AccueilEntrepriseVie des entreprisesContrôle de la Cnil

Contrôle de la Cnil

Dans le cadre du campus AFJE, qui s’est tenu cette année du 24 au 26 novembre, une session était consacrée aux bonnes pratiques pour se préparer et réagir au mieux à un contrôle de son entreprise par la Cnil.
Contrôle de la Cnil
© Adobe Stock

EntrepriseVie des entreprises Publié le ,

Présentée par Merav Griguer, avocate associée au sein du groupe International Privacy & Data Protection de Bird &Bird, et Geoffroy Kohler Data Protection Officer (DPO) chez Lactalis, cet atelier à destination des chefs d’entreprise et responsables du traitement de données personnelles avait pour objectif de mieux appréhender un contrôle de la Commission nationale de l’informatique et des libertés (Cnil). Les deux experts ont pu prodiguer aux participants les bons comportements à avoir en cas de contrôle sur le respect des règles de protection des données personnelles.

Pourquoi un contrôle et lequel ?

Depuis le Règlement européen des données personnes (RGPD), la protection des données personnes s’est renforcée, dans les structures publiques comme privées. Les citoyens sont eux-mêmes très sensibles à la protection de leurs données personnelles. Preuve en est, la Cnil a recensé 9,6 millions de visites sur son site Internet en 2020, soit +21 % par rapport à 2019 et +141 % par rapport à 2017, et 13 585 plaintes ont été déposées auprès d’elle l’an dernier, (+62,5% vs 2017). Dans le rapport annuel 2019 de la Commission, sa présidente Marie-Laure Denis avait alors affirmé que « la crédibilité du RGPD repose sur une politique de contrôles et de sanctions efficace ». Ainsi, toute entreprise doit se mettre en conformité avec le RGPD et se préparer à un éventuel contrôle de l’autorité.

Les contrôles de la Cnil peuvent être de quatre sortes. Premièrement, en ligne, depuis ses locaux, sans la présence du responsable du traitement. Ce dernier est ensuite informé du contrôle par un procès-verbal de constatations en ligne. Le contrôle peut aussi se faire sur pièces, après communication de documents sur demande écrite de la Cnil, ou bien par audition du responsable du traitement dans les locaux de la Cnil. Enfin, le contrôle peut être réalisé sur place, par les agents habilités, dans les locaux du responsable du traitement.

Le contrôle, décidé exclusivement par la présidente de la Cnil, peut viser un organisme traitant des données personnelles disposant d’un établissement en France, mettant en œuvre des traitements concernant des personnes résidant en France ou encore le sous-traitant d’un responsable du traitement.

Conséquences d’un contrôle Cnil

L’entreprise peut être défavorablement impactée par un contrôle de la Cnil. En effet, les risques sont divers : un avertissement ou un rappel à l’ordre, un risque opérationnel entrainant une mise en demeure de cesser l’infraction et la suspension du traitement, un risque financier pouvant atteindre 20 millions d'euros ou 4 % du chiffre d’affaires annuel mondial ou encore un risque de publicité de la sanction, qui entrainerait une mauvaise réputation image voire une perte de confiance des clients. Enfin, le risque pénal n’est pas à négliger puisque les sanctions peuvent aller jusqu’à 5 ans d'emprisonnement et 300 000 € d'amende pour les personnes physiques (1,5 million d’euros pour les personnes morales).

A noter qu’un recours peut être formé contre une décision de la Cnil, sous deux mois à partir de la date de notification de la décision, devant le Conseil d’État ou par un référé-suspension devant le juge administratif.

Phase 1 : préparation

Pour bien se préparer à un contrôle Cnil, mieux vaut encore tout faire pour l’éviter ! Plusieurs conseils pour cela.

Tout d’abord, il convient d’assurer la conformité de ses sites web et applications (bannière cookies, mentions d’informations, recueil du consentement, politique de données personnelles etc.) et de respecter les droits des personnes concernées. Cela implique, par exemple, de répondre aux demandes d’exercices de droits ou encore de mentionner les coordonnées du DPO dans les formulaires de collecte. L’organisation interne a également toute son importance. Il est opportun de définir une procédure interne de contrôle, de constituer une cellule de crise, de désigner des responsables dans chaque service, de fournir les moyens matériels dédiés aux contrôles mais aussi de sensibiliser les équipes, simuler des contrôles et tester la procédure de contrôle.

