La Commission nationale de l'informatique et des libertés,
Vu la loi nº 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi nº 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et notamment son article 13 ;
Vu la loi nº78-753 du 17 juillet 1978 portant diverses mesures d'amélioration des relations entre l'administration des relations entre l'administration et le public et diverses dispositions d'ordre administratif, social et fiscal.
Vu le décret nº 2005-1309 du 20 octobre 2005 pris pour l'application de la loi nº 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi nº 2004-801 du 6 août 2004 ;
Vu la délibération nº 87-025 du 10 février 1987 fixant le règlement intérieur de la Commission nationale de l'informatique et des libertés modifiée par les délibérations nº 92-087 du 22 septembre 1992, nº 93-048 du 8 juin 1993, nº 99-043 du 9 septembre 1999, nº2004-022 du 8 avril 2004, nº2004-087 du 4 novembre 2004, nº2004-088 du 18 novembre 2004 et nº2004-098 du 9 décembre 2004 ;
Après avoir entendu M. Alex Türk, président, en son rapport et Mme Pascale Compagnie commissaire du gouvernement, en ses observations ;
Décide :
La délibération nº87-025 du 10 février 1987 susvisée est abrogée. Le règlement intérieur est ainsi rédigé.
Chapitre Ier.- Conditions de fonctionnement de la commission
Section 1.- Séances de la commission
Paragraphe 1er.- Dispositions communes aux séances de la formation plénière, de la formation restreinte et du bureau.
Article 1er.- Lieu de réunion
Les séances ont lieu au siège de la commission ou en tout autre lieu du territoire national si elle le décide. La commission se réunit à l'initiative du président ou du tiers au moins de ses membres. En cas d'absence ou d'empêchement du président ou si son mandat est venu à expiration, la convocation est adressée par l'un des vice-présidents.
Article 2.- Ordre du jour
L'ordre du jour est arrêté par le président. Il est transmis par tout moyen aux membres de la commission et au commissaire du gouvernement six jours au moins avant la séance, sauf en cas d'urgence. En cas d'absence ou d'empêchement du président ou si son mandat est venu à expiration, l'ordre du jour est arrêté dans les mêmes délais et conditions par le vice-président délégué.
Article 3.- Présidence de séance en cas d'absence du président
En l'absence du président ou si son mandat est venu à expiration, les séances de la commission sont présidées par le vice-président délégué ou, à défaut, par le vice-président. En l'absence du président ou des vice-présidents ou lorsque leur mandat est venu à expiration, la séance est présidée par celui des membres de la commission ayant le plus d'ancienneté en son sein. S'il y a concours dans l'ancienneté entre plusieurs membres, la présidence de la séance appartient au plus âgé. Le président de séance dirige les débats et dispose d'une voix prépondérante en cas de partage égal des voix.
Article 4.- Délibérations
Les délibérations sont les décisions adoptées par la formation plénière, la formation restreinte ou le bureau. Les délibérations sont numérotées avec l'indication de l'année en cours, de manière identique quelle que soit la formation dont elles émanent. Elles sont signées par le président, le vice-président délégué ou le président de séance. Les délibérations et les autres documents approuvés par la commission sont communiquées à toute personne en faisant la demande, dès lors qu'elles ont acquis un caractère définitif. Il en est de même des rapports présentés en séance en vue de l'adoption des mêmes délibérations, sous réserve des dispositions de l'article 6 de la loi du 17 juillet 1978 et de l'article 83 du décret du 20 octobre 2005. Toutefois les délibérations prises en application de l'article 11-4° a) de la loi du 6 janvier 1978 modifiée portant avis sur des projets de loi, des projets d'ordonnance et des projets de décrets délibérés en Conseil des ministres ne sont pas communicables.
Article 5.- Règles de majorité
En dehors de celles visées à l'article 3 du décret du 20 octobre 2005, les délibérations sont adoptées à la majorité des suffrages exprimés. Les abstentions et votes blancs ou nuls sont exclus de son calcul.
Article 6.- Votes en séance
Le vote par procuration n'est pas autorisé. Les votes ont lieu à main levée sauf si le président de séance ou la majorité simple des membres présents demande un scrutin secret. Le scrutin secret est de droit pour l'élection des membres du bureau de la commission et des membres de la formation restreinte de la commission. Le secrétaire général procède au décompte des votes.
Article 7.- Suspension de séance
Une suspension de la séance peut être demandée par un membre de la commission ou le commissaire du Gouvernement. Le président de séance décide de l'opportunité d'une suspension de la séance et de sa durée.
Paragraphe 2.- Dispositions relatives à la formation plénière
Article 8.- Ordre de jour
Lorsque trois membres de la commission au moins ou le commissaire du gouvernement demandent qu'une question soit inscrite à l'ordre du jour d'une séance dix jours ouvrés au moins avant sa tenue, le président ou le vice-président délégué est tenu, en cas de refus, d'informer la commission de la demande et des motifs de son refus.
Article 9.- Publicité des débats en formation plénière
Les séances en formation plénière de la commission ne sont pas publiques. Le secrétaire général et les agents désignés par lui assistent aux séances de la commission.
