La CNIL peut contrôler les organismes à la suite de plaintes qu’elle reçoit, de signalements qui lui sont faits, ou parce qu’elle décide de se saisir d’un cas particulier. En cas de manquements constatés lors du contrôle, le président de la CNIL peut décider d’une mise en demeure ou la formation restreinte peut prononcer différentes mesures ou sanctions.
Qui la CNIL peut-elle contrôler ?
La CNIL peut effectuer des contrôles auprès de tout organisme traitant des données personnelles disposant d’un établissement sur le territoire français, ou concernant des personnes résidant sur le territoire français. Ces missions peuvent être effectuées dans le cadre d’une coopération avec d’autres autorités de protection des données si l’organisme dispose de plusieurs établissements dans l’UE et/ou traite les données personnelles de plusieurs personnes concernées dans l’UE. Le RGPD permet par ailleurs à la CNIL d’effectuer des vérifications auprès des prestataires sous-traitants, en charge de la mise en œuvre d’un traitement, pour le compte d’un organisme responsable de traitement (ex : hébergement, maintenance).
Comment la CNIL décide-t-elle de faire un contrôle ?
Les missions de contrôle effectuées durant l’année par la CNIL peuvent avoir, de manière équilibrée, des origines différentes :
- Le programme annuel des contrôles : chaque année, la CNIL décide de porter son attention sur des grandes thématiques identifiées notamment en raison de leur impact sur la vie privée de nombreuses personnes. Ces thématiques sont portées à la connaissance du grand public et conduisent la CNIL, à l’issue du programme annuel, à communiquer sur les pratiques constatées lors des contrôles réalisés.
- Les réclamations et les signalements : la CNIL est destinataire de réclamations (plaintes) et de signalements (parfois anonymes) qui portent à sa connaissance des faits dont la conformité aux règles relatives à la protection des données personnelles est en question. Des contrôles sont ainsi réalisés pour vérifier ces pratiques et s’assurer, le cas échéant, du respect des droits des plaignants.
- Les dispositifs de vidéoprotection : au titre du code de la sécurité intérieure (CSI), la CNIL est compétente pour contrôler les caméras qui filment des lieux ouverts au public (ex. : centre commercial, musée, etc.) et réserve chaque année une partie de son activité de contrôle à la vérification de ces dispositifs.
Quelle forme un contrôle de la CNIL peut-il prendre ?
- Le contrôle sur place : une délégation de la CNIL se rend directement au sein des locaux d’un responsable de traitement ou d’un sous-traitant afin de mener des investigations portant sur des traitements de données personnelles.
- L’audition sur convocation : un courrier est adressé au responsable de traitement ou au sous-traitant afin que des représentants de l’organisme se présentent, à une date donnée, dans les locaux de la Commission. Ces représentants devront répondre à des questions portant sur le(s) traitement(s) objet des vérifications et, le cas échéant, rendre possible un accès aux ressources informatiques de l’organisme.
- Le contrôle en ligne : les agents de la CNIL effectuent des vérifications, depuis les locaux de la CNIL, en consultant notamment des données librement accessibles ou rendues accessibles directement en ligne, y compris par imprudence, négligence ou du fait d’un tiers. Ces vérifications sont effectuées à partir d’un service de communication au public en ligne (par exemple, sur un site internet, une application mobile ou un produit connecté) et peuvent, le cas échéant, être réalisées sous une identité d’emprunt.
- Le contrôle sur pièces : les agents de la CNIL adressent un courrier accompagné d’un questionnaire destiné à évaluer la conformité des traitements mis en œuvre par un responsable de traitement ou un sous-traitant. L’organisme visé par le contrôle doit communiquer à la Commission ses réponses en y joignant tout document utile permettant de les justifier.
Qui réalise les missions de contrôle de la CNIL ?
L’habilitation est délivrée par la CNIL aux agents de ses services.
Que se passe-t-il avant un contrôle de la CNIL ?
La décision de procéder à une mission de contrôle est prise par le président de la CNIL, sur proposition des services. Lorsque le contrôle se fait sur place, la décision du président de la CNIL est notifiée au début du contrôle au responsable des lieux où se situent le ou les traitements qui font l’objet des vérifications. Lorsque le contrôle se déroule sur audition, la convocation doit parvenir à la personne auditionnée au moins 8 jours avant la date du contrôle. Cette convocation rappelle notamment à la personne convoquée qu’elle est en droit de se faire assister d’un conseil de son choix. Dans le cadre d’un contrôle sur place, le procureur de la République territorialement compétent est informé de la date, de l’heure et de l’objet du contrôle 24 heures avant que celui-ci ne débute. Il peut être demandé à l’organisme visé par un contrôle de communiquer préalablement des documents (par ex. : moyens informatiques utilisés, organisation générale de l’organisme contrôlé).
