Nouvelle procédure pour déclaration site à la CNIL ?

[Julien PHAM]

Bonjour,

Selon le site de la CNIL, il n'y a plus de formulaire spécifique de déclaration d'un site internet à la CNIL. Mon site internet collecte effectivement des informations comme l'adresse email de ceux qui s'enregistrent, mais aussi les noms et photos des membres du personnel, et enfin les noms et coordonnées de nos clients, à des fin "publicitaires", pour nos clients, pas pour nous, afin qu'ils puissent se faire connaître, car nos clients sont des grossistes en produits alimentaires et fleurs.

Bref il faut que je fasse cette déclaration à la CNIL, mais comment l'effectuer ? Norme habituelle ou simplifiée, quoi mettre dedans ? Dois-je faire plusieurs déclarations, une pour la partie collecte d'emails pour les inscriptions, une pour les noms et photos des salariés, et une pour la collecte d'informations de nos clients ?

Déclarer son site à la CNIL est devenue complexe maintenant, à se demander s'ils ne cherchent pas à diminuer le nombre de sites...

Merci

Modifié 20 Juin 2006 par Julien PHAM

[Mixtim]

Bonjour Julien.

Il est vrai que cela peut paraître dissuasif.

Pour répondre, il semblerait de toute manière que vous devrez passer par la déclaration normale.

Sauf erreur de ma part, les procédures d'autorisation ne concernent pas les noms et photos. Je me souviens que c'étaient deux données envisagées et interprétées dans le cadre de la déclaration simplifiée.

On parlera de procédures d'autorisation lorsqu'il s'agira de collecter des données très particulières telles que l'origine, la sensibilité politique, la santé, la sexualité, ou encore le numéro de sécu, etc. Vous retrouverez sur cette page plus de précisions.

Qu'entendez-vous par " à des fin "publicitaires", pour nos clients, pas pour nous " ?

Les données collectées sont-elles cédées ?

Bon courage.

[Julien PHAM]

Les données collectées, à savoir le nom de l'entreprise, le contact, le numéro de téléphone, l'activité, l'adresse, sont mises à la disposition de tous sur notre site internet.

Quand je dis "à des fins publicitaires", c'est en fait pour faire la promotion de nos clients, car en ayant leurs coordonnées sur notre site web ils seront plus à même d'être contactés par des acheteurs potentiels. Ce n'est pas pour leur "envoyer" de la pub.

Dans la déclaration normale, quelque chose qui me bloque un peu aussi, c'est la partie demandant si les données collectées sont communiquées hors CEE... quand il s'agit d'un site internet, on ne peut pas savoir vers où transiteront les données. Donc je dois indiquer "tous" les pays de la liste ?

Merci

[Gotcha]

Salut,

même problème pour moi, j'ai déjà effectué une déclaration avec l'ancien formulaire, et là je dois déclarer un site de vente en ligne (donc déclarer les données requises pour l'identification des clients)... Et je séche

En déclaration normale j'ai énormément de mal à comprendre quoi y mettre, et dans la simplifiée il n'y a apparament pas de selection pour un site internet

Si quelqu'un sait ce qu'il faut y mettre, je lui serai reconnaissant

[FredericThu]

Eh oui, la CNIL a fermé la fonction de déclaration de site... Voir notre article complet dans ce même forum (à passer en "dur" ou en épinglé ?).

Bref, déclarer un site web, ça ne veut/voulait rien dire... Il faut donc déclarer les traitements qui exploiteront les données traitées (collectées/affichées) via le site web. On parle bien ici de traitements (RH, gestion clients...), pas de logiciels ou outils... (Excel, phpBB, outil de trombino, SAP...).

Comme vous le savez tous , tout traitement de données nominatives doit faire l'objet de formalités auprès de la CNIL avant la mise en oeuvre . Donc tous vos traitements sont déjà déclarés, donc votre site web n'a pas à être déclaré.

Pouf pouf.

Bon, je continue : pour les formalités, le traitement peut selon les cas relever du régime de :

- la dispense (donc, rien à faire, mais attention, c'est défini très strictement) [de mémoire, il y en a une dizaine],

- la déclaration selon une "norme simplifiée" [il y en a en gros 35-40]: pour les traitements standard (RH, gestion clients/prospects), on vérifie si on rentre dans le cadre prévu, et zou, déclaration en ligne,

- la déclaration normale : télécharger le formulaire et se le peler...