Article 10.- Etablissement préalable d'un rapport
Lorsque la commission doit prendre une délibération autre que l'élection des membres du bureau ou de la formation restreinte, le président désigne un ou plusieurs rapporteurs, qui doivent être choisis parmi les membres de la commission en tenant compte autant que possible de la répartition des secteurs. Le rapport et le projet de délibération sont transmis par le secrétaire général aux membres de la commission et au commissaire du Gouvernement deux jours ouvrés au moins avant son examen en séance plénière. A la demande du rapporteur ou du commissaire du Gouvernement, le président peut décider de l'audition en séance d'une ou plusieurs personnes préalablement à la présentation du rapport.
Article 11.- Présentation du rapport et discussion générale
Le rapporteur présente à la commission son rapport ainsi que le projet de délibération. Après l'intervention du rapporteur, le président de séance donne la parole aux membres de la commission pour une discussion générale. Le commissaire du Gouvernement peut intervenir après les membres de la commission. Le rapporteur peut reprendre la parole avant que le président de séance déclare la discussion générale close. Le président de séance peut à tout moment donner la parole au secrétaire général ou à un autre agent.
Les dispositions du premier alinéa sont applicables à l'examen des délibérations prises au titre de l'article 45 de la loi du 6 janvier 1978 sous réserve de l'application de l'article 77 du décret du 20 octobre 2005.
Article 12.- Examen des amendements
Tout amendement au projet de délibération déposé au secrétariat général au plus tard à 16 h la veille de la séance est de droit soumis à l'examen de la commission. Le président de séance peut refuser l'examen de tout autre amendement si le projet de délibération a été communiqué dans le délai prévu à l'article 10 du présent règlement. Les amendements sont examinés et soumis au vote dans l'ordre du texte du projet de délibération. Si plusieurs amendements sont présentés, le président de séance les soumet au vote en commençant par les plus éloignés du texte de la délibération proposée.
Article 13.- Vote de la délibération
Si aucun amendement n'est présenté, il est procédé immédiatement au vote sur le projet de délibération. Après que la commission a voté sur l'ensemble des amendements soumis à son examen, il est procédé au vote sur le projet de délibération ainsi amendé. Lorsqu'une demande d'autorisation présentée en application de l'article 25 de la loi du 6 janvier 1978 n'est pas approuvée par la majorité requise, elle est considérée comme rejetée. Lorsqu'un avis relatif à une demande présentée en application des articles 26 et 27 de la loi du 6 janvier 1978 n'est pas approuvé par la majorité requise, il peut être soumis à seconde délibération si le délai imparti à la commission n'est pas expiré.
Article 14.- Vote sans débat
Par dérogation aux articles 11 à 13 du présent règlement et sauf pour l'application des articles 45 et 46 de la loi du 6 janvier 1978, il peut être procédé, sur proposition du président et sauf opposition d'un membre au moins de la commission, au vote sans débat d'un projet de délibération sous réserve que ce projet ait été communiqué dans le délai prévu à l'article 10 du présent règlement.
Article 15.- Procès-verbal des séances :
Les procès-verbaux des séances sont établis par les services de la commission sous la responsabilité du secrétaire général. Doivent y figurer :
le nom des commissaires présents,
les points de l'ordre du jour abordés,
le résumé des interventions des membres de la commission, du commissaire du Gouvernement et de toute personne entendue,
le relevé des décisions ainsi que le détail du vote dont elles procèdent.
Le procès-verbal d'une séance est adopté au début d'une séance ultérieure, dans un délai maximum d'un mois. Le secrétaire général délivre, en tant que de besoin, les copies certifiées conformes des procès-verbaux à toute personne qui le demande.
Paragraphe 3.- Dispositions relatives à la formation restreinte
Article 16.- Publicité des débats en formation restreinte
Les débats sont publics à la demande de l'une des personnes mises en cause. Toutefois, le président peut interdire au public l'accès de la salle pendant tout ou partie de la séance dans l'intérêt de l'ordre public, de la protection de la vie privée de l'une des parties concernées ou lorsque la publicité est susceptible de porter atteinte au secret des affaires ou à tout autre secret protégé par la loi.
Article 17.- Election des membres de la formation restreinte
L'élection des membres de la formation restreinte se fait au scrutin plurinominal. Si après trois tours de scrutin, le ou les sièges vacants n'ont pu être pourvus, la suite de l'élection est reportée à la séance suivante.
Article 18.- Délibéré
Le délibéré a lieu à huis clos. Les membres de la formation restreinte qui participent ou assistent au délibéré sont soumis à l'obligation d'en respecter le secret, sous les sanctions prévues par l'article 226-13 du code pénal.
Le vote est à bulletin secret si l'un des membres de la formation restreinte en fait la demande.
Paragraphe 4.- Dispositions relatives aux réunions du bureau tenues en application des dispositions de l'article 16 de la loi du 6 janvier 1978
Article 19.- Publicité des débats du bureau
Le bureau se réunit hors la présence du public. Le président invite à assister à tout ou partie des réunions du bureau toute personne dont la présence lui paraît utile.
Article 20.- Quorum
Dans le cadre de l'exercice des attributions issues de l'article 16 de la loi du 6 janvier 1978, le bureau ne peut valablement délibérer que si deux au moins de ses membres sont présents.
Article 21.- Examen des demandes d'autorisation
Les projets de délibération relatifs aux demandes d'autorisation en application de l'article 25 de la loi du 6 janvier 1978 soumis au bureau font l'objet d'une brève présentation orale par le secrétaire général ou un agent désigné par lui, justifiant de l'urgence. A l'issue de cette présentation, les membres du bureau puis le commissaire du Gouvernement présentent leurs observations et leurs amendements. Le président de séance met aux voix les amendements dans l'ordre du texte puis le projet de délibération amendé.
