Le 2 septembre 2020, la CNIL a publié une charte des contrôles mise à jour le 5 août 2020.
Ce document a pour objectif de donner des informations sur les causes, les objectifs, le déroulement des différents types de contrôles contrôles (c. à.d. sur place, en ligne, sur pièce et convocation) ainsi que les suites données à ces derniers (clôture, mise en demeure, sanctions etc.)
Vous trouverez ci-dessous un résumé de la charte, un article plus détaillé et dédié au contrôle sera prochainement publié dans la section « le RGPD expliqué ».
Quels sont les objectis des contrôles ?
La CNIL peut contrôler tout organisme public ou privé mettant en œuvre des traitements de données personnelles.
Ils ont pour but de vérifier la conformité des organismes contrôlés à la législation sur la protection des données personnelles et d’en apprécier les enjeux émergents.
Dans quel cas la CNIlL décide de procéder à un contrôle ?
La CNIL procède à un contrôle sur décision de la Présidente de la CNIL suite à une réclamation ou signalement, une alerte parue dans la presse ou de sa propre initiative notamment sur la base de son programme de contrôle publié chaque année (voir ici pour 2020). .
Quels sont les pouvoirs de contrôle de la CNIL ?
Les contrôles peuvent être réalisés sur place, sur pièces, sur convocation ou en ligne.
La CNIL peut demander communication de tous documents ou renseignements utiles et nécessaires à l’accomplissement de sa mission à l’exception d’informations protégées par le secret professionnel.
Il s’agit des correspondances avec des avocats, les sources journalistiques et sous certaines conditions le secret médical.
Les agents de la CNIL en charge du contrôle peuvent accéder à tous locaux entre 6 heures à 21heures sans informer préalablement l’organisme contrôlé. Toutefois, si le local est affecté au domicile privé, il ne peut se faire que sur autorisation du juge des libertés et de la détention.
Comment se déroule un contrôle ?
Lors des contrôles sur place, la CNIL notifie l’organisme de la décision de contrôle et de l’ordre de mission.
Le responsable des lieux bénéficie d’un droit d’opposition sauf si la visite a été autorisée par le juge des libertés et de la détention. Toutefois, en pratique, la CNIL demandera cette autorisation pour revenir contrôler.
Un procès verbal est dressé à l’issue de la mission. Des observations peuvent être formulées par l’organismes contrôlé au moment de sa signature ou durant la phase d’instruction (voir ci-après). Ce dernier est également notifié à l’organisme contrôlé dans le délai de 15 jours suivant le contrôle par lettre recommandée avec accusé de réception.
L’organisme doit coopérer avec la CNIL et ne peut s’opposer au contrôle (sous réserve du droit d’opposition au contrôle de certains locaux (cf.précédent)) , le délit d’entrave à l’action de la CNIL est passible d’une peine d’un an d’emprisonnement et 15 000€ d’amendee.
Les autres formes de contrôles se déroulent sous les même principes, c’est-à-dire, notification du contrôle, contrôle, communication de pièces complémentaires et notification d’un procès verbal dans le délai de 15 jours suivant le contrôle par lettre recommandée avec accusé de réception.
Toutefois lorsque le contrôle se fait en ligne, la CNIL procède aux contrôles sans avertir préalablement l’organisme contrôlé et peut accéder à toute information librement accessible en ligne depuis le nom de domaine ou le site web visé par la décision de contrôle. L’agent en charge du contrôle peut tester les liens de désinscription ou des procédures permettant l’exercice des droits en faisant usage d’une identité d’emprunt.
Quelles sont les suites donnés à un contrôle ?
Suite au contrôle et à l’établissement du PV, la CNIL procède à l’instruction du dossier qui peut durer plusieurs mois. L’organisme peut, durant cette période, apporter toute observation et informer la CNIL des changements apportés à son activité de traitement (mise en conformité etc.).
A la fin de la phase d’instruction, la Présidente de la CNIL peut soit décide :
- de clôturer la procédure si aucun manquement ou des manquements peu graves sont constatés ;
- envoyer un avertissemnet ou rappel à l’ordre ; ou
- mettre en demeure l’organisme de se mettre en conformité avec le RGPD.
Si la CNIL décide de mettre en demeure l’oganisme contrôlé, elle peut décider de rendre publique cette mise en demeure et l’assortir d’une obligation de mise en conformité dans un délai allant de 24 heures à 6 mois.
L’organisme contrôlé devra répondre aux observations de la CNIL et démontrer sa mise en conformité.
Si la CNIL n’est pas satisfaite des réponses apportées, en l’absence de réponse à la mise en demeure ou dans les cas de manquements significatifs au RGPD (une mise en demeure préalable n’est pas obligatoire dans ce dernier cas), elle peut saisir la formation restreinte qui, après une procédure contradictoire, pourra sanctionner l’organisme en fonction de ses manquements :
- rappel à l’ordre ;
- injonction de se mettre en conformité assortie d’une astreinte ne pouvant excéder 100 000 Euros par jour de retard ;
- limitation ou suspension du traitement ;
- retrait de certification ;
- suspension de flux de données ;
- sanction administrative (jusqu’à 20 millions d’euros ou 4% du CA Mondial annuel)