- l'autorisation : c'est le régime le plus dur, pour des traitements qui utilisent de la biométrie, et pour les transferts de données hors CEE. Là, c'est vraiment obligatoire. Monter un GROS dossier, transmettre à la CNIL, un an de boulot.

Résumons : pour la plupart des traitements, déclaration (normale, voire simplifiée); exceptionnellement, dispense ou pire, autorisation.

Depuis fin 2005, le responsable des traitements (en gros, celui qui paie la facture) peut nommer un CIL, Correspondant Informatique et Libertés, en interne ou externalisé. En nommant un CIL, pffuii, plus de déclarations : c'est le CIL qui tient la liste des traitements, dans une forme franchement simplifiée.

Donc... action !

- soit vous déclarez les traitements,

- soit vous (nous) sous-traitez la préparation des déclarations,

- soit à moyen terme vous nommez un CIL, interne (nous les formons) ou externe (nous sommes sous-traitants).

Action non envisageable : ne rien faire...

Dernière précision, sur une confusion fréquente: c'est le responsable du/des traitement(s) qui est responsable des déclarations auprès de la CNIL, pas le sous-traitant webmaster/webagency ! Donc, c'est lui qui encourt les amendes (up to 300.000 Euros, 5 ans de prison pour les pires cas).

Plus d'infos sur notre site - si vous voulez échanger avec des CILs, vous pouvez aussi aller sur le nouveau Hub des CILs sur Viaduc.

HTH !

Frédéric Thu

[Arlette]

Eh oui, la CNIL a fermé la fonction de déclaration de site... Voir notre article complet dans ce même forum (à passer en "dur" ou en épinglé ?).

Certainement pas !

Vous n'avez tout de même pas l'intention de venir poster dans toutes les rubriques pour dire la même chose et faire la pub (que j'ai retiré dans votre premier post) de votre cabinet.

Pour votre information il y a un démenti sur votre premier post

Nous allons donc informer la CNIL de vos allégations et leur proposer un droit de réponse

[Cariboo]

Arlette, sans vouloir te contredire, Frederic Thu a raison...

Ils ont bien supprimé le formulaire de déclaration de site...

Mais pas les autres formulaires de "traitement automatisé des données"

La déclaration de site internet blanc

Il n'y a plus de formulaire spécifique de déclaration de site internet. Toutefois cela ne signifie pas que vous n'avez rien à déclarer.

En effet, la collecte et/ou la diffusion de données via internet, de même que les traitements de données personnelles associés à un site web, relèvent désormais des formalités classiques : dispense de déclaration, déclaration de conformité ou déclaration normale.

En savoir plus

Pour info, j'ai eu longuement quelqu'un de la CNIL au téléphone (quelqu'un du service juridique) il y'a trois semaines et je lui ai proposé de passer sur le Hub pour prêcher de temps en temps la bonne parole sur le forum et aussi, se frotter à la réalité du monde des webmasters qui ne connaissent pas bien les formalités...

Peut-être la verra-t'on passer un jour...

[Dan]

J'ai répondu à sa question. On verra bien ce que cela donne.

Mais je n'ai eu aucune erreur de saisie et j'ai déclaré tous les champs obligatoires. Cela m'a pris moins de 10 minutes.

[BigVicente]

J'ai répondu à sa question. On verra bien ce que cela donne.

Mais je n'ai eu aucune erreur de saisie et j'ai déclaré tous les champs obligatoires. Cela m'a pris moins de 10 minutes.

Le plus dur c'est de trouver la bonne norme qui convient... Quand c'est la premiere fois c'est pas forcement evident, j'y ai goutté il y a un peu plus d'un mois pour un projet en cour !

[Julien PHAM]

J'ai eu quelques réponses d'une responsable juridique de la CNIL.

Elle m'a dit que les grossistes installés sur le MIN peuvent être assimilés à des fournisseurs, et donc tombent sous le coup d'une dispense de déclaration.

Elle m'a dit aussi que rapport à la liste des salariés sur le site Internet, je pouvais utiliser la norme 46.

Par contre il y a toujours quelque chose qui me chagrine... dans toutes les normes simplifiées, il y a une clause concernant le destinataire des informations. Or si on met les informations sur un site internet, alors tout le monde peut voir ces informations, donc cette clause ne me paraît pas respectée.