Article 22.- Examen des mises en demeure
Les projets de délibération proposant une mise en demeure sont transmis aux membres du bureau et au commissaire du gouvernement au plus tard la veille avant 16 h. Ils font l'objet d'une présentation orale par le secrétaire général ou un agent désigné par lui, justifiant de l'urgence.
Article 23.- Procès-verbal
Les délibérations adoptées par le bureau dans l'exercice des attributions issues de l'article 16 de la loi du 6 janvier 1978 constituent le procès-verbal de la réunion du bureau. Elles mentionnent le nom des membres du bureau présents.
Section 2.- Organisation de la commission
Paragraphe 1.- Activité de la commission
Article 24.- Fin du mandat du président
Lorsque le mandat du président est venu à expiration, le vice-président délégué exerce l'ensemble des attributions du président. Il convoque la commission dans un délai maximum d'un mois pour procéder à l'élection d'un nouveau président.
Article 25.- Attribution de secteurs
Le président attribue à chacun des commissaires, dans le mois qui suit son entrée en fonction, un ou plusieurs secteurs concernés par l'usage des technologies de l'information sans que cette spécialisation puisse être considérée comme exclusive. Un secteur peut être, en raison de son importance, attribué à plusieurs commissaires.
Article 26.- Attribution de mission pour représenter la commission
Un membre de la commission ne peut représenter celle-ci dans un organisme ou une manifestation sans ordre de mission délivré par le président.
Article 27.- Groupes de travail
La commission peut créer des groupes de travail dont elle définit le mandat, la durée et la composition. Elle désigne celui de ses membres qui assurera la présidence du groupe. Le rapport du groupe est établi sous la responsabilité de son président.
Paragraphe 2.- Incompatibilités et empêchements
Article 28.- Incompatibilités
Dans le mois qui suit son entrée en fonctions, chaque membre de la commission informe le président des intérêts directs ou indirects qu'il détient, des fonctions qu'il exerce et de tout mandat qu'il détient au sein d'une personne morale. En cours de mandat, il informe le président des intérêts directs ou indirects qu'il vient à détenir, des fonctions qu'il vient à exercer et de tout mandat qu'il vient à détenir au sein d'une personne morale dans le mois qui suit la modification de sa situation. Le président est tenu, dans les mêmes délais, de déclarer par écrit les informations le concernant. Elles sont communiquées aux autres membres du bureau. Les informations relatives aux membres ainsi que celles concernant le président sont conservées par le secrétaire général dans des conditions qui en garantissent la confidentialité. Elles peuvent être consultées sur place par les membres de la commission et par le commissaire du Gouvernement.
Article 29.- Empêchement
La commission considère comme empêché le commissaire absent sans raison valable à quatre séances consécutives de la commission.
Paragraphe 3.- Régime financier et comptable
Article 30.- Budget
Le président présente chaque année à la commission le projet de budget pour l'année à venir, l'état d'exécution du budget de l'année en cours ainsi que le bilan d'exécution de l'exercice précédent.
Article 31.- Remboursement des frais
Le remboursement aux membres, agents ou collaborateurs de la commission des frais visés à l'article 6 du décret du 20 octobre 2005 est subordonné à l'établissement préalable d'un ordre de mission et à la remise des pièces justificatives.
Chapitre II.- Services de la commission
Section 1.- Attributions des services
Article 33.- Services rattachés au secrétaire général
Le secrétaire général exerce la responsabilité administrative de la communication, de l'information du public, de la documentation et des affaires internationales.
Article 34.- Directions
Les services comprennent, outre ceux directement rattachés au secrétaire général, une direction des affaires administratives, une direction des affaires juridiques et une direction de l'expertise informatique et des contrôles.
Article 35.- Direction des affaires administratives
La direction des affaires administratives est chargée des finances et de la logistique, de l'informatique interne et de la gestion des ressources humaines.
Article 36.- Direction des affaires juridiques
La direction des affaires juridiques est chargée de l'instruction des formalités préalables à la mise en œuvre des traitements de données à caractère personnel, des réclamations, pétitions et plaintes, des demandes d'avis des pouvoirs publics et des demandes de conseil. Elle prépare les normes d'exonération, les normes simplifiées, les décisions uniques d'autorisation et les recommandations. Elle traite les demandes de droit d'accès indirect. Elle participe en tant que de besoin aux contrôles. Elle assure la mise en œuvre des procédures relatives au pouvoir de sanction de la commission.
Article 37 Direction de l'expertise informatique et des contrôles
La direction de l'expertise informatique et des contrôles assure la veille et la prospective technologiques. Elle participe en tant que de besoin à l'instruction des formalités préalables à la mise en œuvre des traitements de données à caractère personnel, des réclamations, pétitions et plaintes, des demandes d'avis des pouvoirs publics et des demandes de conseil ainsi qu'à la préparation des normes d'exonération, des normes simplifiées, des décisions uniques d'autorisation et des recommandations. Elle prépare et exécute les contrôles. Elle contribue à la mise en œuvre des procédures relatives au pouvoir de sanction de la commission.
