La CNIL a d’autres poissons à frire 😊
Soyons honnête, depuis l’entrée en application du RGPD, combien de fois avons-nous entendu ou lu que les contrôles ne concerneraient que les grandes entreprises ou certains secteurs d’activité ? Beaucoup trop à mon goût ! Quand je parle de contrôle, la première remarque qui m’est faite est le manque d’effectif de notre autorité de contrôle (CNIL pour la France) mais savez-vous qu’aujourd’hui ce n’est plus une seule autorité de contrôle qui peut vous demander des comptes mais 28 dès lors que vous traitez des données de citoyens européens (Article 57, 1, g).
Le champ d’application du RGPD est extra territorial, c’est-à-dire que le droit Européen s’appliquera à chaque fois qu’un résident européen sera visé par un traitement de données. Le Règlement Général sur la Protection des Données donne les détails et précise que chaque autorité de contrôle sur son territoire effectuera des enquêtes (contrôles) auprès du Responsable de Traitement ou de ses sous-traitants sur l’application du présent règlement, y compris sur la base d’informations reçues d’une autre autorité de contrôle ou d’une autre autorité publique (Article 57, 1, h).
Identification des différents types de contrôle de la CNIL
Rappelons que le contrôle peut s’effectuer de plusieurs manières : sur place, sur convocation, sur pièce ou en ligne ce qui signifie, dans certains cas, que la CNIL n’a pas forcément besoin de se déplacer sur le site du Responsable de Traitement ou de ses sous-traitants pour contrôler le respect de la réglementation en matière de traitement des données à caractère personnel.
Ce qui se passe avant un contrôle de la CNIL
- La décision de procéder à une mission de contrôle est prise par le Président de la CNIL, sur proposition du service des contrôles ;
- La décision de prévenir, ou non, le Responsable de Traitement visé par un contrôle sur place est prise en opportunité. Lorsque le contrôle se déroule sur audition, la convocation doit parvenir à la personne auditionnée au moins 8 jours avant la date du contrôle ;
- Il peut être demandé au Responsable de Traitement visé par un contrôle de communiquer préalablement des documents (ex. : moyens informatiques utilisés, organisation générale de l’organisme contrôlé) ;
- Lorsque le contrôle se fait sur place, la décision du Président de la CNIL est notifiée au début du contrôle au Responsable des lieux où se situe le ou les traitements qui font l’objet des vérifications. De même, le Procureur de la République territorialement compétent est informé de la date, de l’heure et de l’objet du contrôle 24 heures avant que celui-ci ne débute ;
- Lorsque le contrôle est effectué à la demande d’un homologue d’un Etat membre de l’Union européenne, la CNIL en informe le responsable du traitement. Elle l’informe que les informations recueillies ou détenues par la CNIL sont susceptibles d’être communiquées à cette autorité ;
- Les agents de la CNIL participant aux contrôles sont habilités dans les conditions prévues à l’article 19 de la loi et par les articles 57 à 60 du décret du 20 octobre 2005 modifié. Ils peuvent être assistés d’experts. Certains contrôles nécessitent des habilitations particulières, notamment pour les fichiers couverts par le secret défense.
Ce qui se passe pendant un contrôle de la CNIL
- Une mission de contrôle vise prioritairement à obtenir copie du maximum d’informations, techniques et juridiques, pour apprécier les conditions dans lesquelles sont mis en œuvre des traitements de données à caractère personnel ;
- La délégation de la CNIL peut demander communication de tous les documents nécessaires à l’accomplissement de sa mission, quel qu’en soit le support, et en prendre copie ;
- Les contrôleurs peuvent accéder aux programmes informatiques et aux données, et en demander la transcription pour les besoins du contrôle ;
- La délégation peut demander copie de contrats (ex : contrats de location de fichiers, contrats de sous-traitance informatique), formulaires, dossiers papiers, bases de données, etc. ;
- Un procès-verbal de fin de mission est établi à l’issue du contrôle, pour préciser notamment la liste des documents dont une copie a été effectuée.
Quelles sont les origines des contrôles effectués par la CNIL ?
Dans son 38ème rapport annuel d’activité de 2017, la CNIL précise que 73 % des missions de contrôle réalisées concernent le secteur privé contre 27 % dans le public. Ces contrôles résultent à 62 % de son initiative notamment au vu de l’actualité, 15% résultent du programme annuel décidé par les membres de la commission, 17 % s’inscrivent dans le cadre de l’instruction d’une plainte (8 360 pour 2017) et 6 % sont réalisés dans le cadre des suites de mise en demeure ou de procédure de sanction.
Programme de contrôle prévu en 2021 :
Pour cette année la CNIL annonce que son programme de contrôle restera inchangé. Comme les années précédentes, ces investigations auront pour origine, de manière équilibrée :
- Les réclamations et les signalements adressés à la CNIL ;
- Les vérifications effectuées à la suite de clôture, de mises en demeure ou de sanctions ;
- Les missions réalisées en fonction des sujets d’actualité.
Le programme annuel des contrôles est décidé à l’avance et cette année les grands gagnants seront le secteur du logement, le secteur du recrutement et pour finir le contrôle de stationnement effectué par des prestataires privés.
Préparer son organisation et ses collaborateurs à un éventuel contrôle est indispensable !
Le DPO désigné par le Responsable de Traitement doit anticiper et mettre en place un process clair en cas de contrôle inopiné de la CNIL. Ce process doit être connu de tous et figurer, si possible, sur l’intranet de l’entreprise ou sur tout autre support accessible à tout moment. Lors d’un contrôle, il est indispensable de vérifier l’identité des agents via leur carte professionnelle avant de leur laisser libre accès à votre établissement.
Pour conclure, il est important de rappeler que les organismes contrôlés sur place, ne peuvent s’opposer à l’action des contrôleurs de la CNIL sous peine d’être sanctionnés d’un an d’emprisonnement et de 15 000€ d’amende (Loi n° 78-17, 6 janvier 1978 modifiée article 51).
Cet article a été rédigé par Nour Habita
Besoin d’aide, pour une préparation à un contrôle de la CNIL, contactez-nous, nos experts RGPD se feront un plaisir de répondre à vos demandes.