De même en cas de déclaration normale, il y a un endroit où on doit dire si les informations transitent hors CEE. Pareil, sur un site internet ça voyage dans le monde entier, on ne contrôle pas qui peut lire ces informations. Donc il faut dire oui et mettre les pays du monde entier dans la liste des pays destinataires ?

Merci

PS : à priori quand ça part hors de la CEE c'est toujours plus compliqué, même la dispense ne s'applique plus, hors un site internet peut être vu mondialement...

PPS : et rapport à un forum, où vous collectez les emails des membres, ça se déclare comment ?

Modifié 26 Juin 2006 par Julien PHAM

[FredericThu]

Je reprends !

Moi je dis : gloire à toi qui as appelé la CNIL - elle est aussi là pour donner des conseils.

Donc, pour la dispense de déclaration (tu commences à parler le cnilien !) pour les Fournisseurs, c'est par là: http://www.cnil.fr/index.php?id=1763

Extraits choisis :

Article 2 : Finalité des traitements

Les traitements doivent avoir pour seules fonctions :

d'effectuer les opérations administratives liées :

aux contrats,

aux commandes,

aux réceptions,

aux factures,

aux règlements,

à la comptabilité pour ce qui a trait à la gestion des comptes fournisseurs,

d'éditer les titres de paiement (traites, LCR, chèques, billets à ordre) ;

d'établir des statistiques financières et de chiffre d'affaires par fournisseur ;

de fournir des sélections de fournisseurs pour les besoins de l'entreprise ou de l'organisme ;

d'entretenir une documentation sur les fournisseurs.

Les informations traitées ne peuvent être utilisées que dans le cadre des finalités prévues à larticle 2 de la norme. La présente norme exclut dès lors lutilisation des données collectées à des fins de prospection commerciale.

Article 3 : Données traitées

Les données traitées pour la réalisation des finalités décrites à larticle 2 sont :

a) identité : nom ou raison sociale, prénoms, adresse (siège social, lieu de facturation), code d'identification comptable, téléphone, fax, adresse de courrier électronique, numéro SIREN ;

vie professionnelle : profession, catégorie économique, activité ;

c) éléments de la facturation et du règlement : les abonnements, article, produit, service faisant l'objet de l'abonnement, périodicité, montant, conditions :

les commandes et les factures, articles, produits, services faisant l'objet de la commande et de la facture, quantité, prix, numéro, date et montant de la commande et de la facture, échéance de la facture, conditions de livraison ;

paiement, conditions et modalités de règlement (moyen de paiement, références bancaires ou postales, remises, acomptes, ristournes), conditions de crédit, durée ;

impayés, avoirs, reçus ;

retenues ou oppositions.

----------------------------------------------------------------------

Les dispenses sont limitatives: le traitement ne peut bénéficier de la dispense que s'il respecte ces deux points (entre autres). Donc, si tu as par exemple une date de naissance ou l'age, un n° de tel ou une adresse perso, la dispense n'est pas applicable --> retour au régime standard, la déclaration standard.

Légalement, tu ne peux pas non plus avoir d'infos sur le sexe ou la situation de famille ! -->

pas de case "[ ] monsieur [ ] madame"... [ ] marié...

Pas non plus d'infos "rating": CA, benef, endettement... effectif...

La liste des relations "fournisseurs" ne semble pas couvrir les appels d'offres --> si tu es dans un organisme public, voir la dispense 2005-03, si tu es dans le privé, faire une déclaration. A ce moment-là, mieux vaut sans doute faire une déclaration pour toute la gestion fournisseurs...

----------------------------------------------------------------------

Pour le fait que tous les internautes puissent voir les pages : il semble que la CNIL ait adopté (suite à la Cour de Justice des Communautés Européennes) la position suivante : l'affichage d'une donnée perso sur un site internet n'est pas considérée comme une mise à disposition (arrêt Lindqvist, http://curia.eu.int/jurisp/cgi-bin/gettext...ET&where=() , voir le point 71).

Par contre, attention : si le site est hébergé sur un... hébergeur... situé à l'étranger, le fait de charger les pages sur ce serveur est bel et bien un transfert de données. Par/Par contre, si tu es chez un hébergeur de l'UE, peu importe que le serveur soit aux US.

Bref, ils ont trouvé une pirouette pour éviter de fermer l'internet...

Dernière remarque (Brésil/Ghana approche ) : si tu as des sous-traitants ou salariés indiens qui alimentent tes pages, LA, il y a transfert...

Fred

[Julien PHAM]

Merci.

