🛂 Les contrôles de la CNIL 🛂

Les contrôles de la CNIL

Ce qu’il faut retenir :

🟢 Les contrôles de la CNIL ont pour but de vérifier l’application concrète de la législation en matière de protection des données.

🟢 Un contrôle de la CNIL se déclenche par suite d’une plainte, en fonction des thématiques prioritaires annuelles de contrôle de la CNIL ou sur sa propre initiative.

🟢 Le contrôle peut être opéré sur place, sur pièce, en ligne ou sur convocation

🟢 Les agents CNIL ont le droit d’accéder aux locaux et de se faire communiquer toute information ou document utile à leur enquête.

🟢 Il n’est pas possible de s’opposer à un contrôle de la CNIL

🟢 Les sanctions vont du simple rappel à l’ordre à une amende administrative pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial

1. Quel est l’objectif d’un contrôle de la CNIL ?

Les contrôles de la CNIL ont pour but de vérifier l’application concrète de la législation en matière de protection des données. Il s’agit donc de s’assurer que les traitements réalisés ne portent pas atteinte aux droits et libertés des personnes et que les organismes répondent au principe de responsabilisation (accountability).

2. Qu’est ce qui déclenche un contrôle de la CNIL ?

Un contrôle de la CNIL peut être déclenché de 3 manières :

🟩      Une plainte ou un signalement : la CNIL reçoit des réclamations et des plaintes concernant des défauts de conformité. Des contrôles sont ainsi réalisés pour vérifier ces pratiques et s’assurer du respect des droits des personnes. Cela représente plus de 40 % des contrôles.

🟩      Les thématiques prioritaires annuelles de contrôle : chaque année, la CNIL décide de porter son attention sur de grandes thématiques identifiées notamment en raison de leur impact sur la vie privée de nombreuses personnes. Ces thématiques sont publiées sur le site web de la CNIL. À l’issue du programme annuel, la CNIL communique également sur les pratiques qui ont pu être constatées et sur les suites apportées à ces procédures.

🟩      Sa propre initiative : des investigations peuvent être menées dans le cadre de thématiques, identifiées notamment au regard de l’actualité, et qui sont susceptibles de présenter des problématiques et des enjeux relatifs à la protection des données personnelles.

Dans les 3 cas de figure, c’est la décision de la présidente de la CNIL qui amorce le processus de contrôle.

3. Quelles formes peut prendre un contrôle de la CNIL ?

🟩      Le contrôle sur place : une délégation de la CNIL se rend directement au sein des locaux d’un responsable de traitement ou d’un sous-traitant afin de mener des investigations portant sur des traitements de données personnelles.

🟩     L’audition sur convocation : un courrier est adressé au responsable de traitement ou au sous-traitant afin que des représentants de l’organisme se présentent, à une date donnée, dans les locaux de la CNIL.

🟩     Le contrôle en ligne : la CNIL effectue des vérifications depuis ses locaux, en consultant notamment des données librement accessibles ou rendues accessibles directement en ligne, y compris par imprudence, négligence ou du fait d’un tiers.

🟩     Le contrôle sur pièces : la CNIL adresse un courrier accompagné d’un questionnaire destiné à évaluer la conformité des traitements mis en œuvre par un responsable de traitement ou un sous- traitant.

     4. Quels sont les pouvoirs des agents de contrôle de la CNIL ?

  • 🟢 Pouvoir d’accès aux locaux

Afin d'exercer leur mission de contrôle, les agents de contrôle ont le droit de pénétrer dans tous les endroits, locaux, enceintes, installations ou établissements utilisés pour la mise en place d'un traitement de données personnelles.

Cet accès est autorisé entre 6 heures et 21 heures. Si le contrôle a débuté dans cette plage horaire, il peut se prolonger au-delà de 21 heures si cela s'avère nécessaire.

    🟢 Pouvoir de se faire communiquer tous renseignements ou documents utiles

Ils peuvent demander la communication de tous les documents nécessaires à l'accomplissement de leur mission, à l'exception des informations protégées par l'un des secrets professionnels énumérés dans la loi Informatique et Libertés, quel que soit leur support, et en obtenir une copie.

Ils peuvent également accéder aux programmes informatiques, aux données qui y sont contenues, et demander que ces informations soient transcrites, par le biais d'un traitement approprié, dans des documents directement exploitables dans le cadre du contrôle.

 5. Quels droits et obligations pour les organismes contrôlés ?

    🟢 Identité des contrôleurs et information sur l’objet du contrôle

L'organisme soumis au contrôle a le droit de vérifier l'identité des agents chargés des enquêtes qui le concernent. Il peut se baser sur les documents qui lui sont remis par la délégation au début du contrôle.

