Personnal data 2. Deux autorités administratives interviennent, la Commission nationale de contrôle des interceptions (CNCIS) et la Commission nationale.

Présentation au sujet: "Personnal data 2. Deux autorités administratives interviennent, la Commission nationale de contrôle des interceptions (CNCIS) et la Commission nationale."— Transcription de la présentation:

1 Personnal data 2

2 Deux autorités administratives interviennent, la Commission nationale de contrôle des interceptions (CNCIS) et la Commission nationale de l’informatique et des libertés (Cnil). Toutes les opérations (fabrication, importation, détention, exportation, offre, location, vente, installation) d’équipements ayant pour objet l’interception de télécommunications sont interdites (C. Pén., art. 226-3). Il en est de même des équipements permettant de capter, d’enregistrer et de transmettre sans le consentement de leur auteur des paroles prononcées à titre privé ou confidentiel ou des images de ladite personne se trouvant dans un lieu privé (C. Pén., art. 226-1).

3 Deux autorités administratives interviennent, la Commission nationale de contrôle des interceptions (CNCIS) et la Commission nationale de l’informatique et des libertés (Cnil). Toutes les opérations (fabrication, importation, détention, exportation, offre, location, vente, installation) d’équipements ayant pour objet l’interception de télécommunications sont interdites (C. Pén., art. 226-3). Il en est de même des équipements permettant de capter, d’enregistrer et de transmettre sans le consentement de leur auteur des paroles prononcées à titre privé ou confidentiel ou des images de ladite personne se trouvant dans un lieu privé (C. Pén., art. 226-1).

4 3.2 – La géolocalisation Les données de localisation sont « toutes les données traitées dans un réseau de communications électroniques indiquant la position géographique de l’équipement terminal d’un utilisateur d’un service de communications électroniques accessible au public »26. Les services de géolocalisation sont basés sur le système GPS et la téléphonie mobile de type GSM. Ces services présentent la position de la flotte d’équipements, objet du pilotage ou de la surveillance. Le terminal installé sur le véhicule transmet la position, les communications de toute nature, l’état du véhicule, les conditions d’utilisation et les données sociales (optimisa tion des conditions de travail et suivi des heures supplémentaires).

5 3.2.1Le cadre légal de la géolocalisation Le cadre juridique particulier est défini par la directive 2002/58/CE du 12 juillet 2002 (Dir. 2002/58/CE du 12-7-2002, art. 9) et la recommandation de la Cnil en date du 16 mars 2006 concernant la géolocalisation des véhicules des employés. Les formalités préalables spécifiques à cette technologie concernent la norme simplifiée n°51 (géolocalisation des véhicules des employés de s secteurs privé et public). Les principaux traitements faisant usage de cette technologie sont la géolocalisation des salariés, le suivi des conducteurs dans le domaine des contrats d’assurance et la géolocalisation des enfants.

6 3.2.2La géolocalisation des salariés La Cnil a défini les règles de l’usage de la géolocalisation dans l’entreprise dans une recommandation en date du 16 mars 200627. Les limitations concernent les employés disposant d’une large autonomie d’organisation (VRP, visiteurs médicaux, démarcheurs à domicile, etc.) et l’impossibilité de suivre les collaborateurs de façon permanente. Les informations concernent les déplacements en tant que tels, la vitesse moyenne et le kilométrage. En aucun cas, les données ne doivent permettre d’établir l’existence d’infractions.

7 La Cnil considère que les seules finalités admissibles sont : -la sûreté ou la sécurité de l’employé lui-même ou des marchandises ou véhicules dont il a la charge (travailleurs isolés, transports de fonds et de valeurs, etc.) ; -une meilleure allocation des moyens pour des prestations à accomplir en des lieux dispersés, (interventions d’urgence, chauffeurs de taxis, flottes de dépannage, etc.) ; -le suivi et la facturation d’une prestation de transport de personnes ou de marchandises ou d’une prestation de services directement liée à l’utilisation du véhicule (ramassage scolaire, nettoyage des accotements, déneigement routier, patrouilles de service sur le réseau routier, etc.) ; -le suivi du temps de travail, lorsque ce suivi ne peut être réalisé par d’autres moyens