Ben alors pour les fournisseurs (qui ne sont pas "nos fournisseurs" en fait mais qui sont "des" fournisseurs), j'affiche : nom ou raison sociale, adresse, activité, téléphone, fax, portable.

Rien de perso en fait, disons que pour les entreprises unipersonnelles ou en nom propre ça pourrait être assimilé à du perso, vu qu'on a M. UNTEL, mais en même temps on trouve ce genre de renseignements dans l'annuaire, donc je ne sais pas si je peux rentrer dans le cadre de la dispense ou pas...

Mais je vais peut-être la faire quand même, si j'arrive à trouver comment Enfin quoi remplir donc...

Et donc de même qu'une mise sur internet n'est pas une mise à disposition, est-ce à dire aussi que dans l'article des normes simplifiées où il parle par exemple, pour la liste du personnel, du destinataire qui est le responsable de la paye par exemple, on peut quand même bénéficier de la norme simplifiée en mettant la liste du personnel (photo + nom + emploi) sur le net ?

Merci

PS : je n'ai pas de sous-traitants, je fais tout tout seul ou avec quelques rédacteurs dans nos locaux (une seule en fait pour le moment), et mon site est hébergé chez 1&1, donc en France.

Modifié 30 Juin 2006 par Julien PHAM

[FredericThu]

Oula.

Si tu es seul, je suppose que tu es prestataire web pour le MIN ?? DONC, tu n'es pas habilité à remplir les déclarations CNIL. Seul le responsable du traitement est habilité à déclarer les traitements et engage sa responsabilité. Donc, le MIN.

La déclaration de site web (du temps où elle existait) pouvait à la rigueur être faite par le prestataire web - mais pas les "vraies" déclarations !

- tu ne sais pas forcément quel est l'organisation/le contenu des fichiers (par exemple, une zone "commentaires" peut contenir des mentions religieuses, politiques, racistes...) et en tout cas tu n'en n'es pas responsable

- si chaque prestataire du MIN (ou d'un client) se met à déclarer à la CNIL tous les fichiers de ce dernier, bonjour le bazar...

Une déclaration selon une norme simplifiée est un engagement du signataire à respecter cette norme... seul le responsable du traitement peut s'engager.

--------

Autre précision : "pour les fournisseurs j'affiche : nom, adresse, fax"... Peu importe ce qui est affiché, ce qui compte pour savoir si le traitement "Fournisseurs" est conforme à la norme simplifiée, c'est ce qui est collecté/stocké/traité.

Voilou,

Fred

[Julien PHAM]

Je suis le responsable informatique de la SOMINICE, et aussi le webmaster. Notre site web est fait en interne, nous n'avons pas de prestataire web.

C'est moi aussi qui créé la base de données fournisseurs pour le site web... enfin nos clients, mais vu que ce sont des grossistes, apparemment ils sont assimilés à des fournisseurs... à vérifier toutefois...

Grosso modo, la manière dont ça se passe... j'ai demandé au comptable responsable de la gestion clientèle de me faire un export excel de la base de données client, qui est dans le PGI CEGID dans la liste des clients, en me donnant juste le nom/la raison sociale, l'adresse, le téléphone/fax, l'activité.

A partir de ce fichier excel j'en ai fait une requête SQL, que j'ai intégrée sur le site via mySQL. Et donc sur le site les seules informations traitées / collectées sont celles-là, même si en interne la base CEGID est un peu plus etoffée, mais la base CEGID en interne reste conforme à la dispense de déclaration je pense, et les données ne sont pas cédées à des tiers, sauf celles ci-dessus qui se retrouvent sur le site internet.

Je sais exactement ce qu'il y a dans les données affichées et stockées sur le site internet, vu que c'est moi qui m'occupe de l'import. De même, la base internet n'est pas directement liée à notre base CEGID interne, on pourrait dire que ce sont deux bases distinctes même si les données du site proviennent de la base interne CEGID, vu que tout un traitement d'export manuel a été fait pour mettre certaines de ces informations sur le net.

Donc je pense que la déclaration que je dois faire doit porter sur les données réellement présentes sur le site internet... si déclaration il y a... mais dans le doute il vaut mieux sans doute en faire une...

Après, pour l'autre base, la liste des salariés, c'est un traitement manuel qui a été fait, ce n'est même pas une base de données sur le site, c'est juste un article avec les noms et photos des membres du personnel... donc... déclaration normale ? Simplifiée selon norme 46 ? A voir...

