La commission nationale de l’informatique et des libertés est désormais compétente pour exercer des contrôles en ligne, aux termes de la loi relative à la consommation du 17 mars 2014.
En 2013, la CNIL effectuait 414 missions de vérification sur la manière dont sont créés et utilisés les fichiers informatiques comportant des données personnelles, par exemple celles relatives aux cartes de paiement utilisées sur internet.
En fonction du contexte et de la nature des vérifications à mener, il a pu s’agir de :
- contrôles sur place : la délégation de la CNIL pénètre alors les locaux du responsable de traitement sous réserve de certaines garanties (droit d’opposition à la visite, autorisation éventuelle du juge des libertés et de la détention) et accède directement aux matériels (serveurs, ordinateurs, applications…) où sont stockés les fichiers ;
- contrôles sur pièce : les agents de la CNIL obtiennent dans ce cas communication de documents ou de fichiers (par exemple, des contrats, des formulaires, des dossiers papier ou encore, des bases de données) sur demande écrite ;
- contrôles sur audition, consistant à convoquer certaines personnes dans les locaux même de la commission pour recueillir tout renseignement utile.
Et depuis la loi relative à la consommation du 17 mars 2014 (article 105), la CNIL a également la possibilité d’effectuer des contrôles en ligne, lui permettant de constater à distance, depuis un ordinateur connecté à internet, des manquements à la loi informatique et libertés.
La nouvelle disposition va permettre à la commission de gagner en réactivité ; elle sera notamment à même d’intervenir plus rapidement en cas de failles de sécurité sur le web.
Ce nouveau pouvoir est toutefois limité aux données librement accessibles ou rendues accessibles en ligne, y compris par imprudence ou négligence, ou par l’intervention d’un tiers.