Une journée avec la CNIL

La CNIL : Commission Nationale Informatique et Libertés. “L’informatique doit respecter l’identité humaine, les droits de l’homme, la vie privée et les libertés”.

Une histoire qui a impliqué mon agence.

15 juin 2011 – 9:00, une belle journée ensoleillée s’annonce, je m’installe comme chaque matin à mon bureau, une tasse de café fumante à la main, lorsque  la sonnerie du téléphone retentit.

J’ouvrais mon premier dossier, je ne savais pas encore que ce coup de téléphone allait bouleverser ma journée !

Au bout de la ligne, un agent du service des contrôles de La C.N.I..L m’informe qu’il a été mandaté pour contrôler mon entreprise.

Peu de temps après, j’ouvre la porte et accueille 2 personnes qui me présentent leur cartes professionnelles, une jeune femme auditrice et juriste, ainsi que son collègue, contrôleur et informaticien, tous deux agents de la C.N.I.L.

L’ordre de Mission

Un ORDRE DE MISSION, m’est présenté, à l’entête de la C.N.I.L, les autorisant  à contrôler mon agence

Les  lois suivantes y sont citées

• la loi N° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
• la loi  N° 95-73 du 21 janvier 1995 d’orientation et de programmation relative à la sécurité
• le décret N° 2005-1309 du 20 octobre 2005 relative à l’informatique, aux fichiers et aux libertés
• la délibération N° 2006-147 du 23 mai 2006 relative à l’informatique, aux fichiers et aux libertés
• la délibération N° 2009-674 portant délégation d’attributions de la CNIL à son président et à son vice-président délégué
• la délibération N° 2011-095 du 31 mars 2011 habilitant des agents de la C.N.I.L à procéder à des missions de vérification sur place, charge les deux agents ici présents à effectuer un contrôle.

La notification

Je reçois une notification ou je reconnais avoir reçu copie et pris connaissance des informations suivantes au début de contrôle soit :

• La décision N° 2011-C du président de la commission nationale de l’informatique, à l’époque Alex TURC
• l’ordre de mission des agents chargés d’effectuer la mission de contrôle,
•  éléments d’information issus des articles 44 de la loi du 6/01/78 modifié et 10 III de la loi du 21/01/95 modifiée : 5 paragraphes relatant que les membres de la C.N.I.L ainsi que les agents de ses services habilités ont accès de 6 heures à 21 heures pour l’exercice de leur missions, aux lieux, locaux, installations ou établissements servant à la mise en œuvre d’un traitement de données à caractère personnel  et qui son à usage professionnel  à l’exclusion des parties de ceux-ci affectées au domicile privé.

Le procureur de la république territorialement compétent en est préalablement informé.

Les droits du “contrôlé”

Le responsable de locaux professionnels privés est informé de son droit d’opposition à la visite.

Lorsqu’il exerce ce droit la visite ne peut se dérouler qu’après l’autorisation du juge des libertés et de la détention du tribunal de grand instance dans le ressort duquel sont situés les locaux à visiter, qui statue dans des conditions fixées par décret en conseil d’Etat(…). Dans ce cas le responsable des lieux ne peut s’opposer à la visite.

Autorité

La visite s’effectue sous l’autorité et le contrôle du juge des libertés et de la détention qui l’a autorisée, en présence de l’occupant des lieux ou de son représentant qui peut se faire assister d’un conseil de son choix ou, à défaut en présence de 2 témoins qui ne sont pas placés sous l’autorité des personnes chargées de procéder au contrôle. Les membres de la  C.N.I.L. peuvent demander communication de tous documents nécessaires à l’accomplissement de leur mission, quel qu’en soit le support et toute justification utiles. Ils peuvent accéder aux documents directement utilisables pour les besoins du contrôle (agrément préfectoral, liste du personnel etc) mais aussi aux dossiers en cours et contrôlent également la façon de travailler) […] fin de document.

En pratique

Sur les données

L’informaticien de la C.N.I.L a commencé par scanner à l’aide d’un utilitaire de récupération des données, les supports de stockage à la recherche de fichiers et de mails supprimés par le passé.

Compte tenu que  je “fais mon ménage” sur l’ordinateur chaque soir, ce point n’a pas posé de problème.

Sur les méthodes de travail

Les principaux points soulevés concernaient les sources de nos informations :

Concernant nos informations : localisation et sources, méthode de traitement, sécurisation des données.