Section2.- Comité consultatif paritaire
Article 38.- Comité consultatif paritaire
Au sein des services de la commission, un comité consultatif paritaire, présidé par le président de la commission ou le vice-président délégué, est saisi pour avis :
des questions relatives à l'organisation générale et au fonctionnement des services ;
des questions relatives aux conditions de recrutement, de rémunération et d'emploi des membres du personnel de la commission ;
des questions relatives à l'hygiène et à la sécurité ;
de mesures d'ordre individuel.
Ce comité comprend un nombre égal de responsables des services de la commission et de représentants élus du personnel. Les modalités de désignation et d'élection des membres du comité ainsi que les règles de son fonctionnement sont fixées par décision du président de la commission.
Article 39.- Publication des décisions
Les décisions relatives à l'organisation et au fonctionnement des services prises par le président, le vice-président délégué ou le secrétaire général sont publiées sur le site intranet de la CNIL. Elles sont opposables et font courir les délais de recours contentieux dès cette publication.
Section 3.- Incompatibilités
Article 40.- Incompatibilités
Tout agent informé par son chef de service qu'il va être désigné pour effectuer une visite ou une vérification auprès d'un organisme au sein duquel il détient ou a détenu, au cours des trois années précédant la visite ou la vérification, un intérêt direct ou indirect, exerce ou a exercé, au cours de ces trois années, des fonctions ou une activité professionnelle, détient ou a détenu, dans la même période, un mandat, doit faire état par note écrite, adressée sans délai à son chef de service, de cette incompatibilité.
Chapitre III .- Règles de procédures relatives aux formalités préalables et aux saisines
Section 1.- Formalités préalables à la mise en oeuvre des traitements de données à caractère personnel
Paragraphe 1er.- Dossiers de formalités préalables
Article 41.- Modèles de formulaires
Pour l'application de l'article 7 du décret du 20 octobre 2005 le président fixe pour chaque régime de formalités le modèle de formulaire à utiliser ainsi que, le cas échéant, les annexes destinées à compléter les informations du formulaire.
Article 42.- Transmission à la commission des dossiers de formalités préalables
La commission met en œuvre sur son site internet des téléservices permettant au responsable de traitement d'effectuer les formalités préalables par voie électronique. L'accusé de réception est adressé par voie électronique. Une copie papier peut être délivrée sur demande adressée par lettre.
Les demandes d'avis et les demandes d'autorisation présentées pour le compte de l'Etat, d'une personne morale de droit public ou d'une personne morale de droit privé gérant un service public sont fournies en deux exemplaires quand elles sont adressées par lettre recommandée avec accusé de réception ou remises contre reçu. L'une d'elles est transmise sans délai au commissaire du Gouvernement. En cas de transmission de la demande par voie électronique, une copie de celle-ci est transmise au commissaire du Gouvernement. Un numéro d'enregistrement est attribué par la commission à chaque déclaration ou demande. Il constitue une référence obligatoire en cas de formalités ultérieures concernant le même traitement.
Article 43.- Modification ou suppression d'un traitement
Toute modification substantielle affectant les informations mentionnées au I de l'article 30 de la loi du 6 janvier 1978 fait l'objet d'une déclaration de modification mentionnant le numéro d'enregistrement. Toute suppression de traitement doit également être portée à la connaissance de la commission avec la mention de ce numéro d'enregistrement.
Article 44.- Déclaration unique
Lorsque des traitements relevant d'un même organisme et ayant des finalités identiques ou liées entre elles font l'objet d'une déclaration unique dans les conditions prévues au II de l'article 23 de la loi du 6 janvier 1978, les informations propres à chaque traitement sont portées à la connaissance de la commission par cet organisme en renseignant un formulaire de rattachement à la déclaration unique pour chaque entité concernée.
Article 45.- Vérification de la régularité de la transmission
Les services de la commission vérifient que le dossier de formalités transmis est complet. Tout dossier complet relevant du régime de la déclaration, fait l'objet d'un envoi sans délai du récépissé. Tout dossier de formalités incomplet fait l'objet d'une demande de compléments adressée au déclarant par voie postale ou électronique, indiquant les documents ou les renseignements à fournir. En cas de doute sur la conformité du traitement au régime de formalités choisi par le responsable de traitement, celui-ci est invité à justifier de cette conformité ou à défaut, à accomplir les formalités requises par la loi. Dans le cas où le traitement a fait l'objet d'une déclaration, il est alors sursis à la délivrance du récépissé et le déclarant en est informé. Dans le cas où le traitement fait l'objet d'une demande d'avis ou d'une demande d'autorisation, les délais fixés par les articles 25-III et 28 de la loi du 6 janvier 1978 ne courent qu'à partir du moment où les documents ou les précisions demandés ont été fournis.
Paragraphe 2.- Instruction des dossiers de formalités
Article 46.- Modalités d'instruction
Les services de la commission instruisent les dossiers de formalités préalables. Dans le cadre de l'instruction d'un dossier, le président, le rapporteur ou les services peuvent demander communication de toutes pièces utiles et entendre toutes personnes susceptibles de fournir les informations nécessaires.
Article 47.- Avis réputé favorable
Lorsque la commission est saisie pour avis dans le cadre des articles 26 ou 27 de la loi du 6 janvier 1978 d'un projet de traitement qui ne semble pas de nature à porter atteinte à la vie privée et aux libertés, le président ou le vice-président délégué répond à la demande d'avis en formulant, le cas échéant, des observations et en indiquant que, si au terme d'un délai de deux mois renouvelable son avis n'est pas notifié, il sera réputé favorable conformément à l'article 28 de la même loi.