8 3.2.3Le suivi des conducteurs Un nouveau service d’assurance se développe dans le monde dénommé « pay as you drive » grâce aux technologies de géolocalisation. L’objectif est de moduler les services offerts aux conducteurs en fonction des usages (durée, itinéraire) et des comportements (vertueux, risqués ou dangereux). De tels services se sont déployés à la satisfaction semble-t-il des cocontractants, aux Etats- Unis, en Israël, à Dubaï, à Abu Dhabi, au Royaume-Uni, en Italie et en Irlande. Une offre destinée aux jeunes conducteurs qui acceptaient d’installer dans leur véhicule un dispositif de géolocalisation de type GPS-GSM a été refusée par la Cnil. L’objectif était de collecter les informations relatives aux numéros de boîtier, vitesses, lieux, dates, heures et durée de conduite, nombre de kilomètres parcourus au total et type de route, et ce afin « de déterminer la localisation du véhicule toutes les deux minutes, les vitesses pratiquées, le type de route sur lequel roule le véhicule, les horaires de conduite et les durées de conduite (Délib. 2005-278 du 17-11-2005 MAAF Assurances SA

9 3.2.4Le suivi des enfants Les applications de localisation des enfants sont basées sur la technologie GPS-GSM. Ce service, à partir de la localisation du portable, permet aux parents de connaître le lieu où se trouve le porteur du téléphone mobile selon les technologies internet, Wap ou i-mode. Les parents étant de simples bénéficiaires du service, le responsable du traitement est l’organisme qui fournit le service d’identification du portable et de géolocalisation. Ce type de traitement relève du régime de la déclaration générale. La Cnil considère que l’enfant (treize ans et plus) doit pouvoir être en mesure de formuler son consentement pour ce type de service

10 3.3 – La vidéosurveillance Selon la Cnil, lorsqu’elles sont captées par la caméra d’un système de vidéosurveillance, les images des personnes doivent être regardées comme des informations nominatives permettant, au moins indirectement, par rapprochement avec d’autres critères, l’identification de ces personnes28.

11 La finalité de tels traitements vise la surveillance et la sécurisation des accès. La conservation doit être limitée à un mois (loi 95-73 du 21-1-1995, art.10). Ces traitements doivent faire l’objet d’une déclaration normale

12 3.3.1Le cadre juridique de la vidéosurveillance La vidéosurveillance est régie par deux grands cadres juridiques la loi Informatique et libertés et la loi d’orientation et de programmation relative à la sécurité, dite « loi Pasqua » (Loi 95-73 du 21-1-1995). L’articulation entre les deux cadres juridiques est définie expressément par l’article 10 I de la loi du 21 janvier 1995 dans les termes suivants : « Les enregistrements visuels de vidéosurveillance […] sont soumis aux dispositions ci- après, à l’exclusion de ceux qui sont utilisés dans des traitements automatisés ou contenus dans des fichiers structurés selon des critères permettant d’identifier, directement ou indirectement, des personnes physiques, qui sont soumis à la loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. »

13 A ce titre, l’article 5 du décret de 1996 précise que « dans le cas où les informations jointes à la demande d’autorisation ou des informations complémentaires font apparaître que les enregistrements visuels de vidéosurveillance seront utilisés pour la constitution d’un fichier nominatif, l’autorité préfectorale répond au pétitionnaire que la demande doit être adressée à la Commission nationale de l’informatique et des libertés. Il en informe cette commission »29. La réglementation a pour fondement l’organisation d’un « fonctionnement des caméras respectueux des libertés individuelles »30.

14 3.3.2La vidéosurveillance de sécurité publique Le périmètre légal est constitué par la loi d’orientation et de programmation relative à la sécurité (loi Pasqua précité), son décret d’application31, l’arrêté concernant les normes techniques des systèmes de vidéosurveillance32 et la circulaire ministérielle du 26 octobre 2006. Toute installation de système de vidéosurveillance doit faire l’objet d’une autorisation, sauf en matière de défense nationale. L’autorisation est délivrée par le représentant de l’Etat dans les départements ou par le préfet de police de Paris. Elle fait suite à un avis d’une commission départementale, présidée par un magistrat du siège ou un magistrat honoraire.

15 Le système de vidéosurveillance doit être conforme à des normes techniques (Loi 95-73 du 21-1-1995, art. 10 III al. 4). L’autorisation définit la qualité des personnes chargées de l’exploitation, les modalités permettant de visionner les enregistrements, les destinataires des informations, la durée de conservation des images.

