Controle CNIL

Publié le par Nournh75
préparation au contrôle de la cnil

La CNIL a d’autres poissons à frire 😊

Soyons honnête, depuis l’entrée en application du RGPD, combien de fois avons-nous entendu ou lu que les contrôles ne concerneraient que les grandes entreprises ou certains secteurs d’activité ? Beaucoup trop à mon goût ! Quand je parle de contrôle, la première remarque qui m’est faite est le manque d’effectif de notre autorité de contrôle (CNIL pour la France), mais savez-vous qu’aujourd’hui ce n’est plus une seule autorité de contrôle qui peut vous demander des comptes mais 27, dès lors que vous traitez les données de citoyens européens (Article 57, 1, g).

Le champ d’application du RGPD est extra territorial, c’est-à-dire que le règlement s’appliquera à chaque fois qu’un résident européen sera visé par un traitement de données. Le Règlement Général sur la Protection des Données précise que chaque autorité de contrôle pourra effectuer des enquêtes (contrôles) sur son territoire auprès des Responsables de Traitement ou de leurs sous-traitants sur l’application du règlement, y compris sur la base d’informations reçues de la part d’une autre autorité de contrôle ou publique (Article 57, 1, h).

Identification des différents types de contrôle de la CNIL

Rappelons que le contrôle peut s’effectuer de plusieurs manières : sur place, sur convocation, sur pièce ou en ligne. Cela signifie que la CNIL n’a pas forcément besoin de se déplacer sur le site du Responsable de Traitement ou de ses sous-traitants pour contrôler le respect de la réglementation en matière de traitement des données à caractère personnel.

Ce qui se passe avant un contrôle de la CNIL

  • La décision de procéder à une mission de contrôle est prise par le Président de la CNIL, sur proposition du service des contrôles ;
  • La décision de prévenir, ou non, le Responsable de Traitement visé par un contrôle sur place est prise en opportunité. Lorsque le contrôle se déroule sur audition, la convocation doit parvenir à la personne auditionnée au moins 8 jours avant la date du contrôle ;
  • Il peut être demandé au Responsable de Traitement visé par un contrôle de communiquer préalablement des documents (ex. : moyens informatiques utilisés, organisation générale de l’organisme contrôlé) ;
  • Lorsque le contrôle se fait sur place, la décision du Président de la CNIL est notifiée au début du contrôle au Responsable des lieux où se situe le ou les traitements qui font l’objet des vérifications. De même, le Procureur de la République territorialement compétent est informé de la date, de l’heure et de l’objet du contrôle 24 heures avant que celui-ci ne débute ;
  • Lorsque le contrôle est effectué à la demande d’un homologue d’un Etat membre de l’Union européenne, la CNIL en informe le responsable du traitement. Elle l’informe que les informations recueillies ou détenues par la CNIL sont susceptibles d’être communiquées à cette autorité ;
  • Les agents de la CNIL participant aux contrôles sont habilités dans les conditions prévues à l’article 19 de la loi et par les articles 57 à 60 du décret du 20 octobre 2005 modifié. Ils peuvent être assistés d’experts. Certains contrôles nécessitent des habilitations particulières, notamment pour les fichiers couverts par le secret défense.

Ce qui se passe pendant un contrôle de la CNIL

  • Une mission de contrôle vise prioritairement à obtenir copie du maximum d’informations, techniques et juridiques, pour apprécier les conditions dans lesquelles sont mis en œuvre des traitements de données à caractère personnel ;
  • La délégation de la CNIL peut demander communication de tous les documents nécessaires à l’accomplissement de sa mission, quel qu’en soit le support, et en prendre copie ;
  • Les contrôleurs peuvent accéder aux programmes informatiques et aux données, et en demander la transcription pour les besoins du contrôle ;
  • La délégation peut demander copie de contrats (ex : contrats de location de fichiers, contrats de sous-traitance informatique), formulaires, dossiers papiers, bases de données, etc. ;
  • Un procès-verbal de fin de mission est établi à l’issue du contrôle, pour préciser notamment la liste des documents dont une copie a été effectuée.

Quelles sont les origines des contrôles effectués par la CNIL ?

Dans son 44ème rapport annuel d’activité de 2023, la CNIL précise que ce sont 340 contrôles qui ont été menés, dont 157 sur place, 128 en ligne, 38 sur pièce et 17 sur audition. Ces contrôles résultent à 57% de plaintes et signalements, 37% des thématiques prioritaires du programme annuel décidé par les membres de la commission et 6 % sont réalisés dans le cadre des suites de mises en demeure ou de procédure de sanction.

Les applications mobiles dans le viseur de la CNIL en 2025 :

La CNIL a annoncé qu’elle accompagnera sur les prochains mois les professionnels en matière d’applications mobiles afin qu’ils s’approprient au mieux les règles et garanties précisées dans les recommandations de l’autorité et puissent mettre en œuvre les mesures nécessaires pour garantir leur respect effectif.

À partir du début du printemps 2025, la CNIL compte déployer une campagne spécifique de contrôle des applications mobiles pour s’assurer du respect des règles applicables. Cette campagne viendra en complément des vérifications déjà effectuées par la CNIL, notamment dans le cadre de ses thématiques prioritaires de contrôle 2023, sur des applications traçant les utilisateurs à diverses fins en l’absence de leur consentement.

En parallèle, la CNIL continuera à traiter les plaintes dont elle est saisie, à mener les contrôles qui lui paraîtront nécessaires et à adopter, si nécessaire, les mesures correctrices qui s’imposent pour protéger efficacement la vie privée des utilisateurs d’applications mobiles.

Préparer son organisation et ses collaborateurs à un éventuel contrôle est indispensable !

Le DPO désigné par le Responsable de Traitement doit anticiper et mettre en place un processus clair en cas de contrôle inopiné de la CNIL. Ce process doit être connu de tous et figurer, si possible, sur l’intranet de l’entreprise ou sur tout autre support accessible à tout moment. Par exemple, il est indispensable de vérifier, préalablement à un contrôle, l’identité des agents via leur carte professionnelle, afin de leur laisser libre accès à votre établissement.

Pour conclure, il est important de rappeler que les organismes contrôlés sur place, ne peuvent s’opposer à l’action des contrôleurs de la CNIL sous peine d’être sanctionnés d’un an d’emprisonnement et de 15 000€ d’amende (Loi n° 78-17, 6 janvier 1978 modifiée article 51).

Cet article a été rédigé par Nour Habita
Besoin d’aide, pour une préparation à un contrôle de la CNIL, contactez-nous, nos experts RGPD se feront un plaisir de répondre à vos demandes.