Comment préparer un contrôle CNIL (et agir pour l’éviter)

controle CNIL

Les contrôles de la CNIL 

Avec l’essor de l’informatique, nos données personnelles sont présentes sur de nombreux supports. Il y a 45 ans, en 1978, pour que ces données soient protégées et pour la protection de leur usage, une loi informatique des libertés a été votée. C’est aussi à cette époque  que la CNIL a été créée et désignée comme organisme compétent pour contrôler l’application de la loi et permettre à chaque utilisateur d’exercer ses droits concernant  ses données personnelles.

Qu’est-ce que la CNIL ?

La CNIL, Commission Nationale Informatique et Libertés est une autorité administrative indépendante. Elle veille au respect de la loi sur la protection des données personnelles. Une des missions de la CNIL est d’informer les personnes et les professionnels et de protéger les citoyens en veillant à ce que qu’ils puissent faire valoir leurs droits au regard de leurs données personnelles faisant l’objet de traitements. Une autre mission de la CNIL concerne le contrôle des organismes et leur éventuelle sanction en cas de manquements.

En quoi consiste un contrôle de la CNIL ?

La CNIL intervient auprès des responsables du traitement de données personnelles pour vérifier la conformité des traitements avec le Règlement Général sur la Protection des Données (RGPD) et la loi Informatique et Libertés.

Plusieurs modes opératoires peuvent être activés par la CNIL:

  • Contrôle en ligne
  • Contrôle sur place
  • Contrôle sur pièces
  • Contrôle sur audition

Le contrôle de la CNIL peut avoir plusieurs origines :

  • À la suite d’une réclamation ou d’une plainte (40% des contrôles),
  • Suivant un programme de contrôle annuel sur des thématiques prioritaires,
  • Initiatives menées dans le cadre de thématiques identifiées au regard de l’actualité.

Lors du contrôle, si la CNIL a détecté des irrégularités dans les traitements des données personnelles, elle peut donner un avertissement. L’organisme fautif devra alors rectifier son manquement dans un délai imposé par la CNIL. L’avertissement concerne les traitements envisagés qui ne sont pas encore opérationnels. Il ne s’agit donc pas d’une sanction, mais d’une mesure préventive.

La présidente de la CNIL peut aussi émettre un rappel à l’ordre à un responsable de traitement ou un sous-traitant.

En cas de manquements significatifs, l’organisme peut être mis en demeure de se conformer au RGPD et à la loi Informatique et Libertés. Cette mise en demeure peut être, dans certains cas, rendue publique.

Une procédure de sanction peut être engagée envers l’organisme, notamment dans les cas suivants :

  • Absence de réponse suite à une mise en demeure
  • Absence de mise en conformité dans les délais impartis
  • Manquements significatifs au RGPD et loi Informatique et Libertés

A noter qu’en cas de manquements significatifs, la procédure de sanction peut être déclenchée sans mise en demeure préalable.

Les sanctions possibles :

  • Rappel à l’ordre
  • Injonction de mise en conformité ou de satisfaire aux demandes de la personne concernée dans le cadre de l’exercice de ses droits. Cette injonction peut être assortie d’une astreinte par jour de retard
  • Limitation temporaire ou définitive d’un traitement ou son interdiction
  • Suspension d’un transfert de données
  • Une amende administrative: jusqu’à 20 millions d’euros ou 4% du CA annuel mondial  

Comment préparer un contrôle de la CNIL ?

Les contrôles de la CNIL se font sur place ou en ligne, sur auditions ou sur pièces. Peu importe la méthode, il est utile de suivre quelques recommandations afin de se préparer au mieux à ce contrôle.

Il est tout d’abord judicieux d’identifier et de sensibiliser les personnes pouvant être impliquées lors d’un contrôle et définir le rôle de chacun. Il est nécessaire de mettre en place une procédure de gestion d’un contrôle CNIL et de communiquer à ce sujet.

Pendant le contrôle, veillez à ce que chacun collabore en toute honnêteté avec les contrôleurs. Si besoin, formez le personnel à agir de façon correcte devant la délégation et prévoyez l’accès à tous les documents qui peuvent être demandés par la CNIL pour vérifier leur conformité avec le RGPD.

Comment agir pour éviter un contrôle de la CNIL ?

Pour éviter un contrôle délicat de la CNIL, vous avez la possibilité d’anticiper en tenant à jour les éléments permettant de prouver votre transparence et votre régularité dans le domaine de la protection des données personnelles. Ces éléments sont notamment :

  • Registres des traitements (Responsable de traitement et éventuellement sous-traitant)
  • Politiques de confidentialité
  • Registre des violations
  • Registre des demandes de droits
  • Durées de conservation,
  • Contrats de sous-traitance,
  • ..

Il est conseillé de mettre en œuvre un plan d’action annuel et il peut être judicieux de s’informer des programmes de contrôle et des délibérations de la CNIL sur les sujets de contrôles prioritaires.

Enfin, la rédaction d’un bilan annuel démontrera que les risques sont bien identifiés et que des mesures sont prises pour y faire face. Si toutes les actions sont menées à bien pour respecter comme il se doit le règlement général sur la protection des données, l’inquiétude sera moins intense lors d’un contrôle de la CNIL. 

Image de Pierre Bouffay
Pierre Bouffay

Besoin de vous mettre en conformité RGPD ?