16 Hormis les cas d’une enquête de flagrant délit, d’une enquête préliminaire ou d’une information judiciaire, les enregistrements sont détruits dans un délai maximum fixé par l’autorisation. Ce délai ne peut excéder un mois (Loi 95-73 du 21-1-1995, art. 10 IV). Le public doit être informé de manière claire et permanente de l’existence du système de vidéosurveillance et de l’autorité ou de la personne responsable (Loi 95-73 du 21-1-1995, art. 10 II al. 5).

17 Pour ce faire, l’information sur l’existence d’un système de vidéosurveillance filmant la voie publique est apportée au moyen de panonceaux comportant un pictogramme représentant une caméra(Décr. 96-926 du 17-10-1996, art. 13-1 I). Pour les systèmes figurant dans les lieux et les établissements ouverts au public, l’information doit être effectuée de manière claire et permanente au moyen de panonceaux ou d’affichettes, qui doivent préciser le nom ou la qualité du responsable du traitement et un numéro de téléphone. Ces données doivent permettre à la personne concernée d’accéder aux images la concernant (Décr. 96-926 du 17-10-1996, art. 13-1 II).

18 3.3.3La vidéosurveillance de sécurité privée Ces traitements concernent la vidéosurveillance sur les lieux de travail des organismes privés, des organismes publics ou des organismes de droit privé gérant un service public. De même, entre dans cette catégorie, la vidéosurveillance d’immeubles à usage d’habitation. Seules les caméras installées dans des lieux privés utilisées à des fins exclusivement personnelles sont exclues de ce régime juridique (L. 1978, art. 2).

19 Le cadre légal est défini par : -les principes directeurs de la loi Informatique et libertés, dans la mesure où les activités de vidéosurveillance ne sont pas visées en tant que telles, à la différence, par exemple, des technologies de biométrie ; -la délibération 94-056 du 21-6-1994 portant adoption d’une recommandation sur les dispositifs de vidéosurveillance mis en œuvre dans les lieux publics et les lieux recevant le public.

20 Les données concernées visent la prise de vue avec ou sans enregistrement et la connexion avec des fichiers nominatifs. traitements d’images (collecte, enregistrement, visualisation, en temps réel ou en différé et la conservation) doivent faire l’objet d’une déclaration normale.

21 3.4 – La technoprotection de la vie privée Les systèmes de technologie orientée vers la protection de la vie privée recouvrent les techniques d’anonymisation, les procédés de cryptage, les techniques antimarquages et les plates-formes de préférences relatives à la protection de la vie privée.

22 3.4.1Les techniques d’anonymisation Les techniques d’anonymisation regroupent l’ensemble des techniques permettant de rendre anonymes les données à caractère personnel. Cette nécessité peut résulter des exigences de conservation des données au-delà de la période ayant justifié la collecte et les traitements ou de la nécessité de faire des analyses sur les informations sensibles. La notion d’anonymisation peut être déclinée en fonction d’un niveau absolu ou relatif, d’usages (réservés à certains et interdits à d’autres) ou de moyens à mettre en œuvre pour organiser une réversibilité.

23 Les techniques d’anonymisation peuvent être classées en trois catégories : -l’information anonyme : technologies qui suppriment tous les liens entre les informations et la personne concernée. -l’information masquée : technologies qui permettent d’organiser une anonymisation relative tout en permettant de retrouver l’information nominative suivant le modèle d’organisation des accès à la technologie retenue (chiffrement, hachage et floutage). -l’information agrégée : techniques qui ont pour objet de rassembler des groupes ou populations de telle manière qu’il ne soit pas possible d’affecter une information à un individu.

24 3.4.2Les procédés de cryptage Ces procédés permettent le respect des règles de sécurité et de confidentialité des données à caractère personnel imposées par l’article 34 de la loi. La Cnil préconise l’utilisation dans la mesure du possible, du codage des données nominatives pour certains types de données. Le chiffrement est exigé par la Cnil en matière de transfert par internet des données de santé à caractère personnel ou encore des bases de données de santé confiées à un hébergeur.