[FredericThu]

Que les données soient sur un site internet ou dans une base interne n'a aucune importance - ce qui compte, c'est la donnée. Ces données (oui, ce sont bien vos clients et non pas vos fournisseurs - je suppose que vous les facturez ?) font partie d'un traitement (gestion clients), le périmètre du traitement (=sa frontière avec les autres traitements) étant défini par le but de ce traitement (sa "finalité").

La déclaration concerne le traitement, pas les moyens techniques mis en oeuvre. Qu'il y aie une ou dix bases de données, sur un ou cinq sites, que ce soit sur votre réseau interne ou sur l'extranet ou l'internet, que ce soit totalement automatisé ou mixte manuel/informatique, ça reste le même traitement. C'est pour ça que la CNIL a supprimé la déclaration de site internet, elle n'avait pas de sens !

Il faut déclarer tous les traitements comportant des données nominatives:

- gestion clients (et prospects)

- gestion fournisseurs (vous en avez aussi !) : M. Dupont, électricien artisan, est une personne... le traitement est distinct de la Gestion Clients (le but-finalité est différent) --> il faut déclarer, même si l'outil est le même que pour la gestion clients: il pourrait être différent...

- GRH...: idem, que ce soit en interne ou sur le web, une seule déclaration... La publication de cet annuaire sur le site peut répondre à deux besoins (traitements): GRH (déclaration simplifiée), ou information/communication (dispense). La déclaration GRH couvre aussi la gestion informatique interne (Active Directory ou assimilé).

- voir aussi les déclarations simplifiées pour la gestion du téléphone (hors écoutes), la gestion des accès (poste de garde, badge...)

- et les traitements spécifiques à votre métier.

Bref, il faut faire la liste des traitements et déclarer tous ceux comportant un (ou plusieurs) noms !

[Julien PHAM]

Je vois, je vois Donc en fait, le fait qu'on mette une partie de ces informations à disposition sur internet, on s'en fou ?

Sauf que ça risque de ne pas coller dans le destinataire des informations, qui n'est plus dans ce cas une personne bien définie, puisque on met cette information à disposition sur internet, et qu'on risque donc de devoir faire une déclaration normale au lieu de simplifiée.

Il me semble par contre que la gestion des fournisseurs tombe sous le coup d'une dispense de déclaration.

Mais en même temps, si on prend la gestion du personnel par exemple. En interne on stocke dans un logiciel diverses informations sur les personnes, nom, prénom, numéro de SS, date de naissance, adresse, salaire, des trucs confidentiels donc...

Si on fait une déclaration à la CNIL pour ce fichier, ok, le destinataire des informations c'est le service du personnel, donc la déclaration est ok je dirais... par contre sur le site on ne met pas le salaire de la personne, on n'aurait pas le droit d'ailleurs, on met juste photo / nom / poste occupé.

Bref il y a deux destinataires différents, avec des informations transmises différentes. Comment ça marche alors pour la déclaration ?

Idem pour la gestion des clients, sur le site on ne met que leurs coordonnées pour qu'ils puissent être joints par d'éventuels clients. On ne met pas d'informations financières, de solvabilité, ...

[FredericThu]

Ooups, pour la gestion des fournisseurs, il y a bien une dispense (après avoir vérifié qu'on ne collecte/traite pas plus d'infos que celles définies dans la dispense, http://www.cnil.fr/index.php?id=1763). Cette dispense ne s'applique que si les données restent au service Fournisseurs... pas si on la publie (on tombe alors dans le cadre normal, déclaration normale).

La norme simplifiée Clients, 48, http://www.cnil.fr/index.php?id=1838, ne prévoit effectivement pas de publier ces infos sur le Net (art 5). Nous recommandons donc d'établir une déclaration normale - et indiquer les différents niveaux de données et les classes de destinataires associées.

Pour la publication de l'annuaire interne (salariés) allégé : la mise à dispo sur le Net n'est pas couverte par la dispense 7, "constitution et lexploitation dun fichier dadresses ", ni par la NS 46 (GRH). Rebelote, déclaration normale.

De notre point de vue, le plus simple est encore de nommer un CIL plutôt que de s'arracher les cheveux en comparant les dispenses & les normes simplifiées...

... hé, les zautres lecteurs du thread, vous zêtes encore là ?