Section 2.- Plaintes, réclamations, pétitions
Article 48.- Définitions
Sont considérées comme plaintes les dénonciations d'agissements contraires à la loi du 6 janvier 1978 et à ses textes d'application ; comme réclamations les demandes relatives au fonctionnement de la commission ; comme pétitions celles relatives à une proposition d'intérêt général entrant, par son objet, dans le cadre de sa compétence. La plainte, la réclamation ou la pétition peut être adressée à la commission par voie postale ou par voie électronique. Elle indique le nom et l'adresse d'au moins un de ses auteurs. Un numéro d'enregistrement est affecté par la commission à chaque saisine. Ce numéro est notifié au demandeur.
Article 49.- Plaintes
Les plaintes sont instruites par les services de la commission. Dans le cadre de l'instruction qu'ils mènent, les services de la commission communiquent l'objet de la plainte au responsable du traitement incriminé, de manière à lui permettre de fournir toutes explications utiles. A l'issue de l'instruction de la plainte, le président ou le vice-président délégué peut décider :
de classer la plainte ;
de chercher une solution par voie de concertation ;
d'adresser une lettre d'observation au responsable du traitement incriminé ;
de faire procéder à une mission de contrôle ou de vérification sur place ;
de désigner un rapporteur, dans les conditions fixées par le chapitre VI, en vue d'engager une procédure relative à la prise d'une mesure ou au prononcé d'une sanction par la commission ;
de transmettre le dossier au procureur de la République compétent ;
en cas d'atteinte grave et immédiate aux droits et libertés mentionnés à l'article 1er de la loi du 6 janvier 1978, de demander, par la voie du référé à la juridiction compétente d'ordonner, le cas échéant sous astreinte, toute mesure de sécurité nécessaire à la sauvegarde de ces droits et libertés.
Le plaignant est tenu informé des suites données à sa plainte.
Article 50.- Réclamations
Les réclamations sont instruites par les services de la commission et réglées par le président ou le vice-président délégué.
Article 51.- Pétitions
Les pétitions sont instruites par les services et soumises, si le président le juge nécessaire, à la commission. Lorsqu'une pétition est soumise à la commission, elle est présentée par un rapporteur désigné par le président. La commission peut décider :
de classer ;
de surseoir à statuer ;
d'adopter ou de modifier une norme simplifiée ou une dispense de déclaration ;
d'émettre une recommandation ;
de proposer au Gouvernement les mesures législatives ou réglementaires qui peuvent être nécessaires.
La délibération de la commission est portée à la connaissance du pétitionnaire.
Chapitre IV.- Examen de règles professionnelles et des produits et procédures
Article 52.- Demande d'avis sur un projet de règles professionnelles
Lorsque en application du 3° de l'article 11 de la loi du 6 janvier 1978, la commission est saisie, à la demande d'organisations professionnelles ou d'institutions regroupant principalement des responsables de traitement, d'une demande d'avis sur la conformité aux dispositions de la loi d'un projet de règles professionnelles, elle rend son avis, sous forme d'une délibération, dans un délai de trois mois. La commission adopte soit un avis de conformité, soit un avis de conformité avec demandes de modifications, soit un avis de non-conformité. Le délai mentionné à l'alinéa précédent court à compter de la date de la réception de la demande. Il peut être renouvelé une fois par décision motivée du président de la commission.
Article 53.- Appréciation de règles professionnelles
La commission peut être saisie par la personne à qui elle a délivré un avis dans les conditions fixées à l'article 52 d'une demande d'appréciation des garanties offertes par ces règles professionnelles. Elle délivre son appréciation dans un délai de deux mois. La commission adopte une délibération portant soit appréciation favorable, soit appréciation défavorable.
Chapitre IV bis.- Procédure de labellisation
Délibération nº 2011-249 du 8 septembre 2011 portant modification de l'article 69 du règlement intérieur de la Commission nationale de l'informatique et des libertés et insérant un chapitre IV bis intitulé » Procédure de labellisation «
Modifié par la Délibération nº 2011-364 du 10 novembre 2011 portant modification du chapitre IV bis intitulé » Procédure de labellisation » du règlement intérieur de la Commission nationale de l'informatique et des libertés
Section 1.- Comité de labellisation
Article 53-1
Le comité de labellisation est composé de membres de la commission désignés par le président. Le comité désigne en son sein un président.
Le président du comité de labellisation préside les réunions du comité, qu'il convoque en tant que de besoin et au moins une fois par an, et dont il fixe l'ordre du jour.
Le comité de labellisation :
propose des orientations relatives à la politique de labellisation, notamment celles relatives aux demandes de création de label adressées par une organisation professionnelle ou à une institution regroupant principalement des responsables de traitements ;
élabore les projets de référentiels aux fins de labellisation de produits ou de procédures ;
évalue la conformité des demandes de label aux référentiels de labellisation de produits ou de procédure. Il peut auditionner le demandeur ou toute personne susceptible de l'aider dans l'accomplissement de ses missions.
Le comité est assisté dans ses travaux par les services de la commission qui en assurent le secrétariat.
