Créée en 1978 par la loi Informatique et Libertés, la CNIL est l’autorité indépendante française chargée de veiller à la bonne application et au respect du RGPD. Pour réaliser au mieux sa mission, la CNIL dispose de plusieurs modalités de contrôle.
Quels sont les différents types de contrôles CNIL et comment peuvent-ils être déclenchés ?
- Le contrôle en ligne : la CNIL contrôle tous les éléments visibles d’un organisme, autrement dit tous les éléments laissés librement ou involontairement accessibles. Par exemple, sur un site internet, elle peut auditer la conformité relative aux cookies, la politique de confidentialité, les mentions d’information présentes au niveau des formulaires de collecte de données ou encore la sécurité des mots de passe. Lors de ce contrôle, la CNIL peut prendre une identité d’emprunt[1]. A l’issue du contrôle, un procès-verbal est dressé.
- Le contrôle sur place : la CNIL se présente dans n’importe quels locaux de l’organisme où des traitements de données personnelles sont réalisés (siège, succursales, magasins, agences, etc.). Elle peut aussi se présenter dans les locaux d’un sous-traitant pour vérifier la conformité d’un traitement réalisé pour le compte d’un responsable de traitement. La durée du contrôle n’est pas définie et la CNIL peut se présenter plusieurs jours de suite. A l’issue du contrôle, un procès-verbal est dressé.
- L’audition sur convocation : la CNIL adresse un courrier à un organisme en vue de convoquer des représentants à une date précise, pour les entendre sur les traitements faisant l’objet de vérifications. A l’issue du contrôle, un procès-verbal est dressé.
- Le contrôle sur pièces : la CNIL adresse un courrier accompagné d’un questionnaire à un organisme, en vue d’auditer la conformité de ses traitements. La réponse de l’organisme doit être apportée dans un délai déterminé et doit être accompagnée de tout document pouvant justifier les réponses de l’organisme.
Ces quatre formes de contrôles peuvent se suivre et se compléter. Par exemple, en juillet 2019, la société Carrefour Banque a d’abord fait l’objet d’un contrôle en ligne qui s’est suivi d’un contrôle sur place dans les locaux de la société.
Lors d’un contrôle, la CNIL peut auditer un traitement en particulier, un ensemble de traitements, ou dans des cas plus rare, l’ensemble de la conformité d’un organisme.
Un contrôle CNIL, quel que soit sa forme, peut survenir pour plusieurs raisons : plaintes et réclamations des personnes concernées, articles parus dans les médias, notifications de violation de données, dispositifs de vidéoprotection, suite au contrôle d’un sous-traitant ou encore à l’initiative de la CNIL en se basant sur son programme annuel de contrôles.
A ce jour, les principales sources de contrôle sont les plaintes et les réclamations[2], découlant dans la majorité des cas d’un non-respect des droits des personnes concernées[3]. A titre d’exemple, en mai 2019, la CNIL a contrôlé la société Monsanto à la suite de sept plaintes de personnes concernées et plusieurs publications dans les médias, pour un manquement à l’obligation d’information des personnes concernées (article 14 du RGPD). La société a été sanctionnée en juillet 2021 d’une amende de 400 000€.
[1] Art. 19 de la loi Informatique et Libertés
[2] Les plaintes et les réclamations représentent à elles seules plus de 40% des contrôles
[3] Les droits des personnes concernées sont exposés au chapitre III du RGPD
Comment anticiper le contrôle ?
Documenter sa conformité :
L’organisme doit avoir sous la main tous les documents que la CNIL est susceptible de demander. Il est donc important de documenter sa conformité et de tenir cette documentation à jour. Cela passe notamment par :
- La rédaction et la tenue à jour du registre des traitements;
- La réalisation d’analyses d’impact quand les traitements le nécessitent;
- La tenue à jour du registre des violations;
- La tenue à jour des contrats;
- La rédaction et la tenue à jour des politiques de confidentialité;
- La rédaction et la tenue à jour d’une politique des durées de conservation;
- La rédaction et la tenue à jour d’une doctrine interne relative à la gestion des données personnelles, reprenant et explicitant toute l’organisation mise en œuvre autour du sujet de la protection des données personnelles au sein de l’organisme. Il est important de tracer les décisions du responsable de traitement : articulation du registre des traitements, choix des mesures de sécurité, organisation du réseau des référents RGPD, etc.
- La rédaction et la mise en œuvre mise en place de procédures, telles que : une procédure de privacy by design, une procédure de gestion des exercices de droits des personnes concernées, une procédure de gestion des violations de données, une procédure de gestion d’un contrôle CNIL et des procédures propres à chaque département (par exemple, rédiger une procédure relative à la gestion des centres d’appels),
- La mise en œuvre d’un plan d’action annuel. Lors de son élaboration, il est conseillé de prendre en compte les éléments de veilles suivants : le programme annuel de contrôles de la CNIL, permettant de prendre connaissance des secteurs et des sujets de contrôles prioritaires pour l’année à venir, les délibérations CNIL, les référentiels CNIL, les publications de la Commission Européenne et du CEPD. A titre d’exemple, il est important d’ajouter à son plan d’action 2022 la mise à jour des Clauses Contractuelles Types à partir des nouveaux modèles adoptés par la Commission, avant le 27 décembre 2022[2].
- La mise en œuvre d’un bilan annuel, qui retrace les actions de l’année passée, les sujets traitées, les risques identifiés ou encore les mesures envisagées pour couvrir les risques.
Organiser et prévoir son contrôle :
Pour anticiper un contrôle CNIL et en assurer la meilleure gestion lorsqu’il survient, il est important de s’y préparer en amont. Cela passe notamment par :
- La rédaction et la communication d’une procédure de « gestion d’un contrôle CNIL » ;
- La constitution d’une cellule de crise ;
- L’identification des personnes pouvant être impliquées dans un contrôle ;
- La sensibilisation des collaborateurs pouvant être impliqués et audités en cas de contrôle.
