Image contrôle CNIL

RGPD : comment se passe un contrôle de la CNIL ?

Depuis l’entrée en vigueur du RGPD, l’ensemble des organismes traitant des données à caractère personnel se doivent d’appliquer de nouvelles mesures afin de garantir la protection des données à caractère personnel des internautes. En cas de violation de cette nouvelle réglementation, les institutions concernées s’exposent à des sanctions pouvant être particulièrement lourdes. En France, c’est la Commission Nationale de l’Informatique et des Libertés (CNIL) qui est en charge de la vérification du respect du RGPD par les entreprises et organismes publics. La décision de contrôle de la CNIL peut avoir différentes origines et peut prendre différentes formes. Retour sur ces missions de contrôle de la CNIL.

Qui est concerné par les contrôles de la CNIL ?

Chaque organisme traitant des données à caractère personnel est susceptible d’être contrôlé par la CNIL. Ce contrôle de la CNIL concerne ainsi les entreprises privées, les associations ainsi que les organismes publics ayant un établissement en France ou traitant des informations personnelles d’individus résidant sur le territoire national. Les règles du RGPD offrent également la possibilité à la CNIL d’élargir son autorité de contrôle auprès des prestataires sous-traitants auxquels les organismes responsables de traitement peuvent faire appel.

Étant appliqué à l’ensemble des 28 pays membres de l’Union Européenne, le RGPD impose à chaque état de se doter d’un organe de contrôle. De ce fait, selon les cas, il est possible que la CNIL mène des missions de contrôle en collaboration avec d’autres autorités à l’échelle européenne.

Qui peut contrôler ?

Le contrôle d’un organisme est réalisé par des juristes qui ont une connaissance parfaite des règles du RGPD. L’habilitation de contrôle peut provenir de deux autorités :

  • Délivrée par la CNIL aux agents de ses services
  • Délivrée par le Premier Ministre aux agents de la CNIL

Pour chaque mission de contrôle les agents de contrôle se doivent de respecter le secret professionnel et sont parfois couverts par la protection du secret défense.

Quelles sont les étapes du contrôle RGPD ?

Décision de contrôle

La chaîne répressive de la CNIL se compose de différentes étapes, à commencer par les décisions de mission de contrôle :

Programme annuel : la CNIL dispose d’un programme établi de contrôle sur les thématiques qu’elle souhaite surveiller particulièrement. Suite aux différents contrôles réalisés sur ces thématiques, un rapport sur les pratiques est réalisé et communiqué publiquement.

  • Signalements : ces signalements peuvent provenir de plaintes déposées par les usagers ou bien être des signalements anonymes auprès de la CNIL.
  • Initiative : la CNIL peut s’autosaisir en fonction des thèmes jugés comme primordiaux à contrôler.
  • Presse : des faits de violation du RGPD peuvent être mis à jour par la presse d’investigation.
  • Vidéoprotection : les caméras de vidéosurveillance dans les lieux publics peuvent faire l’objet d’une décision de vérification par la CNIL.
  • Coopération : décision de contrôle pour un contrôle en coopération à l’échelle de plusieurs états européens.
  • Contrôle après sanction : suite à une mise en demeure, une sanction ou une procédure de contrôle clôturée, la CNIL peut vérifier la conformité des mesures prises par l’organisme sanctionné.

Les différents types de contrôle

Selon les situations, la CNIL peut mettre en place différents types de contrôle. Ce contrôle peut être effectué sous 4 formes différentes :

  • Sur place : des membres de la CNIL viennent contrôler directement au sein de l’organisme en question et mènent des investigations sur le traitement des données personnelles.
  • Sur convocation : un courrier est envoyé pour convoquer les acteurs concernés (responsable du traitement ou sous-traitant) qui devront ensuite se présenter dans les locaux de la CNIL où ils seront auditionnés.
  • En ligne : des vérifications sont réalisées directement en ligne par des agents de la CNIL sur les données libres d’accès ou rendues accessibles.
  • Sur pièces : questionnaire par courrier afin d’évaluer la sécurité et demande des documents justificatifs.

En fonction des cas, ces différentes formes de contrôle peuvent être utilisées de manière complémentaire. Il faut savoir que la rédaction d’un procès-verbal est obligatoire pour ces différents contrôles (à l’exception du contrôle sur pièces).

Les procédures suite à un contrôle et sanctions

Suite à un contrôle de la CNIL, la procédure mise en place peut varier. Dans le cas où il n’y a pas ou peu d’observations, alors le dossier est clôturé et un courrier avec ou sans observations est envoyé à l’organisme qui a été contrôlé. A l’inverse, dans le cas où d’importants manquements ont été relevés, alors différentes procédures peuvent être enclenchées :

  • Mise en demeure : cet avis émis par le Président de la CNIL impose à l’organisme de prendre les mesures nécessaires pour répondre aux exigences de conformité. Selon les cas, le délai de réponse à la mise en demeure est fixé entre 10 jours et 6 mois. La mise en demeure ne constitue pas une sanction en soit et peut être rendue publique ou non. Elle représente un avertissement pour que l’organisme se mette en accord avec le RGPD.
  • Sanction : cet avis est prononcé par la formation restreinte qui peut décider d’une sanction pécuniaire ou non. La sanction pécuniaire peut atteindre au maximum 4% du chiffre d’affaire mondial de l’organisme ou 20 millions d’euros. Lorsque la sanction est non pécuniaire, alors l’organisme connaît un rappel à l’ordre ou bien une injonction sous astreinte.

Peut-on s’opposer à un contrôle de la CNIL ?

Au regard de la loi, on peut distinguer deux situations : droit légitime d’opposition et délit d’entrave à l’action de la CNIL.

Droit légitime d’opposition

L’article 44 de la loi Informatique et libertés pose les conditions de ce droit. Ainsi, les motifs de l’opposition au contrôle du responsable de traitement doivent être mentionnés sur le procès-verbal. L’autorisation de contrôle de la CNIL sera ensuite décidée par un juge des libertés et de la détention, sous 48h.

Délit d’entrave au contrôle

L’article 51 de la loi Informatique et Libertés sanctionne d’un an d’emprisonnement et de 15 000 € d’amende l’entrave à l’action de la CNIL. Cette entrave au contrôle de la CNIL est reconnue lorsque :

  • L’organisme empêche l’accès aux informations demandées par les agents de la CNIL;
  • L’organisme refuse de communiquer les renseignements demandés ou les détruit;
  • L’organisme modifie les informations demandées.
0 réponses

Laisser un commentaire

Participez-vous à la discussion?
N'hésitez pas à contribuer!

Laisser un commentaire