Section 2.- Procédure d'élaboration de référentiels aux fins de labellisation de produits ou de procédures
Article 53-2
Conformément à l'article 11 (3°, c) de la loi du 6 janvier 1978 modifiée, il appartient à une organisation professionnelle ou à une institution regroupant principalement des responsables de traitements de demander à la commission de créer un label relatif à des produits ou des procédures.
Article 53-3
I. – Le président de la commission, sur proposition du comité de labellisation, informe l'organisation ou l'institution, à l'origine de la demande, de l'opportunité pour la commission de faire suite à cette demande.
II. – Lorsque le président de la commission estime opportun de faire suite à cette demande, un référentiel définissant les caractéristiques que doit présenter un produit ou une procédure afin que celui-ci soit reconnu conforme aux dispositions de la loi du 6 janvier 1978 modifiée est élaboré. Ce référentiel précise les modalités d'appréciation de cette conformité et, le cas échéant, les particularités relatives aux vérifications subséquentes à la délivrance du label.
Selon le produit ou la procédure, des référentiels distincts sont adoptés par la commission.
III. – L'avis des représentants des parties intéressées, et notamment des associations ou organismes représentatifs des professionnels et des usagers, peut être recueilli lors de l'élaboration d'un référentiel.
Article 53-4
Chaque délibération portant référentiel aux fins de labellisation de produits ou de procédures est adoptée par la commission réunie en formation plénière.
Les référentiels sont modifiés par la commission dans les mêmes formes.
Section 3.- Procédure d'évaluation de la conformité aux référentiels de labellisation de produits ou de procédures
Paragraphe 1.- Dépôt et examen de la recevabilité d'un dossier de demande de label
Article 53-5
Sur proposition du secrétaire général et après avis du comité de labellisation, le président de la CNIL fixe le modèle de formulaire à utiliser pour demander la délivrance d'un label ainsi que, le cas échéant, les annexes destinées à compléter les informations du formulaire. Cette demande doit préciser le référentiel auquel se rapporte le produit ou la procédure et doit comporter notamment la description du produit ou de la procédure à évaluer ainsi que les objectifs ou garanties particulières en termes de protection des données attestant de la conformité du produit ou de la procédure à ce référentiel.
Article 53-6
I. – La demande d'obtention d'un label pour un produit ou une procédure doit être adressée à la commission par lettre remise contre signature.
Un numéro d'enregistrement est attribué par la commission à chaque demande. Il constitue une référence obligatoire en cas de demandes ultérieures relatives au même produit ou procédure.
II. – Plusieurs personnes juridiques distinctes peuvent solliciter un label de manière conjointe, aux fins de faire un usage commun du produit ou de la procédure labellisé. Dans une telle hypothèse, le dossier de demande de label comporte l'engagement de ces personnes de maintenir leur collaboration pendant toute la durée du label. En cas d'interruption de la collaboration des organismes ayant obtenu la délivrance d'un label conjoint, le ou les organismes qui souhaiteraient conserver le label doivent déposer une nouvelle demande en ce sens à la commission.
Article 53-7
Le président examine la recevabilité de la demande dans un délai de deux mois à compter de l'attribution du numéro d'enregistrement. Afin d'être recevable, la demande doit être complète conformément aux dispositions de la section 3 du présent chapitre, et le produit ou la procédure objet de celle-ci doit correspondre au référentiel auquel il se rapporte.
Le président notifie au demandeur, par lettre remise contre signature, le caractère recevable ou irrecevable de sa demande.
Lorsque la demande est recevable, le président informe également le demandeur du délai nécessaire pour procéder à l'évaluation du produit ou de la procédure.
La demande est réputée rejetée en cas d'absence de réponse du président dans un délai de deux mois à compter de la réception de la demande.
Paragraphe 2.- Evaluation du produit ou de la procédure
Article 53-8
L'instruction de la demande consiste à évaluer la conformité du produit ou de la procédure au référentiel auquel il se rapporte. Cette évaluation est réalisée par les services de la commission qui peuvent soumettre le produit ou la procédure à des tests visant à vérifier sa conformité au référentiel.
Dans le cadre de cette évaluation, les services peuvent demander communication de toutes pièces utiles et entendre toutes personnes susceptibles de fournir les informations nécessaires relatives au produit ou à la procédure évaluée.
Le demandeur peut, à tout moment, modifier ou retirer sa demande initiale par voie postale.
Article 53-9
Au terme de la période d'instruction, le ou les rapporteurs désignés parmi les membres du comité de labellisation établissent un rapport concluant, ou non, à la conformité du produit ou de la procédure évaluée au référentiel auquel il se rapporte.
Le rapport et le projet de délibération correspondant sont inscrits à l'ordre du jour de la séance plénière de la commission.
Article 53-10
Si la commission réunie en formation plénière reconnaît que le produit ou la procédure est conforme au référentiel auquel il se rapporte, elle délivre un label. Dans le cas contraire, le label est refusé.
Paragraphe 3.- Délibération portant délivrance d'un label
Article 53-11
Les labels délivrés par la commission le sont pour une durée de trois ans renouvelable dans les conditions prévues au présent chapitre.
Article 53-12
La délibération portant délivrance ou refus d'un label est notifiée par lettre remise contre signature, dans un délai de huit jours à compter de la décision de la commission. En cas de délivrance, elle indique les conditions d'utilisation du logo «label CNIL». En cas de refus, elle indique les voies et délais de recours applicables.