Dans le cadre d’un contrôle, le DPO, la direction juridique et l’avocat sont des acteurs incontournables. L’assistance de ce dernier est d’ailleurs fortement recommandée.

Phase 2 : réaction

Les contrôles Cnil se déroulent entre 6h et 21h, dans tous les lieux, locaux, enceintes, installations ou établissements qui intéresse l’autorité, également chez les prestataires ou sous-traitants de la personne contrôlée. Toutefois, la Cnil ne peut avoir accès aux parties des locaux affectées au domicile privé.

Sur place, les agents habilités ont plusieurs missions, notamment vérifier que la réglementation applicable de protection des données à caractère personnel est respectée et rechercher des traitements illicites. A leur arrivée, il est opportun que le personnel d’accueil vérifie les identités des agents et les fasse patienter pendant qu’il informe le référent de leur présence. Il peut également indiquer aux agents que les responsables sont en réunion et qu'un message leur a été laissé. En effet, les agents peuvent attendre15 minutes l’arrivée du responsable de traitement. Ce dernier doit profiter de ce délai pour activer une cellule de crise et mettre en œuvre la procédure de contrôle mais aussi s’organiser en interne, voire demander à son avocat de venir sur place.

Pour un tel contrôle, un référent doit être désigné, en principe le DPO, ainsi qu’au moins 2 remplaçants (un responsable compliance ou un juriste). Par contre, il ne faut pas faire participer une personne de l’IT sans demande préalable de la Cnil. Avec les agents habilités, il faut collaborer, pour ne pas se faire accuser d'entrave, qui est un délit sanctionné d’un an de prison et de 15 000 euros d’amende, mais ne pas non plus faire les questions et les réponses, ni répondre au-delà des questions posées ou répondre précipitamment. Le DPO doit être vigilant à l’égard de celles posées par « simple curiosité » et ne pas oublier que le contrôle ne se termine qu’une fois l’agent hors de l’établissement. Toute question a son importance et tout ce qui est dit peut se retourner contre le DPO, qui a toutefois le droit de ne pas avoir toutes les réponses.

Pour rappel, la Charte des contrôles Cnil énonce qu’ « il est attendu des personnes sollicitées dans le cadre d’une mission de contrôle qu’elles adoptent une attitude professionnelle, neutre et courtoise vis-à-vis des contrôleurs ».

Opposition et exception au devoir de collaboration

La Cnil doit informer le responsable de locaux professionnels privés de son droit d'opposition à la visite. Si ce dernier en fait usage, le contrôle ne peut se dérouler qu'après l'autorisation du juge des libertés et de la détention (JLD). En cas d'urgence, d’une certaine gravité des faits à l'origine du contrôle ou de risque de destruction ou de dissimulation de documents, la visite peut avoir lieu sans que le responsable des locaux en ait été informé, sur autorisation préalable du JLD. Dans ce cas, le responsable ne peut s'opposer à la visite.

Il existe également des exceptions au devoir de collaboration du DPO. Comme dit précédemment, il a le droit de s’opposer à la visite de locaux professionnels privés. Il peut aussi opposer à l’agent le secret professionnel, dans certains cas définis, qui concernent les informations couvertes par le secret professionnel dans le cadre de ses relations avec son avocat, le secret des sources des traitements journalistiques et le secret médical (sous certaines conditions).

A la fin du contrôle, le DPO doit prendre le temps de relire le procès-verbal, d’apporter des corrections, des précisions ou des informations supplémentaires si nécessaire, et enfin de faire un compte-rendu interne, pour garder la trace la plus précise possible du déroulement du contrôle. Cela permettra ensuite de formuler des observations adéquates en réponse.

Il faut avoir conscience qu’un contrôle Cnil n’exclut pas un second, en ligne ou une nouvelle fois sur place. Au mieux, l’autorité demande des compléments d’information voire clôture le dossier. Au pire, elle met en demeure l’entreprise de cesser ses manquements ou dénonce sa situation au Parquet.

Partager :

Auteur

Ses derniers articles

Articles similaires
Abonnez-vous

  • Abonnement intégral papier + numérique

  • Nos suppléments et numéros spéciaux

  • Accès illimité à nos services

S'abonner
Journal du 17 mars 2023

Journal du17 mars 2023

Journal du 10 mars 2023

Journal du10 mars 2023

Journal du 03 mars 2023

Journal du03 mars 2023

Journal du 24 février 2023

Journal du24 février 2023

S'abonner
Envoyer à un ami
Connexion
Mot de passe oublié ?