Procédure de contrôle par la CNIL
La Commission Nationale de l’Informatique et des Libertés (CNIL) peut contrôler tout organisme privé ou public traitant des données à caractère personnel afin de vérifier que le traitement des données est conforme au RGPD.
Découvrons ensemble le déroulement de cette procédure.
Les formes du contrôle
Le contrôle effectué par la CNIL peut se présenter sous 4 formes différentes :
-
Sur place :
« Les membres de la Commission nationale de l’informatique et des libertés ainsi que les agents de ses services habilités (…) ont accès, de 6 heures à 21 heures, pour l’exercice de leurs missions, aux lieux, locaux, enceintes, installations ou établissements servant à la mise en œuvre d’un traitement de données à caractère personnel. » (loi 78-17 du 6 janvier 1978 modifiée, art. 19.I, al. 1).
-
Sur audition :
« (…) La formation restreinte peut entendre toute personne dont l’audition lui paraît susceptible de contribuer utilement à son information, y compris les agents des services de la commission » (loi 78-17 du 6 janvier 1978 modifiée, art. 22 al. 1er).
-
Sur pièces :
Les membres de la CNIL « peuvent demander communication de tous documents nécessaires à l’accomplissement de leur mission, quel qu’en soit le support, et en prendre copie » (loi 78-17 du 6 janvier 1978 modifiée, art. 19.III, al. 1).
-
En ligne :
« En dehors des contrôles sur place et sur convocation, ils peuvent procéder à toute constatation utile ; ils peuvent notamment, à partir d’un service de communication au public en ligne, consulter les données librement accessibles ou rendues accessibles, y compris par imprudence, par négligence ou par le fait d’un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données le temps nécessaire aux constatations ; ils peuvent retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle » (loi 78-17 du 6 janvier 1978 modifiée, art. 19.III, al. 3). Ils peuvent « réaliser toute opération en ligne nécessaire à leur mission sous une identité d’emprunt. À peine de nullité, leurs actes ne peuvent constituer une incitation à commettre une infraction (loi 78-17 du 6 janvier 1978 modifiée, art. 19.III, al. 4) ».
Chacune de ces modalités de contrôle peut être utilisée de manière complémentaire. Ainsi, la CNIL pourra par exemple initier ses vérifications en ligne et les poursuivre sur place. Un contrôle sur pièces pourra également être opéré préalablement à un contrôle sur place.
Les motifs du contrôle
- Demande de contrôle formulée par l’autorité de contrôle d’un autre État membre
- Plainte, réclamation ou pétition concernant la mise en œuvre du traitement des données
- Demande d’avis ou d’autorisation de procéder au traitement
- Vérification suite à un précédent contrôle, à une mise en demeure ou une sanction
- Contrôle des caméras qui filment des lieux ouverts au public, afin de s’assurer du respect des dispositifs de vidéoprotection
- Thématique retenue pour le programme annuel de contrôle. Pour l’année 2021, les 3 grandes thématiques de contrôle sont : la sécurité des données de santé, la cybersécurité des sites web et l’utilisation des cookies
Le droit de la personne contrôlée
Il est possible de s’opposer à un contrôle sur place si les personnes habilitées ne sont pas munies d’une ordonnance du juge des libertés. Le responsable des lieux peut demander que la visite soit autorisée par le Juge des libertés et de la détention du tribunal judiciaire du ressort des locaux à visiter (loi 78-17 du 6 janvier 1978 modifiée, art. 19.II, al. 1).
Pour ce qui est du secret, il ne peut leur être opposé sauf concernant les informations couvertes par le secret professionnel applicable aux relations entre un avocat et son client, par le secret des sources des traitements journalistiques ou, sous réserve du deuxième alinéa du présent III, par le secret médical. » (loi 78-17 du 6 janvier 1978 modifiée, art. 19.III).
La mise en conformité
Si les manquements relevés peuvent faire l’objet d’une mise en conformité, le président de la CNIL prononce une mise en demeure, dans le délai fixé (loi 78-17 du 6 janvier 1978 modifiée, art. 20.II.1° à 4°) :
- de satisfaire aux demandes présentées par la personne concernée
- de mettre les opérations de traitement en conformité avec les dispositions applicables
- à l’exception des traitements qui intéressent la sûreté de l’État ou la défense, de communiquer à la personne concernée une violation de données à caractère personnel
- de rectifier ou d’effacer des données à caractère personnel, ou de limiter le traitement de ces données
Les sanctions en cas de manquement sérieux
Le président de la Commission Nationale de l’Informatique et des Libertés peut également, en complément de la mise en demeure, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l’une ou de plusieurs des mesures suivantes :
- Un rappel à l’ordre
- Une injonction de se mettre en conformité avec les dispositions de la loi informatique et libertés et du RGPD, le non-respect de l’injonction étant passible d’une amende administrative pouvant s’élever jusqu’à 20 M€ ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu (RGPD art. 83, § 5.e et 83, § 6)
- L’interdiction, la limitation temporaire ou définitive du traitement
- Le retrait d’une certification
- La suspension des flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale
- La suspension partielle ou totale de la décision d’approbation des règles d’entreprise contraignantes
- Une amende administrative d’un montant maximal de 10 M€, ou 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent si ce montant est plus élevé et jusqu’à 20 M€ et 4 % du chiffre d’affaires mondial total de l’exercice précédent dans différents cas énoncés à l’article 83.5 du RGPD, dont par exemple la violation des bases du traitement, la violation des droits des personnes concernées, la violation des règles de transfert des données à un destinataire situé dans un pays tiers ou à une organisation internationale (loi 78-17 du 6 janvier 1978 modifiée, art. 20.III ; voir fiche 7 « Sanctions en cas de non-conformité »).
La personne ou l’entreprise visée par les sanctions dispose d’un délai de 2 mois à compter de la notification de la décision de la CNIL ou de sa publication pour former un recours devant le Conseil d’État, qui statue en pleine juridiction. Ce recours vise à demander l’annulation ou la réformation de la décision de la CNIL, il n’est pas suspensif.