L'objet de la mission de contrôle est précisé dans la décision signée par la présidente de la CNIL, qui est remise à l'organisme contrôlé en début de contrôle.

    🟢 Il n’est pas possible de refuser le contrôle

Les détenteurs ou utilisateurs de traitements ou de fichiers de données personnelles ne sont pas autorisés à s'opposer à l'action de la CNIL. Au contraire, ils doivent prendre toutes les mesures nécessaires pour faciliter cette action. Les responsables de traitement et les sous-traitants ont l'obligation de coopérer avec la CNIL.

Dans le cadre d'un contrôle sur place, le responsable des locaux peut s'opposer à la visite de ses locaux par la CNIL, à moins que cette visite n'ait été autorisée par un juge des libertés et de la détention. Cependant, il convient de noter que les organismes étatiques ne peuvent jamais s'opposer à la tenue d'un contrôle.

Enfin, l'article 226-22-2 du Code pénal prévoit une peine d'un an d'emprisonnement et une amende de 15 000 € pour toute entrave à l'action de la CNIL.

6. Que se passe-t-il après un contrôle ?

    🟢 La notification du procès-verbal de contrôle

Pour les contrôles effectués en ligne, une clé USB contenant une archive chiffrée du procès-verbal de contrôle, de ses annexes et des pièces numériques résultant du contrôle, ainsi que les fichiers d'installation du logiciel permettant de déchiffrer cette archive, est envoyée au responsable de traitement par courrier recommandé avec accusé de réception. Le mot de passe de déchiffrement est communiqué au responsable de traitement par téléphone ou par courrier électronique, sur demande. 

    🟢 L’instruction du dossier par la CNIL

Une fois le contrôle terminé, la CNIL entame la phase d'instruction du dossier. Elle analyse les éléments et les pièces recueillis lors du contrôle afin de déterminer le degré de conformité de l'organisme aux dispositions du RGPD et de la loi Informatique et Libertés. Des demandes complémentaires peuvent être formulées à l'organisme contrôlé pour obtenir des précisions ou des documents supplémentaires. Dans certains cas, de nouveaux contrôles peuvent être décidés par la présidente de la CNIL.

 7. Quelles sont les suites possibles d’une procédure de contrôle ?

Quelle que soit l'issue de la procédure, il est important de noter que cela n'exclut pas la possibilité de vérifications ultérieures. En effet, la CNIL peut continuer à effectuer des vérifications supplémentaires afin de garantir le respect des dispositions du RGPD et de la loi Informatique et Libertés par l'organisme concerné. 

🟩 Clôture de la procédure avec ou sans observation, dans les cas d’absence de manquements ou de manquements peu graves aux dispositions légales et réglementaires.

🟩 Avertissement et rappel à l’ordre par la présidente de la CNIL

🟩 Mise en demeure, de se conformer aux dispositions du RGPD et de la loi Informatique et Libertés. La mise en demeure énumère les manquements et peu fixer un délai de mise en conformité.

🟩Décision prononcée en formation restreinte, qui peut fixer des sanctions (pécuniaires ou non) en cas de manquements significatifs, de non-réponse à une mise en demeure ou à un défaut de mise en conformité dans le délai imparti.

8. Quelles sont les sanctions possibles ?

🟩 Un rappel à l'ordre

🟩 Une injonction visant à mettre en conformité le traitement avec les dispositions de la loi Informatique et Libertés et du RGPD, ou à répondre aux demandes formulées par la personne concernée pour exercer ses droits

🟩 Dans certains cas, une limitation temporaire ou définitive du traitement, son interdiction ou le retrait d'une autorisation accordée en vertu du RGPD ou de la loi Informatique et Libertés.

🟩 Le retrait d'une certification ou l'injonction, adressée à l'organisme certificateur concerné, de refuser ou de retirer une certification précédemment accordée.

🟩 La suspension des flux de données envoyés à un destinataire situé dans un pays tiers ou à une organisation internationale.

🟩 La suspension partielle ou totale de la décision d'approbation des règles d'entreprise contraignantes.

🟩 Dans certains cas, une amende administrative pouvant atteindre jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial en cas de non-respect des principes fondamentaux du RGPD, des droits des personnes, des dispositions sur les transferts de données ou d'une injonction émise par une autorité.

Ces mesures sont prises dans le but de garantir la conformité aux règles de protection des données personnelles et d'assurer le respect des droits des individus.

 

La Charte CNIL : https://www.cnil.fr/sites/cnil/files/atoms/files/cnil-charte_des_controles.pdf

ProDPO

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

En savoir plus

Pour partager cet article sur les réseaux sociaux

Je souhaites réserver un appel !