25 3.4.3Les techniques antimarquages Ces procédés regroupent toutes les techniques ayant pour objet d’interdire ou d’obtenir le consentement des personnes avant toutes introductions d’un marquage électroniques types cookies (témoins de connexion) ou puces RFID (Radio frequency identification) (cf. point 4.1.2).

26 3.4.4Les plates-formes de préférences relatives à la protection de la vie privée Les plates-formes ont pour objet de recueillir et de respecter les préférences des personnes concernées. A partir d’un questionnaire, l’internaute définit le régime juridique des catégories de données à caractère personnel le concernant. Le protocole P3P version 1.0 est conçu pour informer les utilisateurs du web des pratiques des sites web concernant la collecte de données. Il permet à un site web de transcrire ses pratiques de collecte et d’utilisation des données dans un format XML, lisible par une machine, que l’on appelle politique P3P.

27 La spécification P3P définit : -un schéma standard des données qu’un site web est susceptible de collecter, appelé schéma de données P3P de base ; -un jeu standard d’usages, de destinataires, de catégories de données et d’autres divulgations concernant la vie privée ; -un format XML pour exprimer une politique de confidentialité ; -un moyen permettant d’associer des politiques de confidentialité aux pages web, ou aux sites web, et aux cookies ; -un mécanisme de transport des politiques P3P via le protocole http.

28 Le but de P3P version 1.0 est double : -permettre aux sites web d’annoncer leurs pratiques de collecte de données de manière normalisée, lisible par une machine et facilement disponible. -permettre aux utilisateurs du web de savoir quelles données seront collectées par les sites visités, comment ces données seront utilisées, et quels usages de ces données ces utilisateurs accepteront33

29 3.5 – Le Web 2.0 Le web 2.0 regroupe un ensemble de technologies et de services axés sur les la création et l’animation de communautés et sur les services agiles basés sur le concept « le réseau est l’ordinateur ». Le web 2.0 pose avec plus d’acuité les problématiques d’identité numérique et du droit à l’anonymat, d’évaluation de la qualité des membres et de la protection de la vie privée et de protection de l’intimité numérique34. Les plates-formes techniques qui hébergent les différentes communautés, telles que les blogs ou le courtage aux enchères, doivent faire l’objet d’une déclaration lorsque les moyens sont situés sur le territoire français

30 Les échanges sont, en général, opérés sous pseudonyme. Les plates-formes organisent une pratique de personnalisation anonyme avec : -une communication sous pseudonyme ; -une évaluation des pratiques de chaque personne par la communauté ; -une révélation des identités réelles lors de la réalisation des opérations (courtage aux enchères en ligne) ou sur autorisation judiciaire.

31 . Les technologies d’identification et de surveillance 4.1 – Les applications et les fonctionnalités des technologies d’identification 4.1.1La biométrie La biométrie consiste à définir et utiliser des mesures portant sur les éléments biologiques d’un individu sur la base d’une méthode de numérisation des caractéristiques du vivant. Un badge présentant une photographie numérique sans traitement possible n’entre pas dans le cadre de la problématique biométrique. n classe les données biométriques en trois catégories : -les prélèvements du corps humain (l’ADN, l’odeur corporelle) ; -les représentations numériques ou gabarit (l’empreinte digitale ou le contour de la main) ; -les attitudes (signature manuscrite, frappe sur un clavier).

32 Il n’existe pas de réglementation en tant que telle régissant la biométrie. Sur le plan Informatique et libertés, la biométrie est encadrée légalement lorsqu’elle est utilisée pour le contrôle de l’identité des personnes. Quel que soit le secteur privé ou public, ce type de traitement ne peut être mis en œuvre qu’après autorisation de la Cnil. La Cnil a défini trois types d’autorisations uniques dans le domaine biométrique concernant : -l’empreinte digitale pour le contrôle d’accès au lieu de travail35 ; -le contour de la main pour le contrôle d’accès, la gestion des heures et de la restauration sur le lieu de travail36 ; -le contour de la main pour l’accès au restaurant scolaire37.

33 Compte tenu des risques que l’utilisation des données biométriques recèle, la Cnil considère que cet usage ne peut être effectué que s’il existe une exigence impérative de sécurité et des circonstances particulières limitant les risques. La Cnil rejette, sauf cas particulier, tout recours de la biométrie fondé sur des raisons de simple gestion ou de confort. Elle privilégie les solutions techniques organisées autour de la biométrie avec ou sans traces, du stockage des identificateurs dans des supports restreints de manière exclusive sous le contrôle de la personne concernée et de l’absence de trace après usage.