Paragraphe 4.- Modification d'un produit ou d'une procédure labellisé
Article 53-13
La commission doit être informée sans délai de toute modification d'un produit ou d'une procédure labélisé.
Les services de la commission peuvent demander communication de tout document leur permettant d'apprécier si les modifications sont de telle nature qu'elles nécessitent une nouvelle évaluation.
Le président notifie au titulaire par lettre remise contre signature la suite donnée à l'instruction de sa demande.
Dans les cas où une nouvelle évaluation du produit ou de la procédure est nécessaire, elle est réalisée dans les conditions décrites aux articles 53-8 à 53-12 de la présente délibération.
Article 53-14
Dans les cas où la commission, suite à la nouvelle procédure d'évaluation, décide de délivrer le label, celui-ci est valable pendant une durée de trois ans, conformément à l'article 53-11 de la présente délibération.
Section 4.- Vérification du respect du label, retrait et renouvellement
Paragraphe 1.- Vérification et retrait d'un label
Article 53-15
La commission peut vérifier à tout moment que le produit ou la procédure labellisé respecte les conditions définies dans le référentiel.
Toute personne ayant recours à un produit ou à une procédure labellisé et qui constaterait que celui-ci ne semble pas conforme au référentiel peut le signaler à la commission.
Article 53-16
Si des faits ou des circonstances susceptibles de remettre en cause la conformité d'un produit ou d'une procédure labellisé parviennent à la connaissance de la commission, le président en informe le titulaire qui dispose d'un délai d'un mois pour transmettre ses observations.
A l'expiration de ce délai d'un mois, si aucune information satisfaisante n'a été communiquée par le titulaire, le président en informe le comité de labellisation qui désigne en son sein un rapporteur. Le rapporteur procède à l'instruction du dossier, assisté des services de la commission. A l'issue de son instruction, il établit un rapport ainsi qu'un projet de délibération qu'il présente en séance plénière.
La commission réunie en séance plénière peut décider de retirer le label précédemment délivré.
Article 53-17
La délibération portant retrait d'un label de la commission est notifiée par lettre remise contre signature, dans un délai de huit jours. Le courrier de notification mentionne les voies et délais de recours.
Dans le cas contraire, la procédure est close par l'envoi d'une lettre du président ou du vice-président délégué au titulaire du label.
Paragraphe 2.- Renouvellement du label délivré à un produit ou à une procédure
Article 53-18
Au moins six mois avant la date d'échéance d'un label, son titulaire transmet à la commission une demande de renouvellement à l'aide du formulaire et des annexes préalablement fixés par le président. La demande est instruite conformément aux articles 53-8 à 53-12 de la présente délibération.
Lorsqu'une demande de renouvellement a été déposée, le label est prolongé jusqu'à ce que la commission se soit prononcée.
Section 5.- Publicité
Article 53-19
Les décisions de délivrance d'un label, de retrait ou de reconduction d'un label sont rendues publiques.
Article 53-20
La commission tient à la disposition du public, sur son site, la liste des produits ou procédures labellisés. Cette liste précise la date à laquelle expire le label ainsi que le nom de son titulaire.
Chapitre V.- Correspondant à la protection des données à caractère personnel
Section 1.- Désignation d'un correspondant à la protection des données à caractère personnel
Article 54.- Modèle de formulaire
Pour l'application des articles 42 et 43 du décret du 20 octobre 2005, le président fixe les modèles de formulaire à utiliser ainsi que, le cas échéant, les annexes destinées à compléter les informations du formulaire.
Article 55.- Instruction de la notification
Lorsque la notification n'est pas conforme aux dispositions de l'article 43 du décret du 20 octobre 1995, les services de la commission invitent le responsable de traitement à régulariser la notification, en indiquant les renseignements ou documents à fournir. La demande de la commission est adressée dans le délai d'un mois suivant la date de réception de la notification. Passé ce délai, la notification prend effet conformément à l'article 43 du 20 octobre 2005. Le délai d'un mois mentionné à l'article 43 susvisé ne court qu'à compter de la date de réception des compléments demandés.
Section 2.- Difficultés ou manquements dans l'exercice des missions du correspondant
Article 56.- Saisine de la commission des difficultés rencontrées à l'occasion de l'exercice des missions du correspondant
La commission est saisie, en application des dispositions de l'article 22 de la loi du 6 janvier 1978 et de l'article 51 du décret du 20 octobre 2005, des difficultés rencontrées à l'occasion de l'exercice des missions du correspondant par lettre recommandée avec demande d'avis de réception ou par voie électronique avec accusé de réception qui peut être adressé par la même voie. La saisine doit comporter tout élément justifiant que, selon le cas, le correspondant ou le responsable de traitement, a été informé de la saisine.
Article 57.- Décharge du correspondant
Lorsque la commission est informée que le correspondant manque aux devoirs de sa mission, elle invite par écrit le correspondant à présenter ses observations. La décision portant demande de décharge du correspondant de ses fonctions fait l'objet d'une délibération motivée de la commission. Elle est notifiée par lettre recommandée avec avis de réception au correspondant et au responsable de traitement.
Article 58.- Avis de la commission
L'avis rendu par la commission en application des dispositions de l'article 53 du décret du 20 octobre 2005 prend la forme d'une délibération de la commission.
