RGPD : la charte des contrôles de la CNIL
2min -Rappel sur les contrôles sur le traitement des données personnelles
La CNIL a plusieurs missions et pouvoirs, dont la possibilité de contrôler et de sanctionner des organismes qui ne respectent pas le Règlement général sur la protection des données (RGPD) ou la loi Informatique et Libertés.
Ces contrôles permettent également d’apprécier des enjeux émergents en matière de protection des données et de vie privée des personnes. Les vérifications sont particulièrement encadrées.
Elles peuvent s’effectuer sur place, sur convocation dans ses locaux, en ligne ou sur pièces.
Si les plaintes et réclamations sont une source importante de contrôles, la CNIL peut également effectuer des investigations de sa propre initiative, par exemple en réponse à l’actualité.
En outre, elle établit chaque année un programme des thématiques prioritaires pour les contrôles à venir.
L’objectif de la charte des contrôles
En raison des enjeux particulièrement forts de ces contrôles, il est essentiel que les organismes concernés comprennent le déroulement de ces investigations et sachent comment la CNIL peut intervenir.
La charte des contrôles de la CNIL a ainsi pour objectif de rappeler, aussi précisément que possible, les droits et obligations des organismes faisant l’objet d’un contrôle, au regard notamment de la loi Informatique et Libertés et du RGPD.
La CNIL précise également le déroulement et les suites d’un contrôle, quel qu’en soit sa forme, ainsi que les principes de bonne conduite à suivre dans ce cadre.
Les pouvoirs des agents de la CNIL
La CNIL rappelle que ses agents ont notamment la possibilité :
- d’accéder à tous lieux, locaux, enceintes, installations ou établissements servant à la mise en œuvre d’un traitement de données personnelle
- de se faire communiquer tous renseignements ou documents utiles
Les agents de la CNIL ont aussi des obligations : respect du secret professionnel, de principes de bonne conduite, etc…
Les droits et obligations des entreprises contrôlées
La charte de la CNIL rappelle les droits et obligations de l’entreprise contrôlée et rappelle notamment que :
- l’employeur ne peut pas refuser un contrôle mais il a la possibilité, dans le cadre d’un contrôle sur place, de s’opposer à la visite de ses locaux par la CNIL, sauf si cette visite a été autorisée par un juge des libertés et de la détention
- l’employeur peut se faire assister par tout conseil de son choix lors d’un contrôle sur place ou d’une audition sur convocation
Le déroulement du contrôle de la CNIL
Généralement, l’employeur n’est pas prévenu du contrôle. La CNIL décrit le déroulement des différents types de contrôle.
Ainsi, par exemple, un contrôle sur place se déroule de la manière suivante :
- mise en place d’entretiens destinés à recueillir des informations relatives à l’entreprise et aux traitements mis en œuvre
- constats et recueils des pièces permettant d’apprécier la conformité à la loi Informatique et Libertés et au RGPD des traitements de données mis en œuvre
- établissement d’un procès-verbal, indiquant notamment les informations communiquées et les constatations opérées, que l’employeur signera en y formulant le cas échéant des observations
Une copie du PV est remise en mains propres à l’employeur à la fin du contrôle.
Pendant la phase d’instruction, qui peut se dérouler sur plusieurs mois, un échange s’instaure entre la CNIL et le responsable du traitement. Ainsi, par exemple, la CNIL demande des informations complémentaires, le responsable peut lui en adresser.
L’issue du contrôle
La procédure est close :
- si aucun manquement n’est établi
- si des manquements sans gravité sont constatés, la présidente de la CNIL faisant alors des recommandations à l’entreprise pour qu’elle y remédie
Si un ou des manquements sont constatés, la présidente de la CNIL peut mettre en demeure l’employeur de se conformer aux dispositions du RGPD et de la loi Informatique et Libertés.
S’il ne s’y prête pas dans le délai imparti (entre 24 heures et 6 mois), la procédure peut déboucher sur une sanction administrative.
La CNIL peut infliger une amende administrative, dont le montant peut s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.
Quelle que soit l’issue du contrôle, un nouveau contrôle est toujours possible.