Comme nous vous l'avons déjà signalé, la Commission nationale de l'informatique et des libertés ( CNIL ) est entrée dans ce qu'elle appelle une année de répression. En effet, le nombre de réclamations s'est multiplié depuis l'entrée en vigueur du Règlement Général sur la Protection des Données ( RGPD ) il y a plus d'un an, laissant plus de latitude à l'autorité administrative pour effectuer davantage de contrôles.
Il serait donc bon de leur rappeler comment ils fonctionnent.
Où commencent les contrôles CNIL ?
Tout d'abord, il convient de noter que la Commission procède chaque année à des centaines de contrôles. Cependant, tous ne sont pas initiés par l'autorité administrative elle-même.
En effet, chaque année, la CNIL définit plusieurs grands thèmes qu'elle suivra de près et procédera à des contrôles en cas de soupçon, ce qui est de sa propre initiative.
Pour rappel, les trois grands thèmes de cette année 2019 sont :
- Respect des droits des personnes : lorsque des citoyens sollicitent une entreprise (comme le droit à l'effacement, à la rectification ou à l'accès à leurs données), l'entreprise doit répondre dans un délai donné. Ici, la CNIL veille à ce qu'une réponse claire et complète soit apportée aux citoyens.
- Le traitement des données des mineurs.
La répartition des responsabilités entre responsables de traitement et sous-traitants : auparavant, la Commission ne pouvait sanctionner que les responsables de traitement. Depuis l'arrivée du RGPD, les sous-traitants ont aussi leur part de responsabilité, ce qui permet une répartition plus juste des sanctions en cas de problème.
- Cependant, les réclamations et les signalements d'individus comme vous et moi sont également à l'origine de nombreux contrôles. Lorsqu'un organisme est cité à plusieurs reprises, la sonnette d'alarme est tirée et la CNIL va probablement se pencher sur la question.
Des dispositifs de vidéoprotection et des investigations suite à des procédures fermées sont ajoutés pour voir si les organismes sanctionnés ont adopté la conformité. Vous aurez un aperçu des facteurs déclenchant un contrôle CNIL.
Qui peut être la cible d'un contrôle CNIL ?
En termes simples, l'autorité administrative a le droit de contrôler toute organisation amenée à traiter des données à caractère personnel, y compris de nombreux établissements sur le territoire national.
Quelles sont les différentes formes possibles de contrôle CNIL ?
Lorsque la Commission le décide, elle peut procéder à des contrôles, qui sont répartis en quatre types :
- Contrôles sur place : des représentants de l'autorité administrative se rendent dans les locaux de l'établissement visé et enquêtent sur le traitement des données de l'entreprise.
- Contrôles en ligne : ici, les agents de la CNIL effectuent un contrôle à distance, observant les données librement accessibles qu'ils peuvent trouver en ligne. En cas de défaillance visible à distance, la Commission peut procéder à un constat.
- Convocations aux contrôles : contrairement aux contrôles sur place, cette fois, les dirigeants des établissements visés doivent se rendre à une convocation envoyée par courrier. L'objectif reste de vérifier le traitement des données par des questions ou en demandant un accès direct aux ressources informatiques de l'entreprise.
Document contrôle aucune rencontre physique pour ces derniers, juste un courrier adressé à un responsable de traitement ou à un sous-traitant, accompagné d'un questionnaire permettant d'évaluer la conformité des traitements mis en œuvre par les personnes concernées. Ce questionnaire est généralement accompagné de demandes de documents justifiant de l'intégrité des réponses obtenues.
- Chacun de ces contrôles nécessite l'établissement d'un procès-verbal afin que les agents de la Commission puissent rendre compte de manière factuelle des informations dont ils ont eu connaissance, à l'exception des contrôles documentaires.
Ces quatre formes de contrôles peuvent être réalisées indépendamment mais peuvent aussi être complémentaires. Ainsi, l'autorité administrative peut initier ses démarches par un contrôle en ligne, puis procéder à un contrôle sur pièces suivi d'un contrôle sur place si nécessaire.
Et si je décide de m'opposer au contrôle CNIL ?
Je déconseillerais certainement de s'opposer à un contrôle CNIL car c'est une voie risquée.
Au mieux, s'opposer à un contrôle ne fera que retarder le processus. La Commission devra demander l'autorisation de poursuivre la gestion au juge des libertés et de la détention (JLD), qui autorisera sans doute la poursuite du contrôle.
Cependant, il est également possible que la CNIL ait décrété qu'une situation est qualifiée d'urgence en raison de la gravité des faits à l'origine du contrôle ou du risque de destruction et de dissimulation de documents. Toujours en demandant au préalable l'autorisation du JLD, l'autorité administrative peut exercer son pouvoir sans en informer le responsable de l'établissement contrôlé, rendant toute opposition impossible.
Outre le fait de ne pas échapper au contrôle, quiconque tentera de s'y opposer pourra être puni d'un an d'emprisonnement et de 15 000 € d'amende pour entrave à l'action de la CNIL.
S'opposer au bon déroulement des missions de la Commission lorsqu'un juge a autorisé une visite est donc considéré comme une entrave, mais aussi :
- Refus de communiquer, dissimulation ou destruction d'informations précieuses pour le contrôle
- Communication des mentions non conformes au contenu des enregistrements tel qu'il se présentait au moment de la demande CNIL.
Et enfin, que se passe-t-il après un contrôle CNIL ?
Il n'y a pas ou peu d'observations, auquel cas le dossier est clos et une lettre est envoyée.
Soit il y a un manquement grave, et dans ce cas, deux situations sont possibles :
- Le président de la CNIL peut émettre un avertissement. Dès lors, l'organisme doit s'y conformer dans un délai défini par la CNIL. Si le manquement persiste, une sanction sera prononcée.
- La formation restreinte (l'organe de la CNIL chargé de prononcer les sanctions) peut, sans sommation, prononcer directement une sanction à l'encontre de l'organisme mis en cause.
Dans les deux cas, la sanction peut être non pécuniaire, comme un simple rappel, une injonction sous astreinte… Ou financière, auquel cas le montant peut aller jusqu'à 4 % du chiffre d'affaires global de l'entreprise, soit 20 millions d'euros.
Enfin, à terme, la Commission peut décider de rendre ses décisions publiques ou non, par exemple via un article sur son site internet.
En effet, tout cela ne semble pas très agréable si cela vous arrive… Cependant, il existe un moyen simple d'éviter de telles sanctions : la conformité, et au Axeptio , on s'en occupe !