[Julien PHAM]

Bah oui de ton point de vue Mais pas du point de vue de ma direction, qui me répondra : tu es responsable informatique, à toi de t'y coller

Donc je me renseigne, je pose des questions, et après je m'occuperais de la déclaration...

Déjà c'est bien que la CNIL ait allégé la partie hors CEE en ne considérant pas la mise à disposition sur internet comme un transfert hors CEE... ça simplifie une partie du traitement...

Les autres lecteurs du thread ont du partir en vacances

Le rôle d'un CIL c'est de poser des questions, de se renseigner sur le fonctionnement, puis de remplir les déclarations à notre place ?

Modifié 3 Juillet 2006 par Julien PHAM

[Julien PHAM]

En fait, j'ai lu un dossier sur le CIL (où il est dit qu'en fait ça dispense l'entreprise de remplir ces déclarations), je vois bien le truc où on va me dire de devenir le CIL Je n'ai pas de formation de juriste mais je connais bien toute la partie informatique...

Je peux demander une augmentation pour la responsabilité supplémentaire ?

Edit : c'est quoi un "responsable de traitement" ? Moi je suis responsable informatique, dans le sens où je gère toute l'informatique de la boite, mais je ne commande personne, ce n'est pas moi qui décide de l'achat de tel ou tel truc, de la mise en place de tel ou tel truc (je conseille, juste), c'est le PDG en fait qui décide de tout... Donc puis-je être considéré comme responsable de traitement, et donc inapte à la fonction de CIL, ou pas ?

Et si je ne suis pas le responsable de traitement, qui est-il ? Le PDG ?

Modifié 3 Juillet 2006 par Julien PHAM

[FredericThu]

(il me semblait bien que ma réponse était pas passée...)

Ah, on arrive aux vraies bonnes questions.

Dossier/infos sur le CIL et la CNIL : tu trouveras plein d'infos inédites sur notre site (forcément ). Le CIL ne remplit pas les déclarations, ne se prend pas la tête sur les cases "dispense/norme simplifiée/déclaration", il tient la liste des traitements et vérifie leur conformité aux Règles (cf nos Articles, normalement c'est prédigéré). Il peut remplir les demandes d'autorisation si nécessaire (elles restent obligatoires: exportation de données, biométrie...).

La définition du responsable de traitement n'est pas moins épineuse que les autres déjà abordées ici... Légalement (art 3 de la loi): "Le responsable dun traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, lautorité publique, le service ou lorganisme qui détermine ses finalités et ses moyens.".

Plus simplement, selon nous, c'est celui qui signe la facture ou le bon à payer (celui qui a le budget, pas le comptable !).

C'est aussi en gros la différence entre un Directeur Informatique (qui définit la stratégie du SI avec la DG et les Directions opérationnelles, et dispose des moyens de ces ambitions) et le Responsable Informatique (qui est plus responsable du bon fonctionnement des moyens).

Donc, d'après ta description, tu n'es pas responsable des traitements (il y en a plusieurs: RH, Gestion Clientèle, et s'il n'y en n'a aucun de clair... le PDG.).

Par ailleurs, il ne faut pas qu'il y ait de "conflit d'intérêt" possible sur les données entre les deux fonctions, RI et CIL - tu ne peux pas être juge et partie sur ces données (les données RH, clients.... ne "t'appartiennent" pas, tu ne peux pas les modifier à ta guise, elles sont sous la responsabilité d'un autre responsable).

Tu ne peux pas non plus être délégué syndical. "Bonne" nouvelle, c'est le responsable des traitements qui est sanctionnable (amende et prison), pas le responsable informatique.

Dernier point à prendre en compte: le CIL a un vrai pouvoir de dire "NON" et de faire modifier un traitement qui serait non conforme. A priori, je ne pense pas que ce point soit valide dans ton environnement... mais il faut que le Responsable des Traitements qui nomme le CIL en soit conscient, et que si le cas se présente, le CIL puisse/sache intervenir fermement.

Tu veux une proposition de formation ?

... nous animons un hub sur Viaduc, je me demande si on peut reprendre cette discussion ? serais-tu d'accord ? Dan, si tu vois ceci, est-ce que ça pose un pb ?

Fred

[Julien PHAM]

Un hub sur Viaduc ? C'est quoi ça ?

Pour moi pas de problème, toute information concernant ces points là serait la bienvenue... car je sens bien que je vais me faire bombarder CIL

Tiens d'ailleurs, le poste de CIL doit être mentionné sur notre contrat de travail ? Faut que je pense à demander une augmentation pour le sucroit de travail et la responsabilité supplémentaire...