Que se passe-t-il pendant un contrôle de la CNIL ?
L’objet d’un contrôle est de vérifier que les traitements mis en œuvre par l’organisme sont conformes aux dispositions de la loi Informatique et Libertés modifiée et du RGPD. Le contrôle peut également avoir pour but de vérifier la conformité d’un dispositif de vidéoprotection, en application du CSI, ainsi que celle des traitements mis en œuvre dans le cadre de la prospection commerciale, au moyen de système automatisé de communications électroniques, en application du code des postes et des communications électroniques (CPCE). La délégation de la CNIL peut demander communication de tous documents nécessaires à l’accomplissement de sa mission, quel qu’en soit le support, et en prendre copie. Les agents de la CNIL peuvent s’entretenir avec tout personnel susceptible de détenir des informations utiles pour apprécier la conformité des traitements de données personnelles (par exemple, échanger avec un chef de service, un opérationnel, un informaticien). Les contrôleurs peuvent accéder aux programmes informatiques et aux données, et en demander la transcription pour les besoins du contrôle. La délégation peut demander copie de contrats (par ex. : contrats de location de fichiers, contrats de sous-traitance informatique), de formulaires, de dossiers papiers, de bases de données, etc. Un procès-verbal est établi à l’issue du contrôle et fait état de toutes les informations recueillies par la délégation et des constations qu’elle a réalisées. Il répertorie en annexe tous les documents qui ont été copiés dans le cadre du contrôle.
Lorsque la CNIL est empêchée de contrôler…
Dans le cadre d’un contrôle sur place, lorsqu’un responsable des locaux contrôlés s’oppose à la visite de la délégation, le président de la CNIL peut demander l’autorisation de poursuivre le contrôle au juge des libertés et de la détention (JLD) du tribunal judiciaire territorialement compétent. Par ailleurs, lorsque l’urgence, la gravité des faits à l’origine du contrôle ou le risque de destruction ou de dissimulation de documents le justifie, le président de la CNIL peut demander au JLD du tribunal judiciaire territorialement compétent une autorisation préventive pour effectuer le contrôle, sans que le responsable des locaux en ait été informé et ait eu la possibilité de s’y opposer.
L’article 226-22-2 du code pénal punit d’un an d’emprisonnement et de 15 000 € d’amende l’entrave à l’action de la CNIL.
L’entrave à l’action de la CNIL est réalisée en cas : d’opposition à l’exercice des missions confiées aux membres ou agents habilités lorsque la visite a été autorisée par le juge des libertés et de la détention ;
de refus de communiquer, de dissimulation ou de destruction des renseignements et documents utiles à la mission de contrôle ; de communication d’informations non conformes au contenu des enregistrements tel qu’il était au moment où la demande de la CNIL a été formulée ou présentation d’un contenu sous une forme qui n’est pas directement accessible.
Que se passe-t-il après un contrôle de la CNIL ?
À la suite du contrôle, la CNIL reprend le procès-verbal de contrôle et examine les documents dont une copie aura été effectuée pour apprécier les conditions de mise en œuvre des traitements de données personnelles au regard des dispositions de la loi Informatique et Libertés, du RGPD, du CSI et du CPCE. Au regard de l’analyse effectuée par la CNIL, différentes suites peuvent être apportées au contrôle :
- Lorsque les constatations effectuées n’appellent pas d’observations particulières, la procédure de contrôle est clôturée par un courrier du président de la CNIL.
- Lorsque les investigations menées conduisent à établir que les pratiques de l’organisme contrôlé sont constitutives de manquements peu significatifs, la procédure de contrôle est clôturée par un courrier du président de la CNIL accompagné d’observations (ex. : modification des durées de conservation, des mesures de sécurité, procéder à l’information des personnes, etc.).
- Lorsque les vérifications opérées conduisent à caractériser des manquements plus significatifs, le président de la CNIL peut décider de mettre en demeure l’organisme d’adopter des mesures, dans un délai imparti, pour se mettre en conformité. La mise en demeure peut, selon les circonstances (par ex. : nombre important de personnes concernées, impact sur la vie privée des personne élevé, etc.), être rendue publique. En cas d’absence de réponse à la mise en demeure ou de non-respect de ses injonctions ou alternativement à la mise en demeure, le président de la commission peut engager une procédure de sanction contre l’organisme.
L’engagement d’une procédure de sanction par la CNIL n’exclue pas une dénonciation au Parquet (article 40 du code de procédure pénale).
Source : cnil.fr.
Article complet : Comment se passe un contrôle de la CNIL ?
Restez informés et engagez-vous dans la protection de notre avenir numérique.