Chapitre VI.- Exercice des pouvoirs de la commission
Section 1.- Missions de contrôle sur place
Article 59.- Objet des missions de contrôle
Les missions de contrôle sur place ont pour objet :
d'examiner la régularité au regard des articles 22 à 27 de la loi du 6 janvier 1978 d'un traitement mis en œuvre par une ou plusieurs personnes ;
de s'assurer que le traitement mis en œuvre correspond au traitement ayant fait l'objet des formalités préalables et en particulier aux délibérations de la commission ;
de vérifier que l'ensemble des dispositions de la loi sont respectées.
Article 60.- Information du procureur de la République
Quand une mission de contrôle sur place doit se dérouler en d'autres lieux que ceux initialement prévus, relevant d'un ressort judiciaire différent, la commission informe le procureur de la République territorialement compétent et, en cas d'urgence et de risque de disparition de preuves, les vérifications utiles sont engagées sans délai.
Article 61.- Habilitations
Les agents de la commission sont habilités à procéder à des missions de contrôle sur place par une délibération de la commission ou du bureau publiée au Journal officiel de la République française. Une carte professionnelle attestant de cette habilitation leur est délivrée.
Article 62.- Notification de mission de contrôle
Lorsque la mission de contrôle sur place est notifiée préalablement à son déroulement, il peut être joint à la lettre une demande visant à obtenir des informations sur l'architecture informatique en place, la mise à disposition des personnels habilités à accéder aux applications et, le cas échéant, un accès direct aux systèmes.
Article 63.- Experts
Lors des missions de contrôle sur place, l'assistance d'experts désignés par l'autorité dont ils dépendent peut être demandée par le président de la commission. Leurs frais et honoraires sont à la charge de la commission.
Article 64 Suites des contrôles
Dans le cas où il estime que les manquements à la loi relevés sont susceptibles de conduire la commission à prononcer une sanction, le président de la commission soumet à la commission ces manquements dans les conditions prévues par les articles 45 et 46 de la loi du 6 janvier 1978. Dans les autres cas, la procédure est close par l'envoi d'une lettre du président ou du vice-président délégué au responsable du traitement.
Section 2.- Règles relatives à l'application des articles 45 et 46 de la loi 6 janvier 1978
Article 65.- Mise en demeure
La mise en demeure visée à l'article 45 de la loi du 6 janvier 1978 est soumise à la formation restreinte ou, en cas d'urgence, au bureau par un membre de la commission n'appartenant pas à la formation restreinte ou par un agent des services de la commission. Lorsque la réponse adressée à la commission dans le délai imparti permet de considérer que les manquements constatés ont cessé, il est procédé à la clôture de la procédure par l'envoi au responsable de traitement d'une lettre recommandée du président ou du vice-président délégué avec accusé de réception.
Article 66.- Notification du rapport
Le rapport visé à l'article 46 de la loi du 6 janvier 1978 est notifié par le secrétaire général au responsable du traitement.
Article 67.- Clôture d'une procédure de sanction
La formation restreinte peut, à tout moment, décider de procéder à la clôture d'une procédure. Le responsable de traitement mis en cause en est informé par une lettre recommandée avec accusé de réception.
Chapitre VII.- Publicité des décisions de la commission
Article 68.- Publication du rapport annuel
Le rapport annuel est publié après approbation par la commission réunie en formation plénière. Il contient, éventuellement sur support électronique, l'ensemble des délibérations adoptées au cours de l'année.
Article 69.- Publications au Journal officiel
Modifiée par la délibération nº2011-249 du 8 septembre 2011 – art. 2
Sont publiées au Journal officiel de la République française, outre celles visées par la loi du 6 janvier 1978 (articles 24, 26, 27 et 54) et le décret du 20 octobre 2005 (articles 13, 14, 18 et 27), les délibérations portant les décisions suivantes :
le règlement intérieur,
les délégations d’attributions au président et au vice-président délégué,
les délégations d’attributions au bureau,
l’élection du président et des vice-présidents,
la désignation du vice-président délégué,
l’élection des membres de la formation restreinte,
les décisions d’autorisation unique,
les règlements type de sécurité,
les recommandations,
Les référentiels aux fins de labellisation de produits ou de procédures,
la désignation de membres de la commission chargés d’exercer le droit d’accès indirect,
l’habilitation d’agents pour procéder à des vérifications.
Article 70.- Publicité des avis
Les avis sur des projets de lois ou de décrets ou sur des projets d'actes réglementaires émis en application des articles 26 et 27 de la loi du 6 janvier 1978 ne sont rendus publics, sauf décision du président, qu'après la publication des textes auxquels ils se rapportent.
Article 71.- Publicité des dénonciations au parquet
Les délibérations ou les décisions du président ou du vice-président délégué portant dénonciation au parquet peuvent être rendues publiques après qu'ont été supprimés les éléments permettant d'identifier les personnes faisant l'objet de la dénonciation.
Article 72.- Publicité des mises en demeure
Les mises en demeure ne font l'objet d'aucune publicité.
Article 73.- Publicité des sanctions
La formation de la commission qui a prononcé la sanction décide de la publicité qu'il convient de lui apporter dans les conditions prévues par l'article 46 de la loi du 6 janvier 1978 et par l'article 78 du décret du 20 octobre 2005. La décision porte mention des mesures de publicité.
Le président, Alex TURK.