Que faire en cas de contrôle de la CNIL ?

La CNIL peut effectuer des contrôles auprès de tout organisme traitant des données à caractère personnel disposant d’un établissement en France, ou concernant des personnes résidant en France.

L’objet du contrôle est de vérifier que les traitements mis en œuvre par une société sont conformes aux dispositions de la loi du 6 janvier 1978 modifiée et du RGPD.

Le contrôle peut notamment avoir pour but de vérifier la conformité des traitements mis en œuvre dans le cadre de la prospection commerciale, au moyen de système automatisé de communications électroniques, en application du code des postes et des communications électroniques (CPCE).

Il existe différents contrôles et différentes issues possibles selon ce que permettent d’établir lesdits contrôles.

Il existe quatre types de contrôle a posteriori que la CNIL peut effectuer :

• Le contrôle en ligne (1) ;
• L’audition sur convocation (2) ;
• Le contrôle sur pièces (3) ;
• Le contrôle sur place (4).

Les agents de la CNIL peuvent effectuer des vérifications, depuis les locaux de la CNIL, en consultant notamment des données librement accessibles ou rendues accessibles directement en ligne. Ces vérifications sont effectuées à partir du site internet de l’entreprise, une application mobile ou un produit connecté, et peuvent, le cas échéant, être réalisées sous une identité d’emprunt. Ce contrôle est de plus en plus répandu à mesure que les entreprises développent des solutions de type application et/ou site de e-commerce. L’issue de ce contrôle dépendra essentiellement de la configuration du système d’information de l’entreprise et des informations que l’entreprise mettra à disposition (CGU/CGV/Politique de confidentialité, mentions légales).

La CNIL est autorisée à convoquer, par courrier, les responsables de l’ entreprise, dans ses locaux, afin de les inviter à répondre à une série de questions liées aux traitements de données à caractère personnel qui sont réalisés. Le plus souvent ce contrôle aura lieu postérieurement à un contrôle en ligne. Il peut être utile de faire intervenir lors de cette audition, le responsable technique de l’entreprise et le responsable juridique (ou le délégué à la protection des données, DPO) s’il y en a.

Les agents de la CNIL adressent alors aux responsables de l’entreprise un courrier recommandé accompagné d’un questionnaire destiné à évaluer la conformité des traitements mis en œuvre par un responsable de traitement ou un sous-traitant. L’organisme visé par le contrôle doit communiquer à la CNIL ses réponses en y joignant tout document utile permettant de les justifier. Il est important de répondre de façon sincère et exacte à tous les points objets des questions pour la bonne et simple raison que la CNIL aura pu et pourra, par la suite, vérifier l’exactitude de tout ou partie d’entre eux lors d’un contrôle sur place.

Une délégation de la CNIL se rend directement au sein des locaux d’un responsable de traitement ou d’un sous-traitant afin de mener des investigations portant sur des traitements de données à caractère personnel. La CNIL a des agents habilités à assurer ces contrôles. La plupart du temps, elle enverra quatre personnes : trois juristes et un auditeur des services d’information. Les contrôles peuvent avoir lieu dans les locaux de l’entreprise de six heures du matin à vingt-et-une heure. Les contrôles de la CNIL peuvent avoir lieu partout où a lieu un traitement de données à caractère personnel. La plupart du temps la CNIL ira au siège social de votre entreprise. Le contrôle se fait en présence du responsable des lieux, c’est-à-dire, le représentant social de la société ou toute personne désignée par l’entreprise en ce sens. L’idéal serait qu’ils soient assistés du responsable juridique ou du DPO, notamment lorsque vous êtes tenu, par le RGPD, d’en avoir un. Les agents de la CNIL peuvent obtenir la communication de documents, demander des renseignements, s’entretenir avec tout personnel et accéder aux programmes informatiques. L’entrave à l’action de la CNIL peut être punit pénalement notamment lorsque la visite a été autorisée par le juge des libertés et de la détention.

Plusieurs issues du contrôle sont possibles.

• Soit la CNIL clôture le contrôle, et estime que l’entreprise est conforme aux obligations auxquelles elle est soumise.
• Soit la CNIL envoie une mise en demeure de réaliser des corrections et de prendre des mesures.
• Soit un projet de sanctions est soumis à l’entreprise contrôlée, par un rapporteur désigné, ainsi qu’à la formation restreinte de la CNIL. Ce projet est suivi d’une phase de contestation par l’entreprise contrôlée.
• Soit une sanction définitive est prononcée (ou non) par la formation restreinte de la CNIL.

Les sanctions peuvent s’élever à 10 millions d’euros ou 2% du chiffre d’affaire mondial de l’entreprise pour le non-respect de certaines obligations imposées par le RGPD telles que l’obligation de procéder à une analyse d’impact, de nommer un DPO, d’établir des registres de traitement ou d’alerter la CNIL sur les failles de sécurité.

Ces sanctions sont doublées (20 millions ou 4% du CA mondial) en cas de non-respect de principes fondamentaux tels que le respect de la finalité du traitement de données, la minimisation ou encore le droit d’accès des personnes à leurs données, etc…

L’entreprise contrôlée peut former un recours devant le Conseil d’Etat dans un délai de 2 mois à compter de la signification de la décision, ou alors de 4 mois si l’entreprise est étrangère.

En tout état de cause, l’entreprise ne devra pas minimiser l’importance de la mise en œuvre par la CNIL de l’un quelconque des contrôles précités au regard des risques ci-dessous envisagés.

A bon entendeur….