Je suppose que vérifier si un traitement est conforme, ça va plus loin que de vérifier s'il rentre dans une norme, car un traitement peut sans doute être conforme tout en n'étant pas couvert par une norme précise... ça demande en fait à bien lire la loi informatique et liberté poru voir si tel ou tel traitement ne nuit pas aux personnes ?

Exemple d'un truc bizarre... dans la norme sur les logiciels de pointage, dans les champs autorisés n'est pas fait mention des dates d'entrée et de sortie des effectifs d'un salarié... mais en même temps il est indiqué que les données peuvent être conservées cinq ans après le départ du salarié de l'entreprise... donc comment faire pour calculer ces cinq ans si on ne peut pas stocker la date de départ du salarié ?

Et qu'en est-il des déclarations déjà effectuées, au moment de désigner un CIL ? On peut considérer que ces déclarations n'ont plus lieu d'être ? Exemple d'un traitement qui a pu se conformer à une norme simplifiée en virant des données non couvertes par cette norme. Une fois un CIL désigné, et si le CIL est d'accord, on peut remettre ces données en circulation si elles ne violent pas la liberté des personnes ?

Merci

Modifié 4 Juillet 2006 par Julien PHAM

[FredericThu]

Bombardement CIL: pas de pb, on fournit des casques spéciaux. Avec la clé usb qui va bien (intranet documentaire prédigéré avec mise à jour pendant un an, outil de registre des traitements horodaté, kit de communication vers les responsables de traitements et les utilisateurs...)

Tu seras déclaré à la CNIL en tant que CIL par recommandé, et la CNIL accuse réception: donc, c'est une fonction officielle. Maintenant, tu peux effectivement le faire mentionner sur ton contrat de travail, pour dégager des moyens (dont du temps). Ah oui, et je pense que tu peux demander une augmentation

Tu peux commencer à te préparer pour une formation CIL... en lisant le décret qui définit les CIL, http://www.cnil.fr/index.php?id=1880, voir le Titre III. L'article 43 définit les formalités de désignation (cf aussi art 45) ; l'art. 48 définit les éléments à collecter dans le cadre de l'Inventaire des Traitements: coordonnées du responsable du traitement, finalité(s), service(s) mettant en oeuvre, personne/service gérant le droit d'accès/modification; description des catégories de données et catégories de personnes concernées ; catégories de destinataires traitant les données ; durée de conservation.

Le CIL prend en charge tous les traitements relevant normalement de la déclaration simplifiée ou de la déclaration normale. La responsabilité du CIL s'arrête avant Demandes d'Autorisation, c-a-d les formalités les plus lourdes : si tu notes dans la liste des traitements un traitement relevant "normalement" d'une dispense, par ex. la gestion Fournisseurs, c'est pas grave... Par contre, le CIL ne peut pas valider/enregistrer un traitement "lourd", biométrie, transfert de données vers l'étranger, utilisation du n° de sécurité sociale, ... qui nécessitent une Autorisation préalable. Comme il est hyper fort, c'est lui qui rédige la demande d'autorisation.

Les traitements doivent être évalués par rapport aux principes posés dans la loi (voir leur présentation dans nos articles, http://www.cabinet-cilex.com/articles.html ): finalité, durée, proportionnalité, territorialité, transparence, qualité, sécurité... il y en a une grosse dizaine. Si un traitement n'est pas conforme, le CIL interdit sa mise en oeuvre tel quel.

Enfin, des trucs bizarres, il y en a *quelques-uns*... Avec mon collègue et ami juriste Cédric Crépin, on " confronte nos points de vue " régulièrement... La date d'entrée et de sortie du salarié font partie des infos RH obligatoires (registre du personnel, couvert par la dispense 2), pas dans le champ d'un logiciel de pointage (lequel fichier de pointage doit évidemment être décrit par le CIL).

Ah, le problème de la reprise de l'existant... Oui, tu peux avoir des traitements "étendus" par rapport à une norme : en l'absence de CIL, tu peux aussi/déjà les avoir, si tu les déclares via une Déclaration Normale. Le CIL enregistre les déclarations simplifiées et normales (voire les exemptions, ça peut pas faire de mal selon nous, et puis il y a souvent des points non couverts par l'exemption, comme l'interconnexion du fichier Fournisseurs avec le fichier Clients pour gérer une balance... --> le traitement relève en fait d'une déclaration normale). Donc, la mise en place du Système d'Information est plus souple, parce non limitée par la recherche de conformité avec telle ou telle norme - bref, moins de prise de tête !