Par exemple :

• aucun archivage d’informations recueillies dans les mails sur nos clients et dans nos dossiers en cours, ne doit être conservé. Tout doit être détruit à la fin de l’instruction du dossier,
• préférer pour les dossiers et documents une désignation par chiffres plutôt que nominative,
• les e-mails doivent être cryptés, ou au moins sécurisés par code d’ouverture et au format PDF,
• les e-mails et formulaires qui s’enregistrent automatiquement sur le système doivent être journalièrement supprimés : ils constituent une liste !
• le système d’exploitation doit être impérativement protégé par mot de passe,
• tous les documents concernant la profession doivent être protégés par cryptage de données,

Le Contrôleur informaticien de la C.N.I.L a téléchargé et installé le logiciel gratuit de cryptage TRUECRYPT

• TrueCrypt fonctionne comme un coffre fort informatique : il crée un disque dur virtuel, une partition (dont vous précisez la taille à l’installation suivant vos besoins) qui doit être «monté» pour être visible et accessible et qui est accessible par un mot de passe, et dans lequel les données stockées sont sécurisées par cryptage.
• Truecrypt est portable, il peut être installé sur une clef USB, un CD.
• il est également possible de créer une seconde partition cryptée protégée également par mot de passe à l’intérieur de la première partition ! Le technicien de la C.N.I.L. a précisé que le premier niveau était suffisant pour le type de données en notre possession.
• En cas de vol de l’ordinateur, il sera impossible aux malveillants d’accéder aux informations contenues dans cette partition. Elle n’est matérialisé sur le disque dur que par un fichier, dans un répertoire quelconque ou vous l’avez caché, fichier impossible à ouvrir sans «les clés».
• ne pas oublier d’organiser une sauvegarde régulière du fichier sur un support externe, abrité en lieu sûr.

Pendant 8 heures, les contrôleurs de la C.N.I.L. ont vérifiés que mon agence respectait bien la loi du 6 janvier 78 modifiée, et le cas échéant, les dispositions de l’article de la loi du 21 Janvier 1995.

En fin d’inspection

A l’issue de cette journée de contrôle : un procès verbal de contrôle sur place, de 8 pages a été rédigé.

Après relecture, les 2 contrôleurs de la CNIL et moi-même paraphèrent et signèrent ce document.

Le procès verbal de contrôle sur place

Les principaux points du rapport traitent des choses suivantes :

Rappel du contexte officiel et du contenu de la mission:

• identité des personnes présentes dans les locaux
• constatations sur le contexte de travail et sur la légitimité à professer
• contrôle du site internet, de son formulaire, des mentions légales
• sur les missions réalisées : estimation en pourcentage par domaine de recherche. (par exemple, recherche d’adresse de débiteurs 70%, recherche de proches ou perdus de vue 15% etc….)
• Il est demandé à l’agent de recherche s’il effectue des filatures ou non
• Il a été demandé de préciser le % de client particuliers comparé à celui des clients professionnels (autres détectives qui sous-traitent des missions)
• suivent dans le rapport plusieurs pages de constations sur l’organisation du travail : mails présents dans la boite de réception, mail effacés, analyse des devis, des contrats clients, quel type d information sont échangées (interdit de transmettre des données comme carte d’identité, numéro de sécurité sociale, même indépendamment de notre volonté par ex. communiqué par le mandant qui pense bien faire.
• Il a été constaté que mon bureau dispose d’un broyeur de documents, que les armoires sont fermées ou non à clef dans les bureaux, que le bureau ferme on non à clé, etc …
• Il a été procédé à un relevé de tous mes contacts, analyse des fichiers présents sur l’informatique, des documents papier, nombre (et relevé) d’adresses e-mail présentes, niveau de sécurité du système informatique; politique de sauvegarde mise en place.
• j’ai également dû expliquer mes méthodes de travail par rapport aux donneurs d’ordres : de la demande de devis au règlement, jusqu’à la destruction du dossier.

Personnellement, tout s’est bien passé 🙂

Le seul bémol à été  : l’absence  de l’article 32 de la loi informatique et libertés sur tous mes supports (documents, site, mails etc…)

ARTICLE 32 : indique que le traitement informatique des données est traité uniquement par mon agence, et le mandant peut en demander la destruction à tout moment par courrier, mail ou téléphone. La modification fut faite immédiatement.

L’article est à copier sur le site de la C.N.I.L

RAPPEL : tout doit être ouvert par mot de passe ou cryptage : mails, ordinateurs, documents cryptés sur le disque virtuel, sans oublier les supports amovibles clé USB, CD ROM, Disque externe … Les sauvegardes en ligne doivent également être protégées.

En conclusion

La journée fut longue, mais très riche en enseignements.

Ce contrôle m’a permis de corriger certains points dans le traitement de l’information, au niveau des contenus et de la sécurisation des données.

Mis à part les quelques points immédiatement corrigés, mon éthique professionnelle était conforme à la loi, les intérêts de mes clients protégés.

Les textes concernant notre profession sont en constante évolution, de nouveaux arrêtés sont pris, des organisations sont crées afin de mieux nous encadrer. De même les technologies évoluent, les menaces de piratage également.

Toute notre attention est souvent captée par les affaires que nous traitons, et ce, au détriment des techniques de manipulation des données.

Ce billet à été écrit dans le but de totale transparence vis à vis de la clientèle, et en espérant que mon “expérience” pourra aider mes collègues à rectifier, compléter ou mettre en place les procédures adéquates.

Elisabeth