34 Elle a ainsi émis un avis favorable en ce qui concerne : -la mise en œuvre d’un contrôle d’accès biométrique aux zones réservées de sûreté des aéroports d’Orly et de Roissy (Délib. 2004-017) ; -le projet d’arrêté du ministre de la justice portant création d’une application informatique destinée à vérifier l’identité des détenus en établissement par reconnaissance de la morphologie de la main (Délib. 2003-027) ; -la mise en œuvre par la chambre de commerce et d’industrie de Nice-Côte d’Azur d’un traitement automatisé de données à caractère personnel ayant pour finalité la gestion d’une carte de fidélité impliquant l’utilisation d’un dispositif biométrique de reconnaissance des empreintes digitales (Délib. 2005-115).

35 4.1.2La RFID Les RFID (Radio frequency identification) sont des dispositifs qui permettent une identification sans contact. Cette technologie permet d’organiser un dialogue entre une étiquette intelligente et un lecteur au moyen de radiofréquences. A terme, les RFID ont pour objectif de remplacer les code-barres figurant sur les produits en permettant l’émergence de nouveaux services de traçabilité et de réactivité. Cette nouvelle technologie a pour objet de démultiplier les possibilités de gestion de la traçabilité des objets et des personnes. Une RFID comprend une puce électronique, une mémoire intégrée dans la puce et une antenne.

36 Les RFID passives ne disposent pas d’une alimentation électrique. Le courant électrique est induit par le lecteur lors de l’opération de lecture. Au contraire, les RFID actives disposent d’une pile permettant une autonomie électrique. La conséquence est la distance d’utilisation entre les RFID et les lecteurs. L’utilisation du numérique permet une évolution de l’internet des « ordinateurs » vers l’internet des objets. L’ensemble des objets, sous réserve d’une norme d’identification, peuvent se trouver en interaction et réagir en fonction d’un contexte détecté ou d’un acteur initié. La démultiplication est accentuée par l’intégration du processus RFID dans un système d’information, tel que le SI production, le SI client ou le SI logistique. De même, l’intégration de lecteurs RFID dans les portables permet de faire de cet équipement « une télécommande universelle »38.

37 Il n’existe pas de réglementation spécifique à la RFID comme il en existe par exemple pour la biométrie. L’utilisation d’étiquettes intelligentes directement ou indirectement est soumise au régime général des formalités préalables (déclaration ou autorisation) suivant la qualité des responsables des traitements ou la nature des données et des traitements opérés. L’ensemble des droits des personnes (information, accès, autorisation, opposition, modification, rectification et oubli) s’applique aux technologies RFID. La généralisation des usages RFID implique la nécessité d’élaborer un droit de « désactivation » afin d’éviter des processus de tout ou rien concernant les services intégrant des RFID.

38 4.2 – Les enjeux vis-à-vis de la loi Informatique, fichiers et libertés Un système de reconnaissance repose sur les modes alternatifs ou cumulatifs suivants : -un élément physique : photographie ou particularité physique telle que cicatrice, tatouage, etc. -un dispositif : carte, clé USB, lettre, etc. ; -une information : formule secrète, prénom de la mère, pays et date des trois derniers voyages, etc. La biométrie est une technologie de rupture du fait de l’unicité du moyen (un élément du corps humain), de l’universalité de la technique et de l’efficience de la reconnaissance

39 En ce qui concerne la protection de la vie privée, les technologies biométriques présentent un fort potentiel « invasif » en termes de protection de la vie privée. Selon le Comité consultatif national pour les sciences de la vie et de la santé, du fait du paradoxe soulevé entre protection de la vie privée et atteinte à la vie privée, on assiste à une sorte de confiscation consentie de liberté. Subrepticement, notre société, au nom du paradigme sécuritaire, s’habitue à l’usage de ces marqueurs biométriques et chacun accepte finalement et même avec quelque indifférence d’être fiché, observé, repéré, tracé, sans souvent même en avoir conscience39. Les dangers liés à la création de grandes bases de données biométriques sont les plus aigus.

