Sur les finalités et les fonctionnalités
Le site web correspondants.cnil.fr est exclusivement dédié aux correspondants à la protection des données à caractère personnel désignés dans les conditions prescrites par le titre III du décret du 20 octobre 2005 susvisé pour assurer les missions définies par l'article 22 de la loi du 6 janvier 1978 modifiée.
L'article 2 du projet de décision énonce que ce traitement vise, d'une part, à favoriser la communication entre la commission et les correspondants désignés, d'autre part, à faciliter les échanges entre correspondants. Ce traitement repose sur plusieurs fonctionnalités ayant pour objet : la gestion des inscriptions des correspondants désireux d'utiliser cet espace dédié, la gestion du forum de discussion, la mise à disposition de contenus personnalisés, l'édition et la diffusion de l'annuaire des correspondants, la diffusion d'une lettre d'information, l'instruction des demandes adressées par les utilisateurs, l'élaboration de statistiques de fréquentation du site.
La commission prend acte que l'utilisation de cet espace dédié n'est pas obligatoire et qu'il existe d'autres canaux d'échanges entre la CNIL et les correspondants à la protection des données à caractère personnel. Elle relève que l'inscription à l'annuaire des correspondants est également facultative.
Sur les données à caractère personnel enregistrées
L'article 3 du projet de décision énumère les catégories de données à caractère personnel enregistrées en distinguant celles nécessaires à l'identification de l'utilisateur de celles relatives à l'utilisation de l'extranet.
Concernant les données relatives à l'identification du correspondant, sont collectés les éléments suivants : nom, prénom, identifiant et mot de passe, fonctions, coordonnées téléphoniques, adresse électronique, éléments d'identification de l'organisme représenté par le correspondant et rubriques d'actualité choisies par le correspondant.
Concernant les données relatives à l'utilisation de l'extranet, sont collectés les éléments suivants : adresse IP, date de création de compte, date de début et de fin de validité, date de la dernière connexion, date d'activation du compte, date de désactivation, date de modification du mot de passe, nombre de modifications du compte, information sur la personnalisation du compte (oui/non).
Les données susmentionnées sont adéquates, pertinentes et non excessives au regard des finalités définies à l'article 2 du projet de décision.
Sur les destinataires
La commission constate que l'article 4 du projet de décision détermine les catégories de destinataires habilités à recevoir communication des données enregistrées en fonction de leurs attributions respectives : les agents habilités du service des correspondants informatique et libertés et ceux du service informatique de la commission.
La commission prend acte que les coordonnées des correspondants qui l'ont souhaité sont accessibles à tous les abonnés de l'extranet via l'annuaire et que cet accès portera sur les seuls nom, prénom, fonction, courrier électronique et organisme de rattachement du correspondant informatique et libertés ayant préalablement accepté de figurer sur l'annuaire.
Sur les droits des personnes
Les utilisateurs sont informés de leurs droits par une mention d'information figurant sur l'extranet « correspondants.cnil.fr » et par la charte d'utilisation de celui-ci. Ils peuvent exercer leur droit d'accès et de rectification en contactant le service correspondant informatique et libertés soit en ligne par le formulaire de contact, soit par courrier postal.
Sur les mesures de confidentialité et de sécurité mises en place
La commission prend acte que l'accès à l'extranet sera subordonné à la validation par la CNIL de la désignation de l'utilisateur en qualité de correspondant informatique et libertés.
L'authentification des utilisateurs de l'extranet nécessite la saisie d'un identifiant et d'un mot de passe individuels. La structure obligatoire du mot de passe prescrit une longueur minimale de six caractères alphanumériques et l'utilisation d'au moins une majuscule, une minuscule et un chiffre. Les connexions à l'application font l'objet d'une journalisation.
La commission prend également acte de l'engagement du responsable de traitement d'assurer la confidentialité des données traitées sur l'extranet et de ne les utiliser qu'aux seules fins définies par le projet de décision.