?

 Dans certains cas : relation avocat/client, sources journalistiques, secret médical.

Concernant le secret médical, celui-ci ne peut être opposé si un médecin accompagne la délégation de la CNIL.

Peut-on se faire assister d’un conseil ?

 Oui

4. Le déroulement d’un contrôle

Contrôle sur place

 Avant le début de la mission, les agents de contrôle demandent à être mis en relation avec le représentant légal, un responsable en lien avec le traitement, ou encore toute personne exerçant une activité professionnelle au sein de l’organisme. Cet interlocuteur devra se rendre disponible pour suivre les agents tout au long du contrôle, et relire et signer le procès-verbal.

Des entretiens sont menés, et des pièces recueillies. Un procès verbal est dressé, soumis à relecture et signature.

Contrôle en ligne

 Les agents accèdent aux sites de l’organisme depuis les locaux de la CNIL. Ils se comportent comme tout internaute, peuvent compléter des formulaires en ligne, tester des liens de désincription ou des procédures permettant l’exercice de leurs droits.

Un procès verbal est dressé, qui peut faire mention de demande de communications de pièces complémentaires (contrats, extractions de base de données, etc.)

Contrôle sur audition

 Un courrier de convocation est adressé à l’organisme au moins 8 jours avant la date de l’audition. Le déroulement est similaire au contrôle sur place (entretiens, recueil de pièces, procès verbal).

Contrôle sur pièces

 Un questionnaire est envoyé par la CNIL, destiné à recueillir des éléments d’information ainsi que des pièces et documents justificatifs.

La réponse peut être faite au format papier ou numérique (envoi d’un email, support numérique).

5. les suites d’un contrôle

Notification du procès verbal

 Dans un délai de 15 jours à compter du contrôle.

Instruction du dossier

 Des demandes complémentaires peuvent être adressées à l’organisme. Elle peut se dérouler sur une période de plusieurs mois.

Suites possibles

Clôture de la procédure avec ou sans observations

Avertissement et rappel à l’ordre par la Présidente de la CNIL

Mise en demeure

Décisions prononcées par la formation restreinte pouvant prononcer des sanctions ou une relance :

  • rappel à l’ordre ;
  • injonction de mettre le traitement en conformité ;
  • limitation temporaire ou définitive du traitement ;
  • retrait d’une certification ;
  • suspension de flux de données ;
  • amende administrative.

 

 




RGPD : la réaction de Save the Children face à une violation de données


Comment réagir si votre base de données est piratée d’une façon ou d’une autre , et que cette violation concerne des données personnelles ou sensibles ?

Au delà des réponses techniques, la communication auprès des personnes concernées est un sujet important. La CNIL précise les actions à mener en cas de violation des données personnelles (Voir ici sur le site de la CNIL) :

  • Documenter les incidents ;
  • Informer la CNIL ;
  • Dans certains cas, informer les personnes concernées.

L’exemple récent (mai – juillet 2020) de l’ONG Save the Children est un cas d’école

Les parties prenantes

  • l’ONG américaineSave the Children ;
  • Blackbaud, éditeur et hébergeur de la base de données.

L’incident

En mai 2020 Blackbaud est victime d’une attaque de type « ransomware » : Un hacker s’introduit sur un serveur hébergeant des données pour en perturber le fonctionnement ou le bloquer jusqu’à paiement d’une rançon.

  • Interruption du service ;
  • Cryptage des données ;
  • Vol de données.

Blackbaud a payé la rançon, et s’est assuré que les données dérobées ont bien été détruites (le hacker étant supposé être une personne de confiance !)

 

La communication de l’ONG

  • juillet 2020 : envoi d’un email aux contacts (donateurs ou non)
  • Information sur le site (voir ici)

Une information a également été faite sur le site de l’éditeur Blackbaud (voir là).

 

Le détail de l’email d’information

Le contexte, la présentation des parties prenantes 2020-07-29_07h59_23

 

Le détail de l’incident, et les données concernées 2020-07-29_07h59_40

 

Les mesures prises par Blackbaud

  • Paiement de la rançon !
  • Mise en place d’une surveillance accrue

Les mesures prises par l’ONG

  • Changement d’hébergeur

 

2020-07-29_08h01_13