- La définition du matériel qui sera nécessaire lors du contrôle, comme par exemple l’identification d’une salle de réunion dédiée.
- La réalisation de contrôles fictifs, pour s’assurer que l’organisme est prêt à répondre à un contrôle CNIL.
Toutes les sessions de sensibilisation réalisées, doivent-être recensées et l’organisme doit en conserver la preuve. Cela fait également partie des mesures organisationnelles justifiant la conformité de l’organisme. La description des mesures susmentionnées doit se retrouver dans la procédure « gestion d’un contrôle CNIL » d’un organisme.
[1] Art. 5, 2. du RGPD
[2] Art. 4 de la décision d’exécution (UE) 2021/914 de la Commission, 4 juin 2021
Comment gérer le contrôle lorsqu’il survient ? Zoom sur le contrôle sur place
Accueillir et vérifier l’identité des agents de la CNIL
Dans le cadre d’un contrôle sur place, les agents de la CNIL peuvent se présenter dans les locaux de l’organisme de 6h à 21 heures[1] et ce sans notification préalable de l’organisme contrôlé.
A leur arrivée, il est important pour des raisons de sécurité de vérifier l’identité des agents, la lettre de mission présentée ainsi que leur habilitation à effectuer le contrôle.
- Les agents habilités à effectuer des contrôles ont été listés par la CNIL dans la Délibération n° HAB-2021-003 du 23 septembre 2021.
- Les agents qui effectuent des contrôles sur des traitements mentionnés à l’article 31 de loi Informatique et Libertés[2], doivent bénéficier d’une habilitation spécifique délivrée par le Premier ministre. Les agents concernés ont été listés dans la Décision du 31 mai 2021.
Contacter et prévenir le Data Protection Officer (DPO)
Etant le point contact avec les autorités de contrôle[4] et garant de la conformité au RGPD, le DPO doit être informé de l’arrivée des agents de la CNIL. Son rôle est d’accompagner, d’encadrer et de présenter la documentation permettant de démontrer la mise en place d’actions assurant une conformité effective.
En cas d’absence du DPO ou si l’organisation n’a pas nommé de DPO, il est important d’avoir identifié une autre personne compétente pour encadrer un contrôle et avertie sur le sujet de la protection des données personnelles, qui sera à contacter lors de l’arrivée des agents.
Coopérer avec l’autorité de contrôle
Lors du contrôle, les agents habilités de la CNIL peuvent être amenés à convoquer des personnes pouvant leur fournir des informations pertinentes sur les traitements faisant l’objet de vérifications. Il est important que ces personnes coopèrent avec l’autorité en répondant aux questions et en n’entravant pas le travail des agents.
En vertu de l’article 31 du RGPD, les responsables de traitement et les sous-traitants ainsi que leurs représentants, ont obligation de coopérer avec l’autorité de contrôle à la demande de celle-ci. L’absence de coopération avec l’autorité de contrôle peut donc augmenter le risque de sanction[5]. Ce fut le cas cette année pour la Société nouvelle de l’annuaire français, qui – notamment – par absence de coopération avec la CNIL s’est vu infligée une sanction de 3 000 euros.
A noter que le délit d’entrave à un contrôle de la CNIL est passible d’une amende de 15 000€ et d’une peine d’emprisonnement d’un an[6].
Fournir la documentation demandée
Les agents de la CNIL peuvent demander d’avoir accès et prendre copie de tout document nécessaire à l’évaluation de la conformité de l’organisme : registres, procédures, politiques, contrats, logiciels, bases de données, etc. Il faut veiller à leur fournir tout document utile à cette fin et leur donner aux informations permettant de justifier la mise en place des mesures techniques et organisationnelles appropriées. Mais attention à ne fournir que les informations demandées ou jugées nécessaires, afin de respecter le périmètre du contrôle.
Un organisme ne peut pas refuser de communiquer des documents sous couvert du secret professionnel, sauf si les informations relèvent de relations entre un avocat et son client, ou sont couvertes par le secret de traitements journalistiques. Pour ce qui est des données individuelles relevant du secret médical, elles ne pourront être communiquées qu’en présence et sous l’autorité d’un médecin[7].
Relire et signer le procès-verbal
A la fin de chaque de journée de contrôle, un procès-verbal est rédigé par la CNIL reprenant tous les éléments collectés, les constats déduits et les copies des documents présentés. Le procès-verbal doit être signé par les agents habilités et le représentant de l’organisme contrôlé. La relecture du procès-verbal avant signature est nécessaire afin de formuler toutes observations et commentaires au sujet du contrôle.
A l’issue d’un contrôle, la CNIL peut demander la communication d’information complémentaire ou réaliser des visites supplémentaires.
[1] Art. 19 de la loi Informatique et Libertés
[2] « Les traitements de données à caractère personnel mis en œuvre pour le compte de l’Etat et : 1° Qui intéressent la sûreté de l’Etat, la défense ou la sécurité publique ; 2° Ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté. »
[3] L’information au droit d’opposition et ce droit d’opposition ne s’appliquent pas lorsque le contrôle a lieu sur autorisation préalable du juge des libertés et de la détention
[4] L’art. 38 missionne le DPO de coopérer avec l’autorité de contrôle
[5] Mentionné à l’art. 83 du RGPD, le degré de coopération avec l’autorité de contrôle est un des éléments de décision dans la détermination d’une amende administrative
[6] Art. 226-22-2 du Code pénal.
[7] Art. 19 de la loi Informatique et Libertés