Voilou !

[Julien PHAM]

utilisation du n° de sécurité sociale, ... qui nécessitent une Autorisation préalable.

A ce sujet j'ai cru lire, sur votre site je crois, que la CNIL avait finalement considéré comme normal et n'ayant pas besoin d'information préalable la présence du numéro de SS dans les registres de la paye, notamment pour l'établissement des bulletins de paye, et la gestion des congés maladie. C'est une donnée obligatoire dans ce type d'utilisation il me semble... ne serait-ce que pour déclarer un salarié à l'IPSEC (notre mutuelle d'entreprise) ou à la mondiale (complémentaire retraite) on a besoin de son numéro de SS.

Et je suppose que pour toutes les entreprises c'est pareil...

La date d'entrée et de sortie du salarié font partie des infos RH obligatoires (registre du personnel, couvert par la dispense 2), pas dans le champ d'un logiciel de pointage (lequel fichier de pointage doit évidemment être décrit par le CIL).

Ce qui veut aussi dire qu'il est impossible d'automatiser la supression des données à certaines dates, on ne peut pas donc dire au logiciel de purger les infos personnelles d'un salarié 5 ans après sa date de sortie, vu qu'on ne peut pas stocker cette date de sortie dans le logiciel... il faut donc faire le traitement à la main...

Modifié 5 Juillet 2006 par Julien PHAM

[FredericThu]

Numéro de sécu: ici son utilisation découle d'une loi, et n'est donc pas soumise à utilisation. Par contre, on ne doit pas faire de recherches/requêtes dessus... et je suppose que ce champ ne doit pas être indexé dans la base de données.

Par contre, on ne peut pas l'utiliser, par exemple, dans un logiciel de gestion des recrutements, cvs... sauf Autorisation. Ici s'applique le principe de proportionnalité (rapport entre la taille du clou et du marteau-pilon).

Ce qui veut aussi dire qu'il est impossible d'automatiser la supression des données à certaines dates

Pourquoi pas ? Les dates d'événements sont inscrites dans le soft de pointage, donc rien n'empêche de sélectionner, 5 ans après un départ, tous les événements de la personne et de les effacer - par exemple en notant sur un papier son n° de badge, et en le passant à la requête de suppression... Delete from Events where Badge = "1234"

Ce point de la suppression des données est ch..., parce que rarement pris en compte par les logiciels (maison ou du commerce): les enregistrements sont rarement datés, et les requêtes de purge sont rarement pré-écrites et disponibles facilement (intégration à un menu Outils, par exemple). Par exemple, je serais curieux de connaitre le nombre de logiciels de GRC qui implantent en standard les outils "Suppression du prospect qui n'a rien acheté au bout de 12 mois après 2 relances sans réponse", "Suppression des clients qui n'ont rien acheté depuis 2 ans", ces délais étant évidemment paramétrables avec une alerte "spéciale CNIL" si on dépasse les valeurs raisonnables.... Et je ne parle même pas du "sentiment de propriété" d'un prospect ("il est à moa", "j'ai beaucoup investi dessus = il m'a couté cher") et donc de la (forte) résistance des commerciaux, ni du syndrome du AuCasOu...

Tiens, je vais lancer une étude sur cette implantation des logiciels qui implantent ça.

Hop.

[Julien PHAM]

Je ne parle pas de la date d'événement, mais de la date d'entrée du salarié, ou de sortie, car il est indiqué que les informations sur le salarié doivent disparaître cinq ans après le départ de celui-ci. Donc cinq ans après, on ne doit plus avoir trace du poste du salarié, de son nom, ou de son matricule dans le logiciel.

Or comment faire ça si on ne stock nulle part sa date de sortie ?

Ah oui les prospects... donc faudra que je me renseigne auprès de notre commerciale si elle tient à jour un fichier de ses clients/prospects, comment elle le tient à jour, et contrôler qu'elle ne garde pas d'informations trop longtemps... enfin là j'ai le temps, parce qu'elle est rentrée dans la boite il y a un an, donc elle ne peut pas avoir des prospects de très longue date...

Il faudrait une nouvelle norme pour les logiciels, "agréé CNIL"