40 La réglementation applicable Le cadre juridique de ces technologies peut être défini selon les axes suivants : -les lieux d’implantation (zones publiques ou privées) ; -les conditions d’utilisation (surveillance ou recherche) ; -les domaines d’activités (privé, professionnel, économique, social, philosophique, etc.). Les technologies d’identification et de surveillance doivent faire l’objet d’une déclaration ou d’une autorisation, selon la nature des technologies.

41 En milieu professionnel, la mise en œuvre de ces techniques suppose le respect des règles suivantes : -information des instances représentatives du personnel sur l’introduction de nouvelles technologies ; -information des instances représentatives du personnel sur les dispositifs de contrôle et de surveillance des salariés ; -information des personnes concernées. En effet, dans la majeure partie des cas l’introduction d’une nouvelle technologie élargit le champ des contrôles pouvant être opérés par l’employeur

42 – Les précautions de mise en œuvre Le recours aux technologies de surveillance suppose le respect des principes de légalité, finalité, légitimité, proportionnalité, adaptabilité et transparence. Le principe général, dans une démocratie, est l’absence de surveillance. La surveillance ne peut être qu’une exception motivée par une situation particulière, réalisée dans un cadre juridique prédéfini. La surveillance ne peut être opérée que pour des finalités de sécurité et de protection. Il en est ainsi notamment de : -la lutte contre le terrorisme par vidéosurveillance dans les lieux publics ; -lasupervisiondesréseauxde télécommunicationsd’uneentreprisepar cybersurveillance ; -la protection de l’accès à des zones sensibles par biométrie.

43 L’impératif de sécurité est une condition nécessaire, mais aucunement suffisante. Il faut encore que le responsable du traitement de technologie de surveillance légitime les usages au regard de ses droits et obligations, des lieux et des personnes objets de la surveillance. Code du travail pose un principe intangible, en vertu duquel l’employeur ne peut pas apporter aux libertés individuelles et collectives des restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir, ni proportionnées au but recherché..

44 Ce principe protège les salariés contre les contrôles systématiques ou sans justification. Le respect du principe de proportionnalité impose au responsable de rechercher un équilibre entre les différentes exigences de sécurité et les droits des personnes. Ce principe de proportionnalité a pour vocation de relativiser les droits détenus par le responsable du traitement au titre de la légitimité de sa démarche

45 Cette balance d’intérêts est posée par la loi Informatique et libertés dans les termes suivants : « La réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les libertés fondamentales de la personne concernée » (L. 1978, art. 7 5°). Cet alinéa permet de déroger à l’obligation générale de consentement préalable à la mise en œuvre d’un traitement automatisé de données à caractère personnel (L. 1978, art. 7).

46 La technosurveillance utilisée doit être adaptée à la situation. Cette exigence impose une révision des conditions d’utilisation en cas : -de modification du contexte ; -d’évolution des précédents critères. La mesure ne s’effectue pas uniquement au démarrage ; l’ensemble des critères doit rester pertinent pendant toute la période d’utilisation.

47 Enfin le Code du travail dispose qu’« aucune information concernant personnellement un salarié ou un candidat à un emploi ne peut être collectée par un dispositif qui n’a pas été porté préalablement à la connaissance du salarié ou du candidat à l’emploi ». Il apparaît par conséquent que, pour être opposables au salarié, les moyens de contrôle susceptibles d’être mis en œuvre doivent être portés à sa connaissance par la diffusion d’une note d’information ou encore par une charte d’utilisation des moyens informatiques

48 La Cnil dispose d’un large pouvoir d’appréciation quant à la suite à donner aux plaintes qui lui sont adressées, quelle que soit la décision prise ensuite par les autorités judiciaires. Elle décide ainsi des suites qu’il convient de réserver à une plainte et n’est tenue de dénoncer au parquet que les infractions dont elle a connaissance. Elle peut décider : – d’arranger un dialogue avec le responsable du traitement ; – de procéder à un contrôle sur pièces ou sur place ; – de mettre en demeure les responsables ; – d’ouvrir une procédure de sanction ; – de dénoncer les faits au procureur de la République ; – de classer la plainte sans suite. Dans tous les cas, la Cnil doit informer les auteurs de la plainte des suites données (L. 1978, art. 11, 2°